Fugas de información

Desde que en el 2007 se iniciara la actividad de Wikileaks, las fugas de información así como los robos de la misma para hacerlos públicos han ido cobrando cada vez más popularidad, llegando a suponer uno de los problemas más graves para las organizaciones y gobiernos.

No cabe duda que en la era de Internet uno de los activos más importantes de cualquier empresa u organización, si no el mayor, es la información. Y para protegerlo se deben aplicar una serie de medidas que garanticen tres cosas: confidencialidad, integridad y disponibilidad. En el caso de la fuga de información, esta amenaza estaría íntimamente relacionada con el primer concepto, la confidencialidad, cuya pérdida supone que determinada información que únicamente debe ser accesible por unas personas en un determinado ámbito pasa a tener visibilidad en otro y por otro grupo de gente.

Este tipo de incidente de seguridad trae consigo una serie de consecuencias que pueden diferir dependiendo del escenario sobre el que se produzca y del tipo de información. No tendrá el mismo impacto una fuga de información relacionada con asuntos militares del Gobierno que una acerca de un portal infantil en Internet con bajo volumen de visitas. En líneas generales, las consecuencias de una fuga de información quedarían clasificadas en:

—Consecuencias legales: en España existe la Agencia Española de Protección de Datos (AEPD) que se encarga de velar el cumplimiento para la protección de datos de carácter personal. No cumplir la normativa puede conllevar sanciones administrativas y económicas.

—Pérdida de confianza: relacionada con el daño de la imagen de la organización. Para muchos países esta es la consecuencia más importante y la que más se debe evitar o mitigar.

—Consecuencias económicas: suponen un impacto negativo dentro del ámbito económico, generalmente suelen estar derivadas a causa de sanciones.

Aunque las consecuencias más importantes son las que se indican previamente, también pueden existir otras muy diversas que es posible determinar en función del ámbito donde se sucedan: ámbito político o gubernamental, personajes del cine y televisión, etc.

Una vez que el incidente ha sucedido, es muy importante tener en cuenta cómo se va a gestionar ya que si no se hace de manera adecuada, lo que en principio era una medida de mitigación, puede llegar a generar el efecto contrario, es decir, magnificar el efecto negativo.

La primera medida, y puesto que en la mayoría de las ocasiones el incidente no se conoce hasta que aparece en los medios de comunicación, es reunir al personal que gestionará el problema para organizarse correctamente y gestionar de manera adecuada el proceso evitando errores que puedan agravar el problema.

El siguiente paso que se debe dar es la identificación en el menor tiempo posible de la causa de la fuga de información, así como concretar la cantidad de información que ha sido filtrada o sustraída, el tipo, etc. El objetivo principal de esta fase es identificar la causa principal de la filtración. Pra ello se deben realizar tanto inspecciones internas como externas.

A continuación, y tras conocer más detalladamente el problema, comenzaría la fase de valoración del incidente con el objetivo de conocer las consecuencias futuras y el posible impacto que causará en la organización. Puesto que estos pasos se suceden en un lapso de tiempo muy corto, hay que analizar adecuadamente cada decisión que se toma para evitar realzar el impacto negativo.

Tras identificar la brecha por la que se ha producido la fuga de información, se debe reparar o corregir el problema que lo ha causado. Es en este punto en el que se sucede la contención, la solución y la toma del control del incidente.

Finalmente, una vez que se ha corregido el problema, se puede proceder a comunicar a los medios y a los afectados acerca del mismo. Es una medida elegante que será bien acogida pero que es necesario articular de manera correcta para que no se vuelva contra nosotros.

Sin duda, las fugas de información son una de las amenazas que más temen las organizaciones. Por ello es muy importante aplicar los mecanismos adecuados que minimicen este tipo de peligros. En muchas ocasiones será necesario contar con asesoramiento profesional, no sólo para la gestión del incidente si no también para conocer los mecanismos para protegernos frente a esta amenaza.

«La información es poder», Francis Bacon (1561-1626).