BlogSmartNews

Fuga de información, el terror de las empresas | SmartHC

SHC_fuga_información

Con motivo de la celebración del día Europeo de protección de datos, desde SmartHC queremos hacer hincapié en una de las situaciones que más comprometidas de una compañía, la fuga de información. Cada vez son más las compañías que sufren este tipo de amenaza, la cual debemos recordar que no siempre viene dada por un ciberataque. Podemos considerar la fuga de información como una vulnerabilidad para cualquier empresa, cuyas consecuencias pueden ser nefastas para la misma. Para arrojar un poco de luz, hablaremos sobre la fuga de datos, los motivos y las consecuencias.

¿Qué es la fuga de datos?

La información es el activo principal de cualquier compañía, independientemente del tamaño de la misma, y como tal, es de vital importancia para la continuidad de negocio. Esa información debe estar categorizada para su uso, no sólo por normativa legal (GDPR), sino también para facilitar el trabajo con la misma.

Esta categorización vendrá definida por los tres principios básicos, que son:

  • Confidencialidad: Implica que la información es accesible sólo por el personal autorizada a la misma. Por tanto, no todo el mundo tiene acceso a la misma información.
  • Integridad: Es decir, que la información sea correcta.
  • Disponibilidad: La información debe estar disponible para aquellas personas que tengan autorizado el acceso a la misma.

Pero el principio que nos ocupa en este caso es la confidencialidad. El principio de confidencialidad define la fuga de información. Según INCIBE, llamamos fuga de información a la pérdida de la confidencialidad, de forma que la información privilegiada sea accedida por personal no autorizado.

Origen de la fuga de datos.

Se tiende a pensar que esta pérdida de confidencialidad es la consecuencia de un ataque. Si bien puede ser uno de los motivos del mismo, existen muchos otros por los que la información puede salir de la empresa.

Para poder definir correctamente el origen de la fuga de datos, debemos definir el carácter de la misma:

  • Interna: Al hablar de origen interno, se hace referencia a que la fuga de datos se ha producido desde la propia empresa. El usuario es el eslabón más débil de la cadena de seguridad, por lo que desde la empresa se debe trabajar en su correcta concienciación y formación. Pero debemos diferenciar entre la motivación de la misma, puesto que ha podido deberse a un fallo inconsciente o a una acción premeditada.
  • Externa: Otro de los supuesto es que la es que la información haya sido sustraída desde el exterior. En estos casos, se considera que se realiza de manera intencionada, ya sea por razones económicas, venganza o daño a la empresa entre otros motivos.

SHC_Fuga_de_informacion

Causas de la fuga de información

Una vez delimitado el origen de la fuga de datos, podemos establecer las causas de la misma, que se pueden diferenciar entre las causas de ámbito organizativo y las de ámbito tecnológico.

Como su nombre indica, las causas organizativas son responsabilidad de la empresa. La falta de una correcta clasificación de información, ausencia de procedimientos o la falta de una correcta formación son las principales causas por las cuales se produce la fuga de datos. Tanto si la causa es intencionada como si es un “error humano”, se puede prevenir con, por ejemplo, una correcta política de seguridad o mediante acuerdos de confidencialidad.

Las causas técnicas están también ligadas al usuario. La introducción de códigos maliciosos al sistema de la empresa o el acceso ilimitado a la información de la misma son algunas de las causas de la fuga de información. Otras a destacar son el uso de la nube (cada vez más común y menos securizado) y el uso de dispositivos propios (BYOD) para el trabajo.

Ambas causas pueden ser controladas con, para empezar, una correcta clasificación de la información y la limitación de accesos. Una correcta política de seguridad, con formación y concienciación a todos los trabajadores reforzará el eslabón más débil de la cadena.

Consecuencias de la fuga de información

Las consecuencias de la fuga de información son una de las principales preocupaciones de las empresas. La fuga de información puede conllevar grandes consecuencias, entre las que cabe destacar:

  • Daño de imagen
  • Consecuencias económicas
  • Consecuencias legales

Daños de imagen

Si la fuga de información trasciende y se hace público, los daños de imagen son una consecuencia lógica. La imagen de la empresa queda dañada por falta de seguridad y de confianza. Los clientes y terceros ponen en duda la fiabilidad de la empresa y potenciales clientes pueden rechazar la colaboración o el servicio.

Consecuencias económicas

Las consecuencias económicas están muy ligadas a los daños de imagen. Si la fuga de información llega a los clientes o terceros con los que existen relaciones laborales, estos pueden rescindir el contrato, al igual que los potenciales clientes. Además, si la fuga de información se ha producido por que la empresa no ha implantado las medidas de seguridad adecuadas, está podrá a enfrentase a sanciones económicas por incumplimiento de la normativa.

Consecuencias legales

La información básica de una fuga de información, así como la respuesta ante ella desde la perspectiva ciber es válida y complementaria para la parte legal.

Si la información objeto de la fuga tiene datos personales se habla de “brecha de seguridad” a efectos de la normativa de protección de datos

Cuando se produce una brecha de seguridad

  1. Existe obligación de comunicarla a la AEPD siempre “que sea probable que constituya un riesgo para los derechos y las libertades de las personas físicas”.
  2. Existe obligación de comunicarla también a los afectados cuando entrañe un alto riesgo para los derechos y las libertades de las personas físicas.

La fuga de información no es un suceso inevitable, pero la compañía debe delimitar todas las acciones posibles para evitar que suceda. Y, en el caso que se produzca, limitar el daño que pueda producir y actuar de la manera más rápida posible.