NDICE

1 INTRODUCCIN ........................................................................ 3

2 FUGA DE INFORMACIN........................................................... 5
2.1 Origen y motivos ..................................................................................... 6

2.2 Cules son las causas? Cmo prevenirlas? ............................................ 6

3 LAS CONSECUENCIAS ................................................................ 9

3.1 Estimacin del impacto ............................................................................ 9

4 GESTIN DE LA FUGA DE INFORMACIN ................................ 12

4.1 Fase inicial ..............................................................................................12

4.2 Fase de lanzamiento ...............................................................................13

4.3 Fase de auditoria ....................................................................................13

4.4 Fase de evaluacin .................................................................................14

4.5 Fase de mitigacin ..................................................................................16

4.6 Fase de seguimiento ...............................................................................16

5 PREVENCIN .......................................................................... 18

6 REFERENCIAS .......................................................................... 20

7 NDICE DE FIGURAS Y TABLAS ................................................. 21

Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 2 de 22
 1 INTRODUCCIN

La globalizacin, el aumento de capacidad y velocidad de las transacciones y la

movilidad, provocados por la rpida evolucin de la tecnologa han dejado obsoleta la
forma de entender los negocios. Dentro de la empresa existen bienes intangibles
como la cartera de clientes, las tarifas, el conocimiento comercial, la propiedad
intelectual o la reputacin. Elementos que forman parte de la informacin de nuestra
empresa y que constituyen uno de los activos ms importantes de la organizacin.

En este entorno, la seguridad cobra un sentido especial. Todas las propiedades del
mercado digital (velocidad, capacidad, movilidad,...) son aprovechadas y explotadas
por aquellos que no juegan limpio. La informacin se ha convertido en uno de los
activos ms importantes que posee una organizacin. Esta informacin es utilizada
como arma de desprestigio, herramienta de presin o elemento de valor que se
comercializa y vende a escala global en todo tipo de mbitos y sectores. Todo ello est
convirtiendo a la fuga de informacin en una de las mayores amenazas e instrumento
de fuerza y presin.

Por este motivo, la ciberseguridad es un elemento clave para el desarrollo

econmico. La proteccin frente a las ciberamenazas (introduccin de cdigo daino
en sistemas, ataques a pginas web para robar informacin, fraude y robo de
identidad on-line, destruccin de informacin,...) y el fomento de la ciberseguridad
constituyen factores esenciales para el desarrollo de la economa de Internet. De esta
forma evitaremos en la medida de lo posible las filtraciones de informacin y la
prdida de imagen de nuestra compaa.

Pero hay que tener claro que la ciberseguridad total no existe y en ltima instancia, la
informacin es manipulada por personas. El usuario es el eslabn ms importante
de la cadena en lo que a ciberseguridad se refiere. La fuga de informacin tiene un
componente social y humano muy importante. Detrs de una buena parte de los
incidentes de fuga de informacin se esconden motivaciones personales, econmicas,
dao a la imagen de la organizacin o simples errores, entre otras.

Cmo podemos mitigar la fuga de informacin?

Por un lado debemos desarrollar y actualizar polticas de acceso a la informacin. Toda

organizacin debe seguir el principio del mnimo privilegio. Este principio se traduce
en que un usuario slo debe tener acceso a aquella informacin estrictamente
necesaria para desempear sus funciones diarias, siempre que nos refiramos a
informacin confidencial.

Por otro lado la industria de ciberseguridad [6] ofrece multitud de productos y

servicios para mitigar esta amenaza. Merece la pena destacar aquellos productos
destinados a la gestin del ciclo de vida de la informacin (ILM, del ingls Information

Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 3 de 22
 Life-cycle Management)), productos para el control de dispositivos externos o los que
estn destinados especficamente a evitar la fuga de informacin (DLP, del ingls Data
Loss Prevention).

Adems, dado que el factor humano es uno de los componentes de la fuga de la

informacin, es muy importante llevar a cabo campaas de concienciacin en materia
de ciberseguridad [8] dentro de la organizacin.

Qu debemos hacer si se produce una fuga de informacin en nuestra

empresa?

Por desgracia la prevencin no es suficiente, puesto que las consecuencias de la fuga

de informacin pueden ser muy negativas y tener un elevado nivel de dispersin,
llegando a afectar a otras organizaciones y usuarios. La urgencia por preservar la
imagen de la empresa hace que en ocasiones no se tomen las decisiones adecuadas
cuando no se dispone de un procedimiento bsico que sirva de gua y que permita
minimizar adecuadamente el impacto y evitar un empeoramiento de la situacin.

A lo largo de esta gua se desarrollarn los diferentes aspectos relacionados con la

gestin del incidente, es decir, cuando ya se ha producido y hay que gestionar las
posibles consecuencias, con el objetivo de minimizar el impacto del incidente de fuga
de informacin sobre la organizacin y sobre otros actores externos.

Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 4 de 22
 2 FUGA DE INFORMACIN

La proteccin de la informacin se articula en torno a la proteccin de tres principios

bsicos: confidencialidad, integridad y disponibilidad.

La confidencialidad implica que la informacin es accesible nicamente por el

personal autorizado.

La integridad de la informacin hace referencia a que la informacin sea

correcta y est libre de modificaciones y errores. La informacin ha podido ser
alterada intencionadamente o ser incorrecta y nosotros podemos basar
nuestras decisiones sobre ella.

La disponibilidad de la informacin hace referencia a que la informacin est

accesible, a las personas o sistemas autorizados, cuando sea necesario.

Llamamos fuga de informacin a la prdida de la confidencialidad, de forma que

informacin privilegiada sea accedida por personal no autorizado.

El impacto y las consecuencias posteriores a un incidente de fuga de informacin, son

muy negativos. Por un lado, la filtracin de informacin puede daar la imagen pblica
de la empresa y por tanto impactar negativamente en el negocio, generando
desconfianza e inseguridad en clientes. Asimismo, la publicacin de informacin
puede generar consecuencias a terceros: grupos externos de usuarios y otras
organizaciones cuyos datos se hayan hecho pblicos.

Adems, existe un conjunto de normativas y leyes que ponen especial nfasis en el

uso y tratamiento de datos de carcter personal. Dentro del tratamiento de datos de
carcter personal se han de considerar las fugas de informacin, ya que en muchas
ocasiones, estos incidentes terminan con la difusin o publicacin de datos de carcter
personal. Dichas normativas prevn sanciones de tipo econmico para este tipo de
delitos.

Por otra parte la ocultacin del incidente de fuga de informacin tambin puede ser
motivo de sancin. La Agencia Espaola de Proteccin de Datos (AEPD) es una
autoridad estatal encargada de velar por el cumplimiento de la normativa sobre
proteccin de datos. Sus funciones son garantizar y tutelar el derecho fundamental a
la proteccin de datos de carcter personal de los ciudadanos. Entre sus tareas se
encuentra detectar fugas de informacin. Si una empresa oculta un incidente de fuga
de fuga de informacin y la AEPD lo detecta, la sancin podra ser importante.

Este es uno de los aspectos ms crticos de la gestin de la fuga de informacin y ser

tambin una de las responsabilidades de la organizacin, de cara a decidir si se hace

Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 5 de 22
 pblico, a quin se debe de informar y en qu orden, as como otros aspectos relativos
a la comunicacin del suceso a los medios.

2.1 Origen y motivos

El origen de las amenazas que provocan la fuga de informacin puede ser tanto
externo como interno.

Por origen interno se entienden las fugas de informacin ocasionadas por empleados
propios de la empresa, ya sea de forma inadvertida (por desconocimiento o por error)
o a propsito.

En el segundo caso los motivos intencionados que pueden estar detrs de este tipo
de incidentes son muy variados y podran ser: por estar descontento con la empresa,
la venganza, la venta de secretos industriales o informacin privilegiada para la
obtencin de beneficio econmico, el dao a la imagen de la empresa o la creacin de
una nueva con parte de los activos de informacin.

Los principales orgenes externos de la fuga de informacin abarcan desde

organizaciones criminales hasta activistas. Sus principales motivaciones pueden ser
desde la obtencin de un beneficio econmico con la venta de la informacin
sustrada, la obtencin de informacin especfica (planos, proyectos), hasta daar la
imagen de la empresa o llevar a cabo acciones reivindicativas.

2.2 Cules son las causas? Cmo prevenirlas?

Las causas principales de los casos de fuga de informacin (y por tanto el carcter de
las medidas preventivas que se debern adoptar) pueden ser clasificadas en dos
grupos estrechamente relacionados: aquellas que pertenecen al mbito organizativo
y aquellas que hacen referencia al mbito tcnico.

Adems, la mayora de las causas, tanto organizativas o tcnicas, generalmente,

implican la ausencia de algn tipo de medida de seguridad, procedimiento,
herramienta, etc. Esta ausencia de medidas supone la falta de control sobre la
informacin y esta falta de control aumenta de forma significativa la probabilidad de
que se produzca un incidente de fuga de informacin.

Dentro de las causas organizativas:

Uno de los primeros errores que se comete en relacin con la proteccin de la

informacin es la falta de una clasificacin de la misma. Esta clasificacin se
puede realizar en base a su nivel de confidencialidad, en funcin de diversos
parmetros: el valor que tiene para la organizacin, el impacto que puede
generar su filtracin, su nivel de sensibilidad o si se trata de informacin
personal o no.

Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 6 de 22
 Si se desconoce el valor de la informacin que trata la organizacin, no ser
posible disear y seleccionar las medidas de proteccin adecuadas. Por otro
lado, el mbito de difusin, permite establecer el permetro dentro del cual
podr ser difundida la informacin y junto con el nivel de confidencialidad,
har posible determinar quin debe conocer la informacin y qu tipo de
acciones puede realizar sobre esta. Esto se conoce como principio del mnimo
conocimiento [5].

Los errores o la falta de conocimiento y formacin son otra de las causas ms

comunes de la fuga de informacin. Por un lado, el empleado debe utilizar los
recursos que la organizacin pone a su disposicin de forma responsable,
como en el caso de los servicios en la nube, los dispositivos mviles, el correo
electrnico, la navegacin Web, etc. Por otro lado, debe disponer de ciertos
conocimientos y formacin en relacin con su actividad diaria y en materia de
ciberseguridad [7], siendo responsabilidad de la organizacin proporcionar la
formacin necesaria de manera que el empleado pueda desempear su
funcin de forma segura.

Otra causa organizativa es la ausencia de procedimientos y el establecimiento

de pautas y obligaciones para los trabajadores en el mbito de ciberseguridad.
El establecimiento de polticas que indiquen al usuario claramente cules son
los lmites dentro de los cuales debern desempear su actividad y por otro
lado, los procedimientos para aquellas actividades de especial importancia o
riesgo, disminuirn el riesgo para que se produzca una fuga de informacin.

Por ltimo otra causa es que no existan acuerdos de confidencialidad de la

informacin con los empleados. Es importante solicitar por escrito la
conformidad con diversas normas internas, como la poltica de
confidencialidad o de seguridad, entre otras, de manera que el futuro
empleado, deja por escrito la aceptacin de las condiciones correspondientes.

Adems, se cuenta con legislacin que permite establecer lmites legales a las
actividades de sus trabajadores y que pueden ser utilizadas como mecanismos
de disuasin para evitar un uso malintencionado de la informacin.

Por otro lado, dentro de las causas tcnicas nos encontramos con:

El cdigo malicioso o malware, es una de las principales amenazas, siendo el

robo de informacin uno de sus objetivos ms comunes. El malware esta
muchas veces diseado utilizando tcnicas que permiten mantener oculto su
cdigo en un sistema, mientras recoge y enva informacin.

El acceso no autorizado a sistemas e infraestructuras es otra de las causas

detrs del robo de informacin. Ya sea como parte de una campaa de

Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 7 de 22
 desprestigio, con el acceso no autorizado a una pgina web de una
organizacin, o con motivo de sustraer informacin sobre secretos
industriales. Gran parte de estos accesos no autorizados se podran evitar si
los sistemas y aplicaciones estuvieran convenientemente actualizados. La
actualizacin se considera parte fundamental de una buena aplicacin, puesto
que aporta mayor seguridad y denota un trabajo de mejora continua que
redunda en beneficio de la aplicacin y, por extensin, del usuario.

La generalizacin del uso de servicios en la nube para el almacenamiento de

todo tipo de informacin puede conllevar a la percepcin de que en la nube
nuestra informacin est segura, cuando lo cierto es que no es as. El nivel de
seguridad que tiene es el del eslabn ms dbil, que, muy a menudo son los
propios usuarios y sus contraseas. Los incidentes de fuga informacin
causados por el uso inadecuado de servicios en la nube son parecidos a los
causados por uso de redes sociales y la forma de tratarlos es muy similar.

El uso de las tecnologas mviles para el trabajo diario, almacenando en ellos

informacin muy crtica han ocasionado la generalizacin de medidas como el
cifrado de los dispositivos o el uso de VPN (redes privadas virtuales) en las
comunicaciones. Sin embargo, si la informacin almacenada en los dispositivos
es realmente critica, ninguna medida puede llegar a ser suficiente. Un
dispositivo sustrado, en las manos equivocadas, contendr mucha
informacin que puede ser publicada. Adems este tipo de incidentes son de
difcil mitigacin. Las medidas de seguridad deben haberse tomado con
anterioridad al incidente, porque una vez este ocurre hay poco margen de
maniobra.

Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 8 de 22
 3 LAS CONSECUENCIAS

Las consecuencias de un incidente de fuga de informacin preocupan enormemente

a las empresas y las organizaciones. Un incidente de estas caractersticas que se hace
pblico puede causar un importante dao de imagen y mermar la confianza de los
clientes de la entidad, lo que puede llegar a afectar a su negocio.

Comprender las posibles consecuencias es un aspecto esencial y necesario para la

adecuada gestin de incidentes de este tipo. As ser posible disear una estrategia,
de forma que en caso de que finalmente se produzca, se tomen las decisiones y
medidas adecuadas para minimizar el impacto del incidente.

Determinar las consecuencias y el impacto de un incidente de fuga de informacin es

una tarea muy compleja que depende de muchos factores. En el siguiente apartado
vamos a analizar algunos de esos factores, que servirn de base de cara a establecer
las consecuencias y el posible nivel de impacto.

3.1 Estimacin del impacto

Para estimar el conjunto de las consecuencias que se derivan de un incidente de fuga

de informacin, en primer lugar podemos agruparlos en las siguientes categoras:

Dao de imagen. Genera un impacto negativo de la entidad y lleva implcita

prdida de confianza.

Consecuencias legales. Podran conllevar sanciones econmicas o

administrativas.

Consecuencias econmicas. Estrechamente relacionadas con las anteriores se

encuentran dentro de aquellas que suponen un impacto negativo a nivel
econmico, con una disminucin de la inversin, negocio, etc.

Otras consecuencias. Son aquellas que afectan o suponen un impacto negativo

en mbitos muy diversos, como por ejemplo, el mbito poltico, diplomtico,
institucional, o gubernamental, entre otros.

Todas estas categoras estn relacionadas entre s y suelen darse conjuntamente. La

diferencia estar en funcin del escenario, donde cada uno de ellos tendr un peso.

Ilustracin 1 Consecuencias de la fuga de informacin.

Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 9 de 22
 Uno de los factores que definen el escenario es el tipo de organizacin. El peso de las
consecuencias ser diferente si el incidente afecta a la administracin o si se trata de
una entidad privada:

Administracin. El posible dao e imagen es un factor que cobra importancia

desde un punto de vista poltico. Sin embargo, las consecuencias econmicas,
as como las sanciones debidas a incumplimiento de la legislacin, son
limitadas.

Entidades del sector privado. Las consecuencias que tienen mayor peso son
aquellas de carcter econmico. Adems, a diferencia de las administraciones,
el sector privado s est expuesto a sanciones econmicas. Por otra parte, un
incidente puede suponer la prdida de confianza de los inversores o de sus
clientes, lo que tambin puede tener consecuencias muy significativas sobre
su negocio y su actividad.

Otro de los factores adicionales que definen el escenario es si la informacin que ha

sido accedida es considerada como informacin confidencial o no. Las consecuencias
pueden ser muy distintas. Por tanto, adems de la clasificacin anterior tenemos
tambin:

Informacin confidencial o restringida. Aquella informacin que

consideremos crtica para los procesos de nuestra entidad. Por ejemplo, datos
de clientes, contabilidad, datos de los propios trabajadores.

Informacin no confidencial. El hecho de su divulgacin impactara en la

imagen de la empresa, pero el peso del impacto econmico ser menor.

Otro de los factores que definen el escenario es el tipo de datos, diferenciando entre:

Datos de carcter personal. cualquier dato que identifique o que pueda ser
asociado a una persona identificada. Su divulgacin o difusin, pueden
conllevar sanciones para la organizacin que ha sufrido el incidente.

Otros datos. Sern aquellos que no son datos de carcter personal,

generalmente relacionados con terceros, informacin tcnica u operativa.

En base a estos tres factores podemos tener una aproximacin que ayude a
determinar las posibles consecuencias de un incidente.

Para obtener una escala de valor de las consecuencias, es necesario contar con una
valoracin objetiva tanto de los factores comentados como de otros factores,
siguiendo un procedimiento de anlisis de riesgos. Tendremos en cuenta el activo a
proteger de la fuga de informacin, la amenaza, la probabilidad de que ocurra y el
impacto para poder obtener el dato real de riesgo.

Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 10 de 22
 No es objeto de este documento desarrollar un mtodo de clculo del impacto, sino
mostrar algunos de los factores que pueden influir de forma decisiva en el valor final
que pueda tener ese impacto sobre la organizacin. Estos factores servirn para
disear un plan de gestin del incidente de fuga de informacin.

Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 11 de 22
 4 GESTIN DE LA FUGA DE INFORMACIN

Al ser muchos los aspectos y situaciones dentro de este tipo de incidentes, una mala
gestin podra tener el efecto contrario al deseado, es decir, se puede magnificar el
efecto negativo del incidente.

El plan para la gestin de los incidentes de fuga de informacin que se propone recoge
los principales puntos y aspectos a tener en cuenta. La gravedad del incidente y el
contexto en el que se produzca hace que los diferentes pasos se adapten al escenario
especfico.

Fase Descripcin
Deteccin del incidente
Fase inicial Alerta del incidente a nivel interno
Inicio del protocolo de gestin
Reunin del gabinete de crisis
Fase de lanzamiento Informe inicial de situacin
Coordinacin y primeras acciones
Auditora interna y externa
Fase de auditora
Elaboracin de informe preliminar
Reunin del gabinete de crisis
Presentacin del informe de auditora
Fase de evaluacin
Determinacin de principales acciones
Tareas y planificacin
Fase de mitigacin Ejecucin de todas las acciones del plan
Valoracin de los resultados del plan
Gestin de otras consecuencias
Fase de seguimiento
Auditora completa
Aplicacin de medidas y mejoras

Tabla 1. Resumen de acciones

4.1 Fase inicial

Los momentos inmediatamente posteriores a la deteccin de un incidente de fuga de

informacin son especialmente crticos. Una adecuada gestin en las primeras fases
puede suponer una reduccin del impacto. Excepto en el caso de prdida de
dispositivos mviles, el principal problema es que en la mayora de las ocasiones no
es detectado hasta que su filtracin se hace pblica bien a travs de los medios de
comunicacin o Internet, bien a travs de algn tipo de notificacin por parte del
ciberdelincuente responsable del hecho.

Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 12 de 22
 Por este motivo, uno de los mayores retos a los que se enfrentan las organizaciones
es conseguir la deteccin temprana del incidente, si es posible, a travs de medios
internos, adems realizar una constante monitorizacin de cualquier publicacin
sobre nuestra entidad, para tomar el control de la situacin lo antes posible.

Una vez que hemos tenido conocimiento del incidente, en primer lugar debemos de
informar internamente de la situacin, junto con el lanzamiento del protocolo de
actuacin. Dentro de la informacin que debemos transmitir internamente es
importante incidir en la prudencia y redirigir a un interlocutor previamente designado
cualquier duda o pregunta tanto de los propios empleados como si la misma procede
de terceros el exterior. Adems, se deber de informar de la puesta en marcha del
proceso de gestin de la incidencia.

4.2 Fase de lanzamiento

El primer paso es iniciar el protocolo interno de gestin del incidente, convocando a

los responsables que forman parte del equipo de gestin que deben tomar las
decisiones: el gabinete de crisis. Mantener la calma y actuar con organizacin es
fundamental para evitar decisiones incorrectas o que pueden provocar consecuencias
negativas adicionales, ya sea a nivel interno o externo.

No todas las organizaciones cuentan con un gabinete de crisis o tienen los recursos
necesarios. Cada organizacin deber ajustarse a sus recursos. En cualquier caso, ser
necesario contar como mnimo con un responsable con capacidad de decisin, ya sea
personal propio de la organizacin o externo, que se encargar de la gestin y
coordinacin de la situacin. Cuanto ms cerca est el responsable del gabinete del
mximo responsable de la empresa, la gestin ser ms efectiva.

En cualquier caso, todas las decisiones y las actuaciones relativas al incidente debern
ser tomadas y coordinadas por el gabinete de crisis. Es fundamental evitar actuaciones
por libre o que no hayan sido definidas y acordadas por el gabinete.

4.3 Fase de auditoria

Una vez se han iniciado los pasos anteriores, dara comienzo la fase de obtencin de
informacin sobre el incidente. Para ello, ser necesario iniciar una auditora interna,
con el objetivo de determinar con exactitud y en el menor tiempo posible lo siguiente:

Determinar la cantidad (tamao en disco, nmero de registros, etc.) de

informacin ha podido ser sustrada.

Establecer el tipo de datos que contiene la informacin que ha podido ser

sustrada. Debe considerarse especialmente si se han filtrado datos de carcter
personal y de qu nivel segn el reglamento de la LOPD [2].

Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 13 de 22
 Determinar si la informacin es relativa a la propia organizacin o es externa,
es decir, si por el contrario se trata de informacin que hace referencia a
organizaciones o personas externas a la organizacin.

Establecer y acotar la causa principal de la filtracin, si tiene un origen tcnico,

o humano. Si el origen es tcnico, determinar los sistemas que estn afectados
o en los cuales se ha producido la brecha. Si es humano, iniciar el proceso para
identificar como se ha producido la fuga y responsables de esa informacin.

Adems de la auditora interna, tambin es necesario realizar una auditora externa.

El objetivo de sta ser conocer el tamao, gravedad y nivel de difusin de la filtracin
en el exterior de la organizacin. Hay que distinguir entre informacin que ha sido
sustrada e informacin que se ha hecho pblica, ya que no son necesariamente lo
mismo. Al menos es necesario:

Determinar el alcance de la publicacin de la informacin sustrada (dnde se

ha publicado, cuantos potenciales accesos habr tenido, etc.). Este punto es
crtico para cerrar la brecha de seguridad y mitigar la difusin de la informacin
sustrada.

Establecer qu informacin se ha hecho pblica y determinar la cantidad

(tamao en disco, nmero de registros, etc.) de la informacin filtrada en el
exterior de la organizacin.

Recoger las noticias y otros contenidos que hayan aparecido en los medios de
comunicacin, as como en otros medios en Internet sobre el incidente.

Conocer las reacciones que se estn produciendo en relacin con el incidente.

En esta fase, el tiempo de reaccin es crtico. De forma orientativa es recomendable

conocer la mayor parte de los puntos anteriores en un plazo no superior a 12 horas,
desde el momento en que se ha conocido el incidente.

En cualquier caso, un periodo superior a las 48 horas podra considerarse excesivo,

aunque depender de la gravedad del incidente y de otros factores. En este sentido,
reducir los tiempos es fundamental, pero sin perder de vista que debe primar la
obtencin de informacin fiable y no meras hiptesis o suposiciones.

4.4 Fase de evaluacin

Con la informacin obtenida se inicia el proceso de valoracin del incidente, posibles

consecuencias e impacto. Se establecen las tareas principales con una planificacin
detallada para cada una de ellas. Se debe considerar que al tratarse de una evaluacin
inicial las tareas se disean en funcin de la informacin disponible, que puede ser

Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 14 de 22
 incompleta. Por otro lado, tambin hay que tener en cuenta la ventana de tiempo de
respuesta disponible, puesto que se debe actuar con agilidad.

Dentro de las principales tareas que ser necesario llevar a cabo, se encuentran las
siguientes:

Tareas para cortar la filtracin y evitar nuevas fugas de informacin.

Tareas de revisin de la difusin de la informacin y mitigacin de la misma,

en especial si sta contiene datos de carcter personal o se trata de
informacin confidencial.

Tareas de actuacin con los afectados por la fuga de informacin, ya sean

internos o externos.

Tareas para la mitigacin de las consecuencias legales: posibles

incumplimientos de normativa en materia de proteccin de datos de carcter
personal o de otra normativa. Tambin aquellas tareas encaminadas a la
preparacin de toda la informacin necesaria ante posibles denuncias por los
afectados, otras organizaciones, etc.

Tareas para la determinacin de las consecuencias econmicas, que puedan

afectar a la organizacin y su posible mitigacin.

Tareas a acometer en los activos de la organizacin afectados, y su alcance, en

relacin con los activos de informacin, infraestructuras, personas, etc.

Planificacin del contacto y coordinacin con fuerzas y cuerpos de seguridad,

denuncia y otras actuaciones, en caso de ser necesario.

Planificacin de comunicacin e informacin del incidente, tanto a nivel

interno como externo, a medios de comunicacin, y afectados, en caso de ser
necesario.

Este conjunto bsico de acciones compondrn el plan de emergencia diseado para el

incidente de fuga de informacin. Su ejecucin deber de estar completamente
coordinada y supervisada en todo momento por el gabinete de crisis.

En funcin del escenario y los recursos de la organizacin, las acciones indicadas

anteriormente podrn realizarse de forma simultnea o secuencial. En cualquier caso,
establecer la prioridad de las tareas ser responsabilidad del gabinete de crisis.

Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 15 de 22
 4.5 Fase de mitigacin

El primer paso es reducir la brecha de seguridad y evitar que se produzcan nuevas

fugas de informacin. Por este motivo, en algunos casos es posible que sea necesario
desconectar un determinado servicio o sistema de Internet. Ante esta situacin debe
primar el objeto del plan que no es otro que mitigar la fuga de informacin en el menor
tiempo posible. Ms adelante se aplicarn medidas ms adecuadas o menos drsticas
que la desconexin, pero siempre garantizando la seguridad.

El siguiente paso es debemos minimizar la difusin de la informacin sustrada, en

especial si se encuentra publicada en Internet. Por este motivo, se contactar con los
sitios que han publicado informacin y se solicitar su retirada, en especial si se trata
de informacin sensible o protegida por la LOPD.

Junto con el paso anterior, si se considera necesario, se llevar a cabo la comunicacin

pertinente a los medios. Los medios de comunicacin pueden aportar un mecanismo
muy eficaz para hacer llegar tranquilidad a los afectados. Como se indic
anteriormente debe de existir un nico punto de contacto exterior desde la
organizacin para evitar descoordinacin.

En caso de existir personas afectadas por la fuga de informacin, por ejemplo, si se

han filtrado datos de terceros, como clientes o usuarios de un servicio, es fundamental
que estos sean informados. Se informar no solo del incidente, sino tambin de los
datos que han sido sustrados a fin de que puedan tomar las acciones oportunas para
su seguridad, como puede ser el cambio de contraseas, revocacin de nmeros de
tarjetas, ser especialmente cautelosos con correos de desconocidos, etc. Adems, se
debe proporcionar algn canal para que los afectados puedan mantenerse informados
sobre la evolucin del incidente y las distintas recomendaciones que pueda realizar la
organizacin a los afectados, con el objetivo de minimizar las consecuencias.

Posteriormente se pondr en conocimiento del incidente a las fuerzas y cuerpos de

seguridad del estado, a travs de la presentacin de una denuncia y otras acciones
que puedan derivarse de la coordinacin o la solicitud de informacin por parte de las
fuerzas y cuerpos de seguridad.

Hay que tener en cuenta, adems, la necesidad de informar a otros organismos que
puedan tener competencias derivadas de la informacin filtrada, como es el caso de
la Agencia Espaola de Proteccin de Datos, en el caso de datos de carcter personal.

4.6 Fase de seguimiento

Una vez completadas las principales acciones del plan, se proceder a evaluar el
resultado y la efectividad de las acciones realizadas, en relacin con las consecuencias
y su impacto. Adems, en caso de ser necesario, se deber de hacer frente a otras

Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 16 de 22
 consecuencias que hayan podido generarse durante la fase de mitigacin del
incidente, como puedan ser consecuencias legales, econmicas, etc.

Durante esta fase tambin se iniciar el proceso de estabilizacin de la situacin

generada por el incidente. Se comenzar con un proceso de valoracin global del
mismo, que supondr una auditora ms completa a partir de la cual se disearan e
implantaran las medidas definitivas para evitar nuevas fugas y restablecer el normal
funcionamiento de los servicios e infraestructuras que pudieran haberse visto
afectadas.

Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 17 de 22
 5 PREVENCIN

Las principales medidas de prevencin deben orientarse hacia el componente humano

y organizativo que se encuentra dentro de las causas de este tipo de incidentes.

La prevencin de la fuga de informacin pasa por la aplicacin de medidas de

seguridad desde tres puntos de vista: tcnico, organizativo y legal.

Medidas organizativas
Poner en marcha buenas prcticas para la gestin de fuga de la informacin.

Definir una poltica de seguridad y procedimientos para todo el ciclo de vida de los
datos.
Establecer un sistema de clasificacin de la informacin, para ligarlo a roles y niveles
de acceso.
Llevar a cabo acciones de formacin e informacin interna en ciberseguridad.

Implantar un sistema de gestin de seguridad de la informacin.

Medidas tcnicas
Control de acceso e identidad.
Soluciones anti-malware y anti-fraude, seguridad perimetral y proteccin de las
telecomunicaciones.
Control de contenidos, control de trfico y copias de seguridad.

Control de acceso a los recursos, actualizaciones de seguridad y parches.

Medidas legales
Solicitud de aceptacin de la poltica de seguridad y de la de conformidad por parte
de los empleados.
Medidas relativas a la adecuacin y cumplimiento de la legislacin aplicable (LOPD,
LSSI, etc).
Otras medidas de carcter disuasorio en base a la legislacin.

Tabla 2: Medidas preventivas

Cada organizacin es diferente y ser necesario buscar un equilibrio entre

complejidad, coste y riesgo, en relacin con la implantacin de las medidas de
seguridad. Pero el asesoramiento profesional, no solo durante la gestin de un

Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 18 de 22
 incidente de fuga de informacin, sino tambin, en la fase de diseo de las medidas
de prevencin es de vital importancia.

Para evitar fugas de informacin causadas por el uso inadecuado de servicios en la

nube, debemos seguir las mismas medidas que para otros tipos de incidentes: sobre
todo un buen control del acceso a dichos servicios y concienciacin de los empleados.

Para los incidentes causados por dispositivos mviles, la prevencin se basa en

implantar polticas de uso y medidas tcnicas: soluciones anti-malware, cifrado, uso
de sistemas VPN, etc.

Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 19 de 22
 6 REFERENCIAS

[1] INCIBE - Dossier Proteccin de la informacin

<https://www.incibe.es/empresas/que_te_interesa/Proteccion_de_informacion/>
[consulta: 12/05/2015]

[2] BOE Art. 80 y 81 (Niveles de seguridad y aplicacin de los niveles de seguridad)

del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de
proteccin de datos de carcter personal.
<http://www.boe.es/buscar/doc.php?id=BOE-A-2008-979> [consulta: 12/05/2015]

[3] ENISA - Recommendations for a methodology of the assessment of severity of

personal data breaches. <https://www.enisa.europa.eu/activities/identity-and-
trust/library/deliverables/dbn-severity/at_download/fullReport> [consulta:
12/05/2015]

[4] ENISA - Recommendations for the technical implementation of the Art.4 of the
ePrivacy Directive. <https://www.enisa.europa.eu/activities/identity-and-trust/risks-
and-data-breaches/dbn/art4_tech> [consulta: 12/05/2015]

[5] Blog Empresas de INCIBE Acceso a la informacin? Slo el mnimo.

<https://www.incibe.es/blogs/post/Empresas/BlogSeguridad/Articulo_y_comentario
s/Politica_acceso_informacion_principio_minimo_conocimiento> [consulta:
12/05/2015]

[6] INCIBE Empresas - Herramientas Catlogo de ciberseguridad

<https://www.incibe.es/icdemoest/empresas/Catalogo_STIC/ > [consulta:
30/06/2015]

[7] INCIBE Empresas Kit de concienciacin

<https://www.incibe.es/empresas/Kit_de_concienciacion/> [consulta: 30/06/2015]

Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 20 de 22
 7 NDICE DE FIGURAS Y TABLAS

FIGURAS

Ilustracin 1 Consecuencias de la fuga de informacin 9

TABLAS

Tabla 1 Resumen de acciones 11

Tabla 2: Medidas preventivas .. 16

Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 21 de 22
Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 22 de 22