Fugas de información en la pyme: cómo prevenirlas y gestionarlas

Cuando se habla de ciberseguridad en la empresa, pensamos en la protección frente al phising, ransomware u otros ataques ocasionados por terceros con malas intenciones y con el objetivo de conseguir un beneficio rápido –ya sea dinero o el simple placer de hackear. Pero la ciberseguridad va más allá. Se trata de proteger la información de nuestro negocio almacenada en diferentes dispositivos o sistemas. Y, en este sentido, existe en las empresas –desde pymes hasta grandes multinacionales- otra amenaza que puede pasar más desapercibida por su lento pero constante goteo: las fugas de información.

Se trata de la pérdida de confidencialidad a causa de un incidente de seguridad que le ocurre al responsable de su custodia, de forma que información privilegiada llega a manos de personas no autorizadas. Puede ser interna, de forma consciente o inconsciente (desde venganzas de empleados, espionaje industrial, pérdida de documentos o dispositivos, desconocimiento, etc.), o externa, generalmente procedente de terceros con fines ilícitos (ciberdelincuentes, clientes descontentos, antiguos empleados, etc.).

La fuga de información supone de esta forma el quebrantamiento de los tres principios básicos de la protección de la información: la confidencialidad –accesible solo para personas autorizadas-; la integridad –libre de errores y modificaciones no autorizadas-; y la disponibilidad –accesible cuando sea necesario a las personas autorizadas.  

Las consecuencias pueden llegar a ser muy negativas. La primera es el daño de imagen y pérdida de confianza en la empresa. También es posible que la fuga de información tenga consecuencias legales y, por tanto, sanciones económicas o administrativas. Ligadas a las anteriores, la fuga puede tener consecuencias económicas –pérdida de clientes-.

Causas: desde la falta de formación al malware

A nivel organizacional, uno de los primeros errores que se cometen en la protección de la información es la falta de clasificación. Si no se especifica correctamente el valor que tiene para la organización y su nivel de confidencialidad –marcando un perímetro de difusión-, será difícil protegerla. A ello suele ir unido la falta de procedimientos, pautas y obligaciones de los miembros de la empresa en relación con la información valiosa. Todo ello suele ser producto de la falta de formación y conocimiento en materia de ciberseguridad, confidencialidad y tecnologías como la nube, los VPN, los dispositivos móviles o el correo electrónico.

En un plano técnico, las causas pueden ir desde el código malicioso o el malware –que se ‘oculta’ en el sistema, recoge y envía información-, al acceso no autorizado a sistemas e infraestructuras mal actualizados y protegidos –especialmente la nube y el almacenamiento en línea-, hasta el uso de tecnologías móviles (datos almacenados en teléfonos o tabletas que, además de poca protección, pueden caer en manos ajenas).

¿Cómo prevenir las fugas de información?

Desde el Instituto Nacional de Ciberseguridad de España (INCIBE) insisten en que el principal foco debe ser el componente humano y organizativo, e insisten en la aplicación de medidas de seguridad desde tres puntos de vista: organizativo, técnico y legal.

En la dimensión organizativa, es necesario definir una política de seguridad y procedimientos para todo el ciclo de vida de los datos, que definan los criterios de acceso a los mismos y sean conocidos por todas las personas con acceso a los datos. Definir quién y cómo será fundamental para elaborar estas políticas, siguiendo la norma del mínimo privilegio posible; es decir, que cada usuario solo tenga acceso a los datos necesarios para desarrollar su labor. Existen además herramientas que permiten monitorear el acceso de usuarios a esta información delicada: son las conocidas como ILM (Information Life-cycle Management) y DLP (Data Loss Prevention). A todo ello han de sumarse acciones de formación e información en ciberseguridad.

Desde el punto de vista técnico, es necesario reforzar los controles de acceso e identidad; fortalecer las soluciones anti-malware y antifraude, seguridad perimetral y protección de las telecomunicaciones de la empresa; intensificar el control de contenidos, de tráfico y de las copias de seguridad; y, en definitiva, poner el foco en el control del acceso a los recursos y mantener los sistemas actualizados.

Como medidas legales, el INCIBE recomienda solicitar una aceptación oficial de la política de seguridad y de conformidad por parte de los empleados; y ser estrictos en el cumplimiento de la legislación en materia de LOPD y Ley de Servicios de la Sociedad de la Información (LSSI).

¿Cómo gestionar una fuga de información?

Si, pese a las medidas de prevención, la pyme sufre una fuga de información, se debe trabajar en detectar y mitigarla antes de que los datos filtrados puedan suponer un compromiso cada vez mayor. Lo ideal es contar con un plan previo de gestión de incidentes que, según la recomendación del INCIBE, comprenda medidas divididas en cinco grandes fases.

La primera fase será detectar el incidente, alertar a nivel interno e iniciar el protocolo de gestión. Tras ella irá la fase de lanzamiento, en la que el gabinete de crisis deberá realizar un informe inicial de situación y coordinar las primeras acciones. En la fase siguiente, de auditoría, se deberán evaluar los daños a nivel interno y externo y elaborar un informe preliminar. Le sigue una fase de evaluación, en la que el gabinete de crisis vuelve a reunirse para estudiar el informe de la auditoría, determinar las principales acciones, establecer tareas y planificarlas. Arrancará así la fase de mitigación, en la que se ejecutarán todas las acciones del plan. Para terminar en una fase de seguimiento, en la que se valorarán los resultados del plan y se realizará una nueva auditoría completa, de la cual será posible extraer nuevas medidas que aplicar a la seguridad de la empresa.

Si bien no todas las empresas –especialmente las pymes y microempresas- cuentan con gabinete de crisis, sí sería útil disponer al menos de una persona responsable y con capacidad de decisión para coordinar las acciones que se requieran para mitigar las fugas de información. En algunas ocasiones será necesario desconectar sistemas o servicios de Internet de forma temporal mientras se subsana la brecha de seguridad para evitar que sigan produciéndose fugas.

Asimismo, es de carácter obligatorio por ley informar de la fuga de información ocurrida a la Agencia Española de Protección de Datos (AEPD), ya que la ocultación del incidente podría acarrear importantes sanciones.