Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1 INTRODUCCIN ........................................................................ 3
2 FUGA DE INFORMACIN........................................................... 5
2.1 Origen y motivos ..................................................................................... 6
5 PREVENCIN .......................................................................... 18
6 REFERENCIAS .......................................................................... 20
Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 2 de 22
1 INTRODUCCIN
En este entorno, la seguridad cobra un sentido especial. Todas las propiedades del
mercado digital (velocidad, capacidad, movilidad,...) son aprovechadas y explotadas
por aquellos que no juegan limpio. La informacin se ha convertido en uno de los
activos ms importantes que posee una organizacin. Esta informacin es utilizada
como arma de desprestigio, herramienta de presin o elemento de valor que se
comercializa y vende a escala global en todo tipo de mbitos y sectores. Todo ello est
convirtiendo a la fuga de informacin en una de las mayores amenazas e instrumento
de fuerza y presin.
Pero hay que tener claro que la ciberseguridad total no existe y en ltima instancia, la
informacin es manipulada por personas. El usuario es el eslabn ms importante
de la cadena en lo que a ciberseguridad se refiere. La fuga de informacin tiene un
componente social y humano muy importante. Detrs de una buena parte de los
incidentes de fuga de informacin se esconden motivaciones personales, econmicas,
dao a la imagen de la organizacin o simples errores, entre otras.
Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 3 de 22
Life-cycle Management)), productos para el control de dispositivos externos o los que
estn destinados especficamente a evitar la fuga de informacin (DLP, del ingls Data
Loss Prevention).
Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 4 de 22
2 FUGA DE INFORMACIN
Por otra parte la ocultacin del incidente de fuga de informacin tambin puede ser
motivo de sancin. La Agencia Espaola de Proteccin de Datos (AEPD) es una
autoridad estatal encargada de velar por el cumplimiento de la normativa sobre
proteccin de datos. Sus funciones son garantizar y tutelar el derecho fundamental a
la proteccin de datos de carcter personal de los ciudadanos. Entre sus tareas se
encuentra detectar fugas de informacin. Si una empresa oculta un incidente de fuga
de fuga de informacin y la AEPD lo detecta, la sancin podra ser importante.
Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 5 de 22
pblico, a quin se debe de informar y en qu orden, as como otros aspectos relativos
a la comunicacin del suceso a los medios.
El origen de las amenazas que provocan la fuga de informacin puede ser tanto
externo como interno.
Por origen interno se entienden las fugas de informacin ocasionadas por empleados
propios de la empresa, ya sea de forma inadvertida (por desconocimiento o por error)
o a propsito.
En el segundo caso los motivos intencionados que pueden estar detrs de este tipo
de incidentes son muy variados y podran ser: por estar descontento con la empresa,
la venganza, la venta de secretos industriales o informacin privilegiada para la
obtencin de beneficio econmico, el dao a la imagen de la empresa o la creacin de
una nueva con parte de los activos de informacin.
Las causas principales de los casos de fuga de informacin (y por tanto el carcter de
las medidas preventivas que se debern adoptar) pueden ser clasificadas en dos
grupos estrechamente relacionados: aquellas que pertenecen al mbito organizativo
y aquellas que hacen referencia al mbito tcnico.
Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 6 de 22
Si se desconoce el valor de la informacin que trata la organizacin, no ser
posible disear y seleccionar las medidas de proteccin adecuadas. Por otro
lado, el mbito de difusin, permite establecer el permetro dentro del cual
podr ser difundida la informacin y junto con el nivel de confidencialidad,
har posible determinar quin debe conocer la informacin y qu tipo de
acciones puede realizar sobre esta. Esto se conoce como principio del mnimo
conocimiento [5].
Adems, se cuenta con legislacin que permite establecer lmites legales a las
actividades de sus trabajadores y que pueden ser utilizadas como mecanismos
de disuasin para evitar un uso malintencionado de la informacin.
Por otro lado, dentro de las causas tcnicas nos encontramos con:
Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 7 de 22
desprestigio, con el acceso no autorizado a una pgina web de una
organizacin, o con motivo de sustraer informacin sobre secretos
industriales. Gran parte de estos accesos no autorizados se podran evitar si
los sistemas y aplicaciones estuvieran convenientemente actualizados. La
actualizacin se considera parte fundamental de una buena aplicacin, puesto
que aporta mayor seguridad y denota un trabajo de mejora continua que
redunda en beneficio de la aplicacin y, por extensin, del usuario.
Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 8 de 22
3 LAS CONSECUENCIAS
Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 9 de 22
Uno de los factores que definen el escenario es el tipo de organizacin. El peso de las
consecuencias ser diferente si el incidente afecta a la administracin o si se trata de
una entidad privada:
Entidades del sector privado. Las consecuencias que tienen mayor peso son
aquellas de carcter econmico. Adems, a diferencia de las administraciones,
el sector privado s est expuesto a sanciones econmicas. Por otra parte, un
incidente puede suponer la prdida de confianza de los inversores o de sus
clientes, lo que tambin puede tener consecuencias muy significativas sobre
su negocio y su actividad.
Otro de los factores que definen el escenario es el tipo de datos, diferenciando entre:
Datos de carcter personal. cualquier dato que identifique o que pueda ser
asociado a una persona identificada. Su divulgacin o difusin, pueden
conllevar sanciones para la organizacin que ha sufrido el incidente.
En base a estos tres factores podemos tener una aproximacin que ayude a
determinar las posibles consecuencias de un incidente.
Para obtener una escala de valor de las consecuencias, es necesario contar con una
valoracin objetiva tanto de los factores comentados como de otros factores,
siguiendo un procedimiento de anlisis de riesgos. Tendremos en cuenta el activo a
proteger de la fuga de informacin, la amenaza, la probabilidad de que ocurra y el
impacto para poder obtener el dato real de riesgo.
Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 10 de 22
No es objeto de este documento desarrollar un mtodo de clculo del impacto, sino
mostrar algunos de los factores que pueden influir de forma decisiva en el valor final
que pueda tener ese impacto sobre la organizacin. Estos factores servirn para
disear un plan de gestin del incidente de fuga de informacin.
Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 11 de 22
4 GESTIN DE LA FUGA DE INFORMACIN
Al ser muchos los aspectos y situaciones dentro de este tipo de incidentes, una mala
gestin podra tener el efecto contrario al deseado, es decir, se puede magnificar el
efecto negativo del incidente.
El plan para la gestin de los incidentes de fuga de informacin que se propone recoge
los principales puntos y aspectos a tener en cuenta. La gravedad del incidente y el
contexto en el que se produzca hace que los diferentes pasos se adapten al escenario
especfico.
Fase Descripcin
Deteccin del incidente
Fase inicial Alerta del incidente a nivel interno
Inicio del protocolo de gestin
Reunin del gabinete de crisis
Fase de lanzamiento Informe inicial de situacin
Coordinacin y primeras acciones
Auditora interna y externa
Fase de auditora
Elaboracin de informe preliminar
Reunin del gabinete de crisis
Presentacin del informe de auditora
Fase de evaluacin
Determinacin de principales acciones
Tareas y planificacin
Fase de mitigacin Ejecucin de todas las acciones del plan
Valoracin de los resultados del plan
Gestin de otras consecuencias
Fase de seguimiento
Auditora completa
Aplicacin de medidas y mejoras
Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 12 de 22
Por este motivo, uno de los mayores retos a los que se enfrentan las organizaciones
es conseguir la deteccin temprana del incidente, si es posible, a travs de medios
internos, adems realizar una constante monitorizacin de cualquier publicacin
sobre nuestra entidad, para tomar el control de la situacin lo antes posible.
Una vez que hemos tenido conocimiento del incidente, en primer lugar debemos de
informar internamente de la situacin, junto con el lanzamiento del protocolo de
actuacin. Dentro de la informacin que debemos transmitir internamente es
importante incidir en la prudencia y redirigir a un interlocutor previamente designado
cualquier duda o pregunta tanto de los propios empleados como si la misma procede
de terceros el exterior. Adems, se deber de informar de la puesta en marcha del
proceso de gestin de la incidencia.
No todas las organizaciones cuentan con un gabinete de crisis o tienen los recursos
necesarios. Cada organizacin deber ajustarse a sus recursos. En cualquier caso, ser
necesario contar como mnimo con un responsable con capacidad de decisin, ya sea
personal propio de la organizacin o externo, que se encargar de la gestin y
coordinacin de la situacin. Cuanto ms cerca est el responsable del gabinete del
mximo responsable de la empresa, la gestin ser ms efectiva.
En cualquier caso, todas las decisiones y las actuaciones relativas al incidente debern
ser tomadas y coordinadas por el gabinete de crisis. Es fundamental evitar actuaciones
por libre o que no hayan sido definidas y acordadas por el gabinete.
Una vez se han iniciado los pasos anteriores, dara comienzo la fase de obtencin de
informacin sobre el incidente. Para ello, ser necesario iniciar una auditora interna,
con el objetivo de determinar con exactitud y en el menor tiempo posible lo siguiente:
Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 13 de 22
Determinar si la informacin es relativa a la propia organizacin o es externa,
es decir, si por el contrario se trata de informacin que hace referencia a
organizaciones o personas externas a la organizacin.
Recoger las noticias y otros contenidos que hayan aparecido en los medios de
comunicacin, as como en otros medios en Internet sobre el incidente.
Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 14 de 22
incompleta. Por otro lado, tambin hay que tener en cuenta la ventana de tiempo de
respuesta disponible, puesto que se debe actuar con agilidad.
Dentro de las principales tareas que ser necesario llevar a cabo, se encuentran las
siguientes:
Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 15 de 22
4.5 Fase de mitigacin
Hay que tener en cuenta, adems, la necesidad de informar a otros organismos que
puedan tener competencias derivadas de la informacin filtrada, como es el caso de
la Agencia Espaola de Proteccin de Datos, en el caso de datos de carcter personal.
Una vez completadas las principales acciones del plan, se proceder a evaluar el
resultado y la efectividad de las acciones realizadas, en relacin con las consecuencias
y su impacto. Adems, en caso de ser necesario, se deber de hacer frente a otras
Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 16 de 22
consecuencias que hayan podido generarse durante la fase de mitigacin del
incidente, como puedan ser consecuencias legales, econmicas, etc.
Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 17 de 22
5 PREVENCIN
Medidas organizativas
Poner en marcha buenas prcticas para la gestin de fuga de la informacin.
Definir una poltica de seguridad y procedimientos para todo el ciclo de vida de los
datos.
Establecer un sistema de clasificacin de la informacin, para ligarlo a roles y niveles
de acceso.
Llevar a cabo acciones de formacin e informacin interna en ciberseguridad.
Medidas tcnicas
Control de acceso e identidad.
Soluciones anti-malware y anti-fraude, seguridad perimetral y proteccin de las
telecomunicaciones.
Control de contenidos, control de trfico y copias de seguridad.
Medidas legales
Solicitud de aceptacin de la poltica de seguridad y de la de conformidad por parte
de los empleados.
Medidas relativas a la adecuacin y cumplimiento de la legislacin aplicable (LOPD,
LSSI, etc).
Otras medidas de carcter disuasorio en base a la legislacin.
Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 18 de 22
incidente de fuga de informacin, sino tambin, en la fase de diseo de las medidas
de prevencin es de vital importancia.
Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 19 de 22
6 REFERENCIAS
[4] ENISA - Recommendations for the technical implementation of the Art.4 of the
ePrivacy Directive. <https://www.enisa.europa.eu/activities/identity-and-trust/risks-
and-data-breaches/dbn/art4_tech> [consulta: 12/05/2015]
Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 20 de 22
7 NDICE DE FIGURAS Y TABLAS
FIGURAS
TABLAS
Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 21 de 22
Cmo gestionar una fuga de informacin. Una gua de aproximacin para el empresario Pgina 22 de 22