La protección de la información se articula en torno a
la protección de tres principios básicos: confidencialidad, integridad y
disponibilidad.
·
La confidencialidad implica que la información
es accesible únicamente por el personal autorizado.
·
La integridad de la información hace referencia
a que la información sea correcta y esté libre de modificaciones y errores. La
información ha podido ser alterada intencionadamente o ser incorrecta y
nosotros podemos basar nuestras decisiones sobre ella.
·
La disponibilidad de la información hace
referencia a que la información esté accesible, a las personas o sistemas
autorizados, cuando sea necesario.
Llamamos fuga de información a la pérdida de
la confidencialidad, de forma que información privilegiada sea accedida por
personal no autorizado.
El impacto y las consecuencias posteriores a un
incidente de fuga de información, son muy negativos. Por un lado, la filtración
de información puede dañar la imagen pública de la empresa y por tanto impactar
negativamente en el negocio, generando desconfianza e inseguridad en clientes.
Asimismo, la publicación de información puede generar consecuencias a terceros:
grupos externos de usuarios y otras organizaciones cuyos datos se hayan hecho
públicos.
Además, existe un conjunto de normativas y leyes que
ponen especial énfasis en el uso y tratamiento de datos de carácter personal.
Dentro del tratamiento de datos de carácter personal se han de considerar las
fugas de información, ya que en muchas ocasiones, estos incidentes terminan con
la difusión o publicación de datos de carácter personal. Dichas normativas
prevén sanciones de tipo económico para este tipo de delitos.
El origen de las amenazas que provocan la fuga de
información puede ser tanto externo como interno.
Por origen interno se entienden las fugas de
información ocasionadas por empleados propios de la empresa, ya sea de forma
inadvertida (por desconocimiento o por error) o a propósito.
En el segundo caso los motivos «intencionados» que
pueden estar detrás de este tipo de incidentes son muy variados y podrían ser:
por estar descontento con la empresa, la venganza, la venta de secretos
industriales o información privilegiada para la obtención de beneficio
económico, el daño a la imagen de la empresa o la creación de una nueva con
parte de los activos de información.
Los principales orígenes externos de la fuga de
información abarcan desde organizaciones criminales hasta activistas. Sus
principales motivaciones pueden ser desde la obtención de un beneficio
económico con la venta de la información sustraída, la obtención de información
específica (planos, proyectos), hasta dañar la imagen de la empresa o llevar a
cabo acciones reivindicativas.
Para estimar el conjunto de las consecuencias que se
derivan de un incidente de fuga de información, en primer lugar podemos
agruparlos en las siguientes categorías:
·
Daño de imagen. Genera un
impacto negativo de la entidad y lleva implícita pérdida de confianza.
·
Consecuencias legales. Podrían
conllevar sanciones económicas o administrativas.
·
Consecuencias económicas.
Estrechamente relacionadas con las anteriores se encuentran dentro de aquellas
que suponen un impacto negativo a nivel económico, con una disminución de la
inversión, negocio, etc.
·
Otras consecuencias. Son aquellas
que afectan o suponen un impacto negativo en ámbitos muy diversos, como por
ejemplo, el ámbito político, diplomático, institucional, o gubernamental, entre
otros.
Al ser muchos los aspectos y situaciones dentro de
este tipo de incidentes, una mala gestión podría tener el efecto contrario al
deseado, es decir, se puede magnificar el efecto negativo del incidente.
El plan para la gestión de los incidentes de fuga de
información que se propone recoge los principales puntos y aspectos a tener en
cuenta. La gravedad del incidente y el contexto en el que se produzca hace que
los diferentes pasos se adapten al escenario específico.
Fase
|
Descripción
|
Fase inicial
|
Detección del incidente
Alerta del incidente a nivel interno
Inicio del protocolo de gestión
|
Fase de lanzamiento
|
Reunión del gabinete de crisis
Informe inicial de situación
Coordinación
y primeras acciones
|
Fase de auditoría
|
Auditoría interna y externa
Elaboración de informe preliminar
|
Fase de evaluación
|
Reunión del gabinete de crisis
Presentación del informe de
auditoría
Determinación de principales
acciones
Tareas y planificación
|
Fase de mitigación
|
Ejecución de todas las acciones del plan
|
Fase de seguimiento
|
Valoración de los resultados
del plan
Gestión de otras consecuencias
Auditoría completa
Aplicación de medidas y mejoras
|
Si deseas leer el detalle de cada uno de los pasos
presentados en la tabla anterior solo tienes que descargar la Guía completa aquí.
¿Te ha gustado la información? ¡Compártela con otro auditor interno!
Muy reconfortante saber que existe la Sinergia, en cuanto al tema: para nosotros los TI, o IT, es un factor elemental de mejores prácticas como inicio básico de administración y seguridad, pero para otras latitudes es o debería ser filosofía, ya que se encuentra implícito en nuestras actividades diarias. De alguna forma nos brindan la oportunidad de establecer el sano uso del "Core" (Núcleo) de las empresas que representamos, ya que está depositado en nosotros (IT o TI) la información como fuente vital de negocios corporativos, y es nuestro deber protegerle, brindarla y mantenerla Integra, como nos Cita, Xavier Marmol Blum, en su blog, detalle inspirador de reflexión hacía nuestra labor como IT, sigamos fortaleciendo nuestros entornos para continuar haciéndolo y crecer de lo básico a lo siguiente.
ResponderEliminarEs decir fortalecer las buenas prácticas en administración, actualización y control sobre como gestionar una fuga de información, que bien desarrollada lo merece nuestro colega.
Mis Disculpas Nahun, cometí un error respecto al utor de estos datos, y lo asocie a: Xavier Mármol Blum, Mil disculpas
ResponderEliminarMuy atinado tu comentario, Carlos Hércules. Gracias por compartir con nosotros tu opinión y sobre la confusión con Xavier Marmol, no hay problema.
EliminarSaludos cordiales,