673 248 261 safe@safe-lopd.com

SEGURIDAD, PRIVACIDAD Y PROTECCIÓN DE DATOS

¿SABRÍAS GESTIONAR UNA FUGA DE INFORMACIÓN EN TU EMPRESA?

01/10/2020                                                                          Tiempo de lectura: 4 min

Dentro de tu empresa existen bienes intangibles de gran valor, elementos e información que constituyen uno de los aspectos más importantes de tu organización. En caso de pérdida, sustracción o acceso no autorizado por parte de terceros, esta información puede ser empleada con fines indeseados (extorsión, desprestigio…) Todo ello está convirtiendo a las fugas de información en una de las mayores amenazas a las que tu negocio puede enfrentarse.

En la sociedad actual existen constantes amenazas online, que de manera automatizada (redes de ordenadores zombies, comúnmente conocidas como botnets), ponen en permanente riesgo la información que necesitas para trabajar. Estas circunstancias te obligan a tomar unas medidas de salvaguarda sobre todo ante la responsabilidad legal a la que estas sujeto como profesional.

 

 

¿QUÉ SUPONE UNA FUGA DE INFORMACIÓN?

Se denomina fuga de información al incidente que pone en poder de una persona ajena a la organización, información confidencial y que sólo debería estar disponible para integrantes de la misma.

Se trata de un incidente que puede ser tanto interno como externo, y a la vez intencional o no. Algunos ejemplos de fuga de información pueden ser desde un empleado vendiendo información confidencial a la competencia (incidente interno e intencional), una secretaria que pierde un documento en un lugar público (incidente interno y no intencional) o en la misma línea la pérdida de una laptop o un pen drive, así como también el acceso externo a una base de datos en la organización o un equipo infectado con un spyware que envíe información a un delincuente.

Todos estos incidentes tienen un punto en común como se indicó en la definición: información de la organización termina en manos de un tercero, que no debería tener acceso a la misma.

 

 

¿QUÉ CONSECUENCIAS PUEDE OCASIONAR UNA FUGA DE INFORMACIÓN?

Las consecuencias derivadas de un incidente de fuga de información en tu empresa van a ser siempre negativas. Por un lado en un aspecto tan importante como la reputación, debido al conocimiento público de la existencia de una filtración de información, que puede dañar seriamente la imagen pública de tu organización, generando desconfianza y seguridad en los clientes.

De otra parte, existen un conjunto de normas y leyes que ponen especial énfasis en el uso y tratamiento de datos de carácter personal y que te obligan a garantizar la seguridad en el tratamiento de este tipo de datos.

Una de estas normativas, el RGPD, recogen la obligación de, habiendo tenido conocimiento de una fuga de información, notificar tal violación de seguridad a la autoridad de control competente y en caso de que pueda entrañar un alto riesgo para el interesado, también incluye la necesidad de poner en conocimiento del interesado la información referente a la fuga.

 

 

CÓMO DETECTAR UNA FUGA DE INFORMACIÓN

Los momentos inmediatamente posteriores a la detección de una fuga de información son especialmente críticos. Una rápida y adecuada gestión en las primeras fases puede suponer una eficaz reducción del impacto del incidente y una minización de sus efectos.

Uno de los mayores retos a los que se enfrenta tu organización es conseguir una detección temprana del incidente. A estos efectos, una práctica que debe ser de utilidad es la constante monitorización online (incluyendo la deep web en la medida de lo posible) de cualquier publicación que pueda afectar a tu entidad, para que de este modo puedas tomar el control de la situación lo antes posible.

 

 

CÓMO GESTIONAR UNA FUGA DE INFORMACIÓN DE FORMA COMPLIANCE

 

1 El primer paso, una vez detectada la fuga de información, es activar el protocolo interno de gestión del incidente, para ello será necesario convocar a aquellas personas del equipo de gestión responsables de tomar las decisiones durante este proceso.

Mantener la calma y actual coordinada y organizadamente es fundamental para evitar decisiones incorrectas o que pueden provocar consecuencias negativas adicionales.

 

2 El siguiente paso debe ser la obtención de información sobre el incidente con el objetivo de determinar con exactitud y en el menor tiempo posible:

  • La cantidad de información que podido ser sustraída.
  • El tipo de datos que contiene la información que ha podido ser sustraída.
  • Determinar su la información pertenece a la propia organización o es externa.
  • Establecer y acotar la causa principal de la filtración.
  • Conocer si se ha publicado la información.
  • Conocer las reacciones que se están produciendo en relación con el incidente.

El tiempo de reacción es crítico, es recomendable que toda esta información se recopile en un plazo no superior a doce horas desde la detección del incidente.

 

3 Con toda la informaciónn recopilada se podrá iniciar el proceso de valoración del incidente, así como sus posibles consecuencias e impacto. Para ello es recomendable establecer las tareas a emprender, así como una planificación detallada de cada una de ellas.

Las principales tareas que será necesario llevar a cabo deben ser las siguientes:

  • Actuaciones para cortar la filtración y evitar nuevas fugas de información.
  • Tareas de revisión de la difusión de la información y mitigación de la misma.
  • Tareas de actuación con los afectados por la fuga.
  • Tareas para la mitigación de las consecuencias legales.
  • Tareas para determinación de las consecuencias económicas.
  • Tareas a acometer en los activos de la organización afectados.
  • Planificación del contracto y coordinación con fuerzas y cuerpos de seguridad.
  • Planificación de comunicación e información del incidente.

 

4 La siguiente fase se centra en tratar de reducir la brecha de seguridad y evitar que se produzcan nuevas fugas de información, debe primar el objetivo de mitigar la fuga de información en el menor tiempo posible.

 

5 Por último, completadas todas las acciones anteriores, se debe evaluar el resultado y la efectividad de las acciones realizadas, en relación con las consecuencias y su impacto.

 

Referencias biblográficas:

www.incibe.es      www.aepd.es

Si utilizas Google, al menos…

Si utilizas Google, al menos…

SEGURIDAD, PRIVACIDAD Y PROTECCIÓN DE DATOS 01/05/2022                                                                          Tiempo de lectura: 4 min     Si utilizas alguno de los servicios de Google es importante que conozcas cómo gestionar numerosos...

leer más
¿Qué derechos tienen Tus Trabajadores?

¿Qué derechos tienen Tus Trabajadores?

SEGURIDAD, PRIVACIDAD Y PROTECCIÓN DE DATOS 01/04/2022                                                                          Tiempo de lectura: 4 minCon el fin de examinar aspectos de la protección de datos que, o bien resultan fundamentales desde el punto de vista...

leer más
INMOBILIARIAS y Protección de Datos

INMOBILIARIAS y Protección de Datos

SEGURIDAD, PRIVACIDAD Y PROTECCIÓN DE DATOS 01/03/2022                                                                          Tiempo de lectura: 4 min  Ya seas una empresa o un agente inmobiliario tienes obligación de cumplir la normativa de protección de datos. En...

leer más
PROTEGE TU WEB

PROTEGE TU WEB

SEGURIDAD, PRIVACIDAD Y PROTECCIÓN DE DATOS 01/02/2022                                                                          Tiempo de lectura: 4 minDisponer de una página web, hoy en día es esencial para cualquier negocio, es imprescindible tener presencia en...

leer más
¿CUÁNTO TIEMPO?

¿CUÁNTO TIEMPO?

SEGURIDAD, PRIVACIDAD Y PROTECCIÓN DE DATOS 01/01/2022                                                                          Tiempo de lectura: 4 min  El tratamiento de datos relativos a la salud es más habitual de lo que imaginamos, puede solicitarlos un...

leer más
WINTER IS COMING

WINTER IS COMING

SEGURIDAD, PRIVACIDAD Y PROTECCIÓN DE DATOS 01/12/2021                                                                          Tiempo de lectura: 4 min  Tanto dentro de la oficina como en la calle hay que adoptar algunas precauciones para aumentar la seguridad...

leer más

Si te ha resultado interesante el artículo síguenos en redes sociales…

Suscríbete a NEWS

4 + 3 =

Uso de cookies

Este sitio web únicamente utiliza cookies propias con finalidad técnica, no recaba ni cede datos de carácter personal de sus usuarios sin su consentimiento. Sin embargo, contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que usted podrá decidir si acepta o no cuando acceda a ellos. Para más información pulse AQUÍ ACEPTAR

Aviso de cookies