En
seguridad informática, la fuga de datos, también conocida como
filtración de la información o
escape de datos sensibles o confidenciales, se lleva produciendo a lo largo de los últimos años cada vez de manera más frecuente. Pero fue a raíz de las filtraciones de
Wikileaks, a partir del año 2010, que adquirieron importancia mediática. Repasamos en qué consiste una fuga de información y posibles medidas de prevención.
¿Qué es la fuga de información?
Una fuga de datos o Data Leakage es la pérdida de confidencialidad de la información de una organización, empresa o individuo, mediante la obtención de la misma o el conocimiento del contenido de esta por parte de personas no autorizadas para ello.
A menos que se apliquen diligentemente los controles adecuados, cabe esperar que la información acabe en las manos de gente no deseada. Incluso implementando controles, el riesgo de una fuga de información no desaparece.
Las fugas de datos pueden ser ocasionadas por causas internas o externas a las organizaciones:
- Internas: causadas por ejemplo, intencionada o accidentalmente por personal interno de la organización.
- Externas: por ejemplo, la filtración de los datos personales de los empleados de una empresa por un incidente de seguridad de un proveedor.
Además pueden ser deliberadas o involuntarias:
- Deliberadas: se filtran o revelan datos confidenciales con el propósito de obtener una ventaja económica o causar un daño o perjuicio a las organizaciones: sanciones económicas, la pérdida de una ventaja competitiva, la pérdida de imagen o reputación, etc.
- Involuntarias: se filtran o revelan datos confidenciales de manera accidental o no intencionada, por ejemplo, por no seguir las buenas prácticas de seguridad de la información.
Causas de una brecha de datos
La causa más común de las fugas de datos en las organizaciones es la falta o pérdida de la concienciación y disciplina en las buenas prácticas y medidas de seguridad para el tratamiento de la información. La mayoría de las veces se producen por:
- No borrar la información de la manera apropiada de soportes extraíbles.
- Almacenar información sensible en dispositivos portátiles.
- No cifrar los datos.
- O que los dispositivos de almacenaje de información acaben en manos inadecuadas mediante su pérdida o robo.
Consecuencias de una filtración de información
Dependiendo del tipo de información que se revele o se filtre, las consecuencias que produce son distintas. Por ejemplo, la fuga de datos personales puede ocasionar pérdidas económicas importantes para las organizaciones bien sea por multas de las agencias reguladoras o por la pérdida de la confianza de sus clientes. Si se produce una revelación de un secreto comercial, puede ocasionar la pérdida de una ventaja competitiva que deriva a su vez en perjuicios económicos.
De manera general, las fugas de información producen los siguientes costes para las organizaciones:
- Investigación del incidente y medidas de remediación.
- Contacto con los interesados afectados para informarlos.
- Penalizaciones y multas de las agencias reguladoras.
- Responsabilidades contractuales.
- Gastos de indemnización a los interesados afectados.
- Pérdida de confianza de los clientes y de reputación.
Cómo prevenir la fuga de información en informática
Las principales medidas de prevención contra la fuga de datos confidenciales son:
- Definir procedimientos de clasificación y tratamiento de la información e implementarlos.
- Formación y concienciación de los empleados en buenas prácticas de seguridad de la información y en los procedimientos aprobados de clasificación y tratamiento de la información.
- Limitar en la medida de lo posible la utilización de soportes extraíbles para el transporte o almacenamiento de información sensible.
- Cifrar la información en almacenamiento y en tránsito a través de redes no confiables.
- Implementar medidas de control de acceso físico y lógico a las instalaciones donde se ubica la información, a la red, a la propia información y los sistemas que la soportan.
- Implementación de sistemas DLP.
La fuga de datos o revelación de información confidencial ocasiona daños y perjuicios a organizaciones e individuos, entre ellas las pérdidas económicas derivadas de sanciones, de la pérdida de confianza de sus clientes, de la reputación de la marca, de ventajas competitivas… Se puede mitigar el riesgo de que se produzcan implementando medidas técnicas y organizativas pero, sobre todo, mediante la formación y concienciación de las personas.