Mitigar la fuga de información

Mitigar la fuga de información

Número de visualizaciones
05/04/2018

Para que en nuestra empresa no exista ni un mínimo riesgo de fuga de información, debemos desarrollar y actualizar las políticas de acceso a la información en la misma. Toda organización tiene que seguir el principio del mínimo privilegio, ya que el factor humano es el de mayor riesgo en la fuga.

Fuga de información y pérdida de confidencialidad

Existe un conjunto de normativas y leyes que ponen especial énfasis en el uso y tratamiento de datos de carácter personal. Dentro del tratamiento de datos de carácter personal se han de considerar las fugas de información, ya que en muchas ocasiones, estos incidentes terminan con la difusión o publicación de datos de carácter personal. Dichas normativas prevén sanciones de tipo económico para este tipo de delitos. Por otra parte, la ocultación del incidente de fuga de información también puede ser motivo de sanción.

El origen puede ser tanto interno como externo, entendiéndose por interno el producido desde dentro de la organización (empleados/usuarios), y el externo usualmente a través de organizaciones criminales, para la obtención de un beneficio, perjudicar la imagen de la empresa, venta de proyectos, pedir dinero por el rescate de la información, etc…

Las causas internas son, en su mayoría, por falta de formación o desconocimiento; y las externas suelen ser ataques de entidades rivales o piratas informáticos.

Consecuencias de la fuga de información

Las consecuencias que puede tener la pérdida de información son:

  • Daño de imagen. Genera un impacto negativo de la entidad y lleva implícita la pérdida de confianza.
  • Consecuencias legales. Podrían conllevar sanciones económicas o administrativas.
  • Consecuencias económicas. Estrechamente relacionadas con las anteriores, se encuentran dentro de aquellas que suponen un impacto negativo a nivel económico, con una disminución de la inversión, negocio, etc.
  • Otras consecuencias. Son aquellas que afectan o suponen un impacto negativo en ámbitos muy diversos, como por ejemplo el ámbito político, diplomático, institucional, o gubernamental, entre otros.

Gestión 

Para la gestión de una fuga de información, se realiza un plan en el que se recogen diferentes fases:

  1. Fase inicial: en la que se identifica el problema, se alerta del incidente a nivel interno y se inicia un protocolo de gestión.
  2. Fase de lanzamiento: se reúne el gabinete de crisis donde se presenta un informe inicial de la situación y se realizan las primeras acciones del plan.
  3. Fase de auditoría: se realiza una auditoría interna y externa y se elabora un informe preliminar.
  4. Fase de evaluación: se vuelve a reunir el gabinete de crisis y presentan el informe elaborado en la auditoría; se determinan las principales acciones o tareas que se van a realizar y a partir de ahí se realiza una planificación.
  5. Fase de mitigación: se ejecutan todas las acciones de la planificación.
  6. Fase de seguimiento: se valoran los resultados del plan; se gestionan nuevas consecuencias; se completa la auditoría y se aplican las medidas y mejoras.

Prevención

La prevención de la fuga de información pasa por la aplicación de medidas de seguridad desde tres puntos de vista: técnico, organizativo y legal.

  • Medidas Organizativas: se ponen en marcha las prácticas para la gestión de la fuga; define una política de seguridad; establece un sistema de clasificación de la información; se forma internamente en ciberseguridad y se implanta un sistema de gestión de seguridad de la información.
  • Medidas técnicas: se controla el acceso de identidad; se aplican soluciones anti-malware; se controlan los contenidos, tráfico, copias de seguridad y actualizaciones o parches.
  • Medidas legales: se realiza una solicitud de aceptación de la política de seguridad y de la conformidad de los empleados; se adoptan medidas relativas a la adecuación y cumplimiento de la legislación aplicable.

Para evitar fugas de información causadas por el uso inadecuado de servicios en la nube, debemos seguir las mismas medidas que para otros tipos de incidentes, sobre todo un buen control del acceso a dichos servicios y concienciación de los empleados.

Para los incidentes causados por dispositivos móviles, la prevención se basa en implantar políticas de uso y medidas técnicas: soluciones anti-malware, cifrado, uso de sistemas VPN, etc

Otras noticias de interés:

Blockchain y Bitcoin: Blockchain y Bitcoin

Fuente: INCIBE

3+
Categorizado en: Redes, Sistemas y Seguridad

1 Comentario

  1. Endika Ena Serrano dice:

    Buenas Tardes Victor,He observado con interés este último artículo. Algunos llevamos años intentando “mitigar” las consecuencias de las fugas de datos, no siempre con éxito.La nueva legislación en Protección de Datos (RGPD 25/05/2018) nos supone una oportunidad de empujar a nuestros clientes hacia una mayor responsabilidad sobre la custodia de sus datos, de hecho el 70% de la nueva normativa es pura ciberseguridad.Y en eso andamos en estos días.Un abrazoEndika Ena

    0

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Descubre MasterClass de INESEM. Una plataforma en la que profesionales enseñan en abierto

Profesionales enseñando en abierto