Uno de los problemas actuales que enfrentan muchas empresas, especialmente aquellas que han comenzado o ya han finalizado su proceso de digitalización, es la fuga de datos o fuga de información y, aunque normalmente asociamos este concepto con incidentes de ciberseguridad, lo cierto es que un ciberataque no es la única causa tras una fuga de información en una empresa.
En este artículo explicaremos qué son las fugas de datos y cómo se producen, además de cómo prevenir la fuga de información y de cómo gestionarla.
En este artículo hablamos de:
¿Qué es la fuga de datos?
Una fuga de datos es la pérdida de la confidencialidad de los datos, fruto de un incidente de seguridad que puede haberle ocurrido a una organización o un individuo. Es decir, hablamos de fuga de datos cuando una información considerada confidencial se pierde, si bien no necesariamente queda expuesta (aunque normalmente acabe siendo conocida por terceros no autorizados o hecha pública).
La información pérdida puede ser de diferente naturaleza, desde secretos empresariales, hasta datos personales o datos sensibles, pero siempre con ese carácter confidencial, que al perderse, pone en riesgo tanto la integridad como la disponibilidad de la información y, en el caso de fuga de datos personales, la privacidad de las personas.
Cabe señalar que, aunque estrechamente relacionadas, puesto que fuga de información y seguridad informática van de la mano, una fuga de datos no es lo mismo que una brecha de seguridad. Una fuga de información puede producirse por diferentes motivos, pero no siempre implica una brecha de seguridad, que ocurre cuando los datos perdidos quedan expuestos y dicha exposición puede causar daños y perjuicios a los titulares de los datos.
Ejemplos de fuga de información
Son ejemplos de fuga de información:
- El extravío de unidades de memoria externas con información confidencial de la empresa.
- La exfiltración de bases de datos de clientes sin cifrar (como las que suelen acompañar muchos casos de ransomware).
- El espionaje industrial.
- La filtración de datos personales de empleados o clientes de una empresa consecuencia de una brecha de seguridad sufrida por un proveedor.
- La revelación de información confidencial por parte de un empleado (bien para ganar algún beneficio o bien para causar algún perjuicio a la empresa).
- La filtración accidental de datos confidenciales.
¿Cómo se produce una fuga de datos?
Una fuga de datos puede producirse de diversas formas, desde descuidos hasta ciberataques, por lo que podemos hablar de dos tipos de fugas de información:
- Internas: Su origen está en los empleados o miembros de la organización y pueden producirse de forma inconsciente (pérdida de dispositivos o documentos, descuidos, falta de conocimiento o aplicación del protocolo de seguridad, etc.) o intencionales (por motivos de venganza, para obtener beneficios económicos, espionaje industrial, etc.).
- Externas: Se trata en su gran mayoría de accesos no autorizados e ilícitos a la información que custodia la organización, para poder hacerse con ellos con diferentes fines (aunque mayoritariamente económicos).
Causas de la fuga de datos
A la hora de responder a cuál es el principal motivo de la fuga de información, lo cierto es que no hay una única respuesta, porque detrás de la fuga de datos puede haber tanto causas organizativas como causas técnicas. Las primeras hacen referencia a la falta de clasificación de la información, de políticas de seguridad claras y definidas, de falta de formación y conocimiento por parte de los empleados, falta de acuerdos de confidencialidad, etc.
Mientas que las segundas se refieren a la falta de medios técnicos para proteger y garantizar la confidencialidad de la información, quedando esta expuesta a diferentes tipos de ciberamenazas y ciberataques (falta de cifrado, malware, ransomware, ataques DNS, etc.).
¿Cómo saber si tengo fuga de datos?
Aunque más adelante hablaremos de cómo prevenir las fugas de datos y de cómo gestionarlas, el primer paso para la prevención y gestión de la fuga de datos es la detección, puesto que si no somos capaces de detectar a tiempo una fuga de información, las consecuencias podrán ser mucho peores.
La detección de fuga de datos es, en muchas ocasiones, una tarea compleja, que requiere del uso de herramientas específicas y de la aplicación de determinadas medidas organizativas y, en el caso de empresas que no cuenten con un departamento de TI, de contar con el asesoramiento de un proveedor de ciberseguridad.
En cualquier caso, algunas de las herramientas y medidas que se pueden emplear para la detección de las fugas de información son:
- La monitorización continua de sistemas y redes con sistemas de detección de intrusiones, así como de movimientos de archivos.
- Empleo de herramientas que permitan rastrear y detectar información confidencial que se haya podido publicar o poner a la venta en internet (incluida la Dark Web).
- Implementar un sistema de alertas e informes en tiempo real, mediante el cual, los responsables de la seguridad de la información en la empresa recibirán un aviso en tiempo real cuando se acceda, mueva, modifique o borren datos confidenciales o sensibles de manera sospechosa, o cuando se produzcan accesos no autorizados.
- Formación y concienciación de los empleados en materia de ciberseguridad. Además, los acuerdos o cláusulas de confidencialidad pueden reforzar el cumplimiento del mantenimiento de la confidencialidad.
¿Cuáles son las consecuencias de la fuga de información?
El espionaje informático o la fuga de datos pueden tener graves consecuencias tanto para particulares como para empresas.
Entre esas consecuencias para particulares, las fugas de datos están detrás de los envíos de spam con fines de phishing, de intentos de estafa, de la extorsión, del acoso, del doxing, de la pérdida de la privacidad, etc.
Para las empresas, las consecuencias de la fuga de información y los daños que pueden causar implican abrir la puerta a otro tipo de ataques, como los de spear phishing a directivos (que pueden exponer todavía mayor cantidad de información confidencial), pérdidas económicas (por el pago de rescates de ransomware, por sanciones por autoridades de control, por pérdida de competitividad al perder secretos industriales…) y pérdidas de reputación y confianza de clientes, socios e inversores.
¿Cómo prevenir las fugas de información confidencial de una empresa?
La prevención de la fuga de información pasa por crear e implementar medidas técnicas, organizativas y legales adecuadas y efectivas que garanticen la confidencialidad, integridad y disponibilidad de la información.
En ese sentido, es imprescindible crear una política o protocolo de seguridad de la información, que parte de un análisis de riesgos para valorar y evaluar las amenazas a las que se enfrenta la empresa y, a partir de las conclusiones extraídas, determinar qué medidas de seguridad es necesario implementar para minimizar la posibilidad de que esas amenazas se materialicen.
Así mismo, es necesario que esa política o protocolo, incluya también cómo debe responderse y gestionarse la fuga de datos, para poder reaccionar lo más rápido posible y ponerle fin, además de determinar qué datos se han visto afectados por la fuga y si se han hecho públicos de alguna manera o están disponibles en algún sitio.
Entre las medidas de seguridad para prevenir la fuga de datos destacamos:
- Medidas organizativas:
- Clasificación de la información para definir su importancia y nivel de acceso, de manera que se establezcan sistemas de privilegios mínimos para todos los empleados o usuarios, limitando su acceso a los datos mínimos que necesiten para desempeñar su labor.
- Definir protocolos de actuación.
- Formar a los empleados en seguridad de la información y en el protocolo adoptado por la empresa.
- Medidas técnicas:
- Implementar controles de acceso basado en roles.
- Implementar soluciones de seguridad informática (firewalls, antivirus, seguridad en dispositivos endpoint, sistemas de detección de intrusiones, monitoreo de la red, etc.).
- Establecer una política de copias de seguridad.
- Cifrar la información sensible.
- Implementar una solución DLP (prevención de pérdida de datos).
- Implementar un DRP (plan de recuperación ante desastres informáticos).
- Medidas legales:
- Adaptarse a la normativa de protección de datos
- Firmar acuerdos de confidencialidad con empleados y proveedores
¿Cómo gestionar una fuga de datos?
Ahora que ya sabemos qué es una fuga de información y qué medidas podemos implementar para prevenirla, veamos cómo debemos gestionar estas fugas cuando se producen.
Como ya hemos señalado más arriba, para poder gestionar las fugas de datos es necesario tener implementados los medios técnicos que permitan detectarlas cuando comiencen a producirse, incluso detectar anomalías que puedan prevenir que se produzca la fuga de información.
Aparte de estos medios, se debe tener un protocolo de actuación para poder gestionar estos incidentes lo más rápido y ágilmente posible. Este protocolo de actuación, según la guía del INCIBE para la gestión de fugas de información, se divide en 6 fases:
- Fase inicial, en la que se produce la detección del incidente o fuga, se alerta de ello a nivel interno y se pone en práctica el protocolo de actuación acordado.
- Fase de lanzamiento, en ella se debe reunir el gabinete de crisis (si la empresa cuenta con él, si no, deberá, al menos, tener un responsable que coordine todo), redactar un primer informe inicial de la situación y coordinar las primeras acciones para atajar el incidente y gestionar sus consecuencias.
- Fase de auditoría, en la que se deben llevar a cabo tanto una auditoría interna (para determinar la cantidad de información filtrada y el tipo de datos que contiene, así como establecer las causas de la misma) y una externa (hasta dónde ha llegado la fuga de datos fuera de la empresa).
- Fase de evaluación en la que el gabinete de crisis volverá a reunirse para presentar el informe de las auditorías, determinar y planificar las acciones principales a llevar a cabo para atajar la fuga y sus consecuencias.
- Fase de mitigación, en la que se ponen en práctica todas las acciones acordadas, que pasan por poner fin a la brecha de seguridad y frenar la fuga de datos, e informar, si es necesario, a la autoridad de control correspondiente, a los afectados.
- Fase de seguimiento, en esta fase se valorarán los resultados de las acciones llevadas a cabo y de la efectividad del protocolo, se gestionarán las consecuencias para la empresa, se llevará a cabo una auditoría completa y se aplicarán aquellas medidas o mejoras que sean necesarias para evitar una nueva fuga de datos.
En definitiva, evitar la fuga de datos en la empresa o cualquier otra organización, pasa por saber qué información se maneja y cómo debe protegerse en función a su nivel de confidencialidad, implementar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de la información, formar y concienciar a los empleados en ciberseguridad y tener preparado un protocolo de actuación gestión de fugas de información.