Por: Nahun Frett – MBA, CIA, CCSA, CRMA, CPA, CFE
República Dominicana
Colaborador de www.auditool.org
Red Global de Conocimientos en Auditoría y Control Interno
Durante esta semana pude leer una interesantísima Guía sobre Gestión de Fuga de Información desarrollada por el Instituto Nacional de Ciberseguridad de España, la cual contiene información esencial sobre el tema, por lo cual me gustaría compartir con los lectores del Blog, algunas de las informaciones incluidas en la misma.La protección de la información se articula en torno a la protección de tres principios básicos: confidencialidad, integridad y disponibilidad.
· La confidencialidad implica que la información es accesible únicamente por el personal autorizado.
· La integridad de la información hace referencia a que la información sea correcta y esté libre de modificaciones y errores. La información ha podido ser alterada intencionadamente o ser incorrecta y nosotros podemos basar nuestras decisiones sobre ella.
· La disponibilidad de la información hace referencia a que la información esté accesible, a las personas o sistemas autorizados, cuando sea necesario.
Llamamos fuga de información a la pérdida de la confidencialidad, de forma que información privilegiada sea accedida por personal no autorizado.
El impacto y las consecuencias posteriores a un incidente de fuga de información, son muy negativos. Por un lado, la filtración de información puede dañar la imagen pública de la empresa y por tanto impactar negativamente en el negocio, generando desconfianza e inseguridad en clientes. Asimismo, la publicación de información puede generar consecuencias a terceros: grupos externos de usuarios y otras organizaciones cuyos datos se hayan hecho públicos.
Además, existe un conjunto de normativas y leyes que ponen especial énfasis en el uso y tratamiento de datos de carácter personal. Dentro del tratamiento de datos de carácter personal se han de considerar las fugas de información, ya que en muchas ocasiones, estos incidentes terminan con la difusión o publicación de datos de carácter personal. Dichas normativas prevén sanciones de tipo económico para este tipo de delitos.
El origen de las amenazas que provocan la fuga de información puede ser tanto externo como interno.
Por origen interno se entienden las fugas de información ocasionadas por empleados propios de la empresa, ya sea de forma inadvertida (por desconocimiento o por error) o a propósito.
En el segundo caso los motivos «intencionados» que pueden estar detrás de este tipo de incidentes son muy variados y podrían ser: por estar descontento con la empresa, la venganza, la venta de secretos industriales o información privilegiada para la obtención de beneficio económico, el daño a la imagen de la empresa o la creación de una nueva con parte de los activos de información.
Los principales orígenes externos de la fuga de información abarcan desde organizaciones criminales hasta activistas. Sus principales motivaciones pueden ser desde la obtención de un beneficio económico con la venta de la información sustraída, la obtención de información específica (planos, proyectos), hasta dañar la imagen de la empresa o llevar a cabo acciones reivindicativas.
Para estimar el conjunto de las consecuencias que se derivan de un incidente de fuga de información, en primer lugar podemos agruparlos en las siguientes categorías:
· Daño de imagen. Genera un impacto negativo de la entidad y lleva implícita pérdida de confianza.
· Consecuencias legales. Podrían conllevar sanciones económicas o administrativas.
· Consecuencias económicas. Estrechamente relacionadas con las anteriores se encuentran dentro de aquellas que suponen un impacto negativo a nivel económico, con una disminución de la inversión, negocio, etc.
· Otras consecuencias. Son aquellas que afectan o suponen un impacto negativo en ámbitos muy diversos, como por ejemplo, el ámbito político, diplomático, institucional, o gubernamental, entre otros.
Al ser muchos los aspectos y situaciones dentro de este tipo de incidentes, una mala gestión podría tener el efecto contrario al deseado, es decir, se puede magnificar el efecto negativo del incidente.
El plan para la gestión de los incidentes de fuga de información que se propone recoge los principales puntos y aspectos a tener en cuenta. La gravedad del incidente y el contexto en el que se produzca hace que los diferentes pasos se adapten al escenario específico.
Si deseas leer el detalle de cada uno de los pasos presentados en la tabla anterior solo tienes que descargar la Guía completa AQUÍ.
Del Autor: Nahun Frett, es un reconocido conferencista especializado en temas sobre auditoría interna, gestión de riesgo, gobierno corporativo, cambio organizacional, liderazgo y auto-evaluación de control. Motivador nato de equipos multidisciplinarios de auditoría interna, ampliamente solicitado para dictar conferencias y proveer capacitación en cursos, talleres y seminarios. Colaborador de Auditool.
Publicado en el Blog de Nahun Frett – http://nahunfrett.blogspot.com