Dentro de tu empresa existen bienes intangibles de gran valor, elementos e información que constituyen uno de los aspectos más importantes de tu organización. En caso de pérdida, sustracción o acceso no autorizado por parte de terceros, esta información puede ser empleada con fines indeseados (extorsión, desprestigio…) Todo ello está convirtiendo a las fugas de información en una de las mayores amenazas a las que tu negocio puede enfrentarse.

En la sociedad actual existen constantes amenazas online, que de manera automatizada (redes de ordenadores zombies, comúnmente conocidas como botnets), ponen en permanente riesgo la información que necesitas para trabajar. Estas circunstancias te obligan a tomar unas medidas de salvaguarda sobre todo ante la responsabilidad legal a la que estas sujeto como profesional.

¿QUÉ SUPONE UNA FUGA DE INFORMACIÓN?

Se denomina fuga de información al incidente que pone en poder de una persona ajena a la organización, información confidencial y que sólo debería estar disponible para integrantes de la misma.

Se trata de un incidente que puede ser tanto interno como externo, y a la vez intencional o no. Algunos ejemplos de fuga de información pueden ser desde un empleado vendiendo información confidencial a la competencia (incidente interno e intencional), una secretaria que pierde un documento en un lugar público (incidente interno y no intencional) o en la misma línea la pérdida de una laptop o un pen drive, así como también el acceso externo a una base de datos en la organización o un equipo infectado con un spyware que envíe información a un delincuente.

Todos estos incidentes tienen un punto en común como se indicó en la definición: información de la organización termina en manos de un tercero, que no debería tener acceso a la misma.

¿QUÉ CONSECUENCIAS PUEDE OCASIONAR UNA FUGA DE INFORMACIÓN?

Las consecuencias derivadas de un incidente de fuga de información en tu empresa van a ser siempre negativas. Por un lado en un aspecto tan importante como la reputación, debido al conocimiento público de la existencia de una filtración de información, que puede dañar seriamente la imagen pública de tu organización, generando desconfianza y seguridad en los clientes.

De otra parte, existen un conjunto de normas y leyes que ponen especial énfasis en el uso y tratamiento de datos de carácter personal y que te obligan a garantizar la seguridad en el tratamiento de este tipo de datos.

Una de estas normativas, el RGPD, recogen la obligación de, habiendo tenido conocimiento de una fuga de información, notificar tal violación de seguridad a la autoridad de control competente y en caso de que pueda entrañar un alto riesgo para el interesado, también incluye la necesidad de poner en conocimiento del interesado la información referente a la fuga.

CÓMO DETECTAR UNA FUGA DE INFORMACIÓN

Los momentos inmediatamente posteriores a la detección de una fuga de información son especialmente críticos. Una rápida y adecuada gestión en las primeras fases puede suponer una eficaz reducción del impacto del incidente y una minización de sus efectos.

Uno de los mayores retos a los que se enfrenta tu organización es conseguir una detección temprana del incidente. A estos efectos, una práctica que debe ser de utilidad es la constante monitorización online (incluyendo la deep web en la medida de lo posible) de cualquier publicación que pueda afectar a tu entidad, para que de este modo puedas tomar el control de la situación lo antes posible.

CÓMO GESTIONAR UNA FUGA DE INFORMACIÓN DE FORMA COMPLIANCE

1 El primer paso, una vez detectada la fuga de información, es activar el protocolo interno de gestión del incidente, para ello será necesario convocar a aquellas personas del equipo de gestión responsables de tomar las decisiones durante este proceso.

Mantener la calma y actual coordinada y organizadamente es fundamental para evitar decisiones incorrectas o que pueden provocar consecuencias negativas adicionales.

2 El siguiente paso debe ser la obtención de información sobre el incidente con el objetivo de determinar con exactitud y en el menor tiempo posible:

• La cantidad de información que podido ser sustraída.
• El tipo de datos que contiene la información que ha podido ser sustraída.
• Determinar su la información pertenece a la propia organización o es externa.
• Establecer y acotar la causa principal de la filtración.
• Conocer si se ha publicado la información.
• Conocer las reacciones que se están produciendo en relación con el incidente.

El tiempo de reacción es crítico, es recomendable que toda esta información se recopile en un plazo no superior a doce horas desde la detección del incidente.

3 Con toda la informaciónn recopilada se podrá iniciar el proceso de valoración del incidente, así como sus posibles consecuencias e impacto. Para ello es recomendable establecer las tareas a emprender, así como una planificación detallada de cada una de ellas.

Las principales tareas que será necesario llevar a cabo deben ser las siguientes:

• Actuaciones para cortar la filtración y evitar nuevas fugas de información.
• Tareas de revisión de la difusión de la información y mitigación de la misma.
• Tareas de actuación con los afectados por la fuga.
• Tareas para la mitigación de las consecuencias legales.
• Tareas para determinación de las consecuencias económicas.
• Tareas a acometer en los activos de la organización afectados.
• Planificación del contracto y coordinación con fuerzas y cuerpos de seguridad.
• Planificación de comunicación e información del incidente.

4 La siguiente fase se centra en tratar de reducir la brecha de seguridad y evitar que se produzcan nuevas fugas de información, debe primar el objetivo de mitigar la fuga de información en el menor tiempo posible.

5 Por último, completadas todas las acciones anteriores, se debe evaluar el resultado y la efectividad de las acciones realizadas, en relación con las consecuencias y su impacto.

Referencias biblográficas:

www.incibe.es      www.aepd.es