Consejos para evitar fugas de información en mi empresa

evitar fugas de informacion
evitar fugas de informacion

¿Es importante la cartera de clientes para tu empresa? ¿Y la lista de proveedores? ¿Y las facturas? Seguramente la respuesta a todo ha sido sí. La información es el activo más importante del que disponen las empresas independientemente de su tamaño.

Cada vez tenemos constancia de más ataques a la seguridad de la información de las empresas ocasionando graves consecuencias, tanto económicas como legales, con sanciones por incumplimiento de la normativa de Protección de Datos, pero también se producen daños a la imagen y reputación de la empresa.

Seguridad de la información

Existe una inclinación de las empresas a considerar como activos únicamente a sus bienes tangibles como mobiliario o maquinaria sin considerar como activos también los bienes intangibles como la propiedad intelectual, las tarifas, la cartera de clientes, etc. Tanto unos como otros forman parte de los activos más importantes en nuestra empresa y, como tales, debemos protegerlos frente a cualquier ataque.

Pilares de la seguridad de la información

La seguridad de la información se organiza sobre tres pilares básicos sobre los cuales deben aplicarse la medidas de seguridad.

  • La disponibilidad de la información implica que la información esté disponible cuando la necesitemos. Ejemplos de falta de disponibilidad de la información son cuando se sufre un ataque de denegación de servicio, se produce una caída del sistema impidiendo accesos legítimos o la posibilidad de entrar en el correo electrónico de la empresa debido a un error de configuración. Ambos tienen graves consecuencias para la seguridad de la información.
  • La integridad de la información se refiere a que la información sea correcta y no esté modificada o sea errónea. La información ha podido ser alterada deliberadamente o ser incorrecta y nosotros podemos fundamentar nuestras decisiones en ella. Ejemplos de ataques contra la integridad de la información son la modificación maliciosa en los ficheros del sistema informático aprovechando una vulnerabilidad, o un la alteración de un dosier de ventas por un empleado con malas intenciones o por error humano.
  • La confidencialidad supone que la información solo está disponible para el personal autorizado. El término need-to-know, define que la información solo se dará a conocer a las personas, entidades o sistemas autorizados para su acceso. Ejemplos de inexistencia de confidencialidad, son el acceso a información confidencial por parte de un atacante a través de internet, la propagación no autorizada por las redes sociales de información confidencial, o el acceso por parte de un trabajador a información crítica de la compañía situada en carpetas sin permisos asignados, a la que no debería tener acceso.

Protección de la información en la empresa

El primer paso que debemos realizar es analizar toda la información que utilizamos en la empresa y seleccionar la más crítica, es decir, aquella que si se hace pública o se pierde paralizaría nuestra actividad y nos ocasionaría pérdidas económicas o en nuestra reputación. En esta organización de la información podemos fijar varias categorías en función de su importancia para la empresa.

Una vez establecidos los distintos niveles de seguridad de esa información es necesario realizar una copia de seguridad de esta información o, por lo menos, de la más importante y nos cercioraremos de que podemos recuperarla en caso de pérdida.

Como siguiente paso, debemos implantar un control de accesos. Esto significa que la información sólo pueda ser accesible para quien realmente la necesite para poder realizar su trabajo y siempre que esté acreditado para ello. De esta forma sabremos el departamento o persona concreta que accede a determinado tipo de información lo que reduce la posibilidad de que haya errores accidentales que causen el extravío o la indisponibilidad de la información. También es más difícil que la información llegue a personas que no estén autorizadas.

Igual de importante es limitar el uso de aplicaciones no corporativas (correo personal, almacenamiento en la nube) y revisar los dispositivos externos. Cada vez es más usual tener el móvil o la tableta en la oficina, además de usar memorias USB personales. Es posible que nos simplifiquen el trabajo pero pueden comportar un riesgo añadido. Y una vez que estos soportes dejen de ser útiles, debemos borrar toda la información que contienen.

Por último, es obligatorio que nuestros empleados acepten y firmen la política de confidencialidad de la empresa y cómo deben tratar los datos personales.

banner de diseño web

Principales fallos de seguridad en empresas y negocios

Como dice Maquiavelo en “El Príncipe”: “La prudencia consiste en saber conocer la calidad de los inconvenientes y tomar por bueno el menos malo”. Es muy importante saber cuáles son nuestros puntos débiles y así aplicar las medidas necesarias para corregirlos.

  • Fallo en la asignación de permisos: la mayoría de los incidentes de seguridad se producen dentro de la propia empresa, tanto de forma intencionada como accidental, debido a que los empleados deben acceder a la información para trabajar. Estos riesgos cambiarán según el perfil y las autorizaciones que tenga el empleado para acceder a cada tipo de información. Los permisos no serán iguales para un empleado que realice sus funciones con datos confidenciales de usuarios y clientes en el departamento administrativo o financiero que los que posea un empleado de planta que tenga acceso solamente a los datos de productos.
  • Inexistencia de planes de continuidad de negocio: los planes de continuidad de negocio establecen los mecanismos necesarios para mantener el nivel de servicio en unos niveles admisibles, que impidan que las actividades se detengan, y que ayuden a recuperar la situación inicial en un plazo de tiempo mínimo ante cualquier accidente de seguridad. La falta de previsión ante un posible incidente de seguridad, es un problema habitual que evita que muchas de nuestras empresas estén preparadas. Esto les impide prevenir, protegerse, y responder ante estos incidentes, dando lugar a un efecto negativo en la realización de los negocios, en el propio prestigio e incluso puede llegar a ponerse en peligro la continuidad de los mismos.
  • No disponer de un servicio especializado que se encargue del mantenimiento y soporte informático: la mayoría de pequeñas y medianas empresas, disponen de un presupuesto restringido que hace que a veces se adquieran equipos de trabajo sin ser conscientes de que hay que realizar modificaciones en su configuración de fábrica para que estos sean seguros a la hora de trabajar con la información de la empresa. Esto se evitaría contratando un servicio especializado que se encargue de realizar el soporte y mantenimiento informático, a través de personal propio que esté debidamente formado y preparado o con otras soluciones de mercado.
  • Equipos sin las debidas actualizaciones o parches de seguridad: las vulnerabilidades son errores o deficiencias en los sistemas operativos, navegadores u otra aplicación que un delincuente informático puede utilizar para asaltar y comprometer los sistemas de información con fines maliciosos. Es fundamental incluir una política de actualizaciones de todos los sistemas y programas, teniendo activada la configuración de actualización por defecto que tienen la mayoría de los programas.
  • Falta de configuraciones de seguridad en los dispositivos móviles: con la globalización de los procesos productivos de nuestras empresas surge la necesidad de tener que acceder a la información de nuestra empresa desde cualquier lugar, sin la confianza que nos ofrece nuestro lugar de trabajo. Esto hace que cada vez sea más normal el uso de los dispositivos móviles para acceder y distribuir la información de trabajo con otros compañeros, clientes, proveedores, etc. desde cualquier lugar. Son muchas las ventajas que proporcionan el uso de estos dispositivos móviles pero también debemos tener en cuenta los riesgos asociados y cómo gestionarlos. Para ello debemos incorporar en ellos la política de seguridad interna de la empresa.

¿Cómo puedo prevenir la fuga de información?

Las fugas de información siempre se han producido en las empresas pero, con el empleo de las nuevas tecnologías, el tratamiento y almacenamiento de grandes volúmenes de datos, el efecto de una fuga de esa información es mucho mayor. También es importante tener en cuenta que el aumento en la utilización de dispositivos móviles (tanto de empresa como personales) para acceder a los recursos de la empresa, supone un riesgo más para la seguridad de nuestra información.

La fuga de información puede tener lugar de forma accidental como en caso de perdida de un portátil o envío de información por error. Pero también puede ser un incidente provocado, por algún empleado molesto que difunda información, o mediante otras técnicas, como los ataques llevados a cabo por delincuentes informáticos a través de ingeniería social, que hayan facilitado el robo de la información para perjudicar la reputación de la empresa o con una finalidad económica.

Medidas preventivas de fugas de información

Para prevenir estos incidentes de seguridad debemos considerar las siguientes reglas generales:

  • Conocer la información que gestiona la organización. Esto debemos hacerlo mediante conversaciones y reuniones con el personal de la organización.
  • Clasificarla según su importancia para la empresa, según un criterio razonable y unificado.
  • Determinar su grado de seguridad: las preguntas que nos debemos hacer son, ¿es alto el riesgo de extravío de información?, ¿y el de fuga o robo?, ¿puede ser alterada sin estar autorizado para ello?
  • Implantar las medidas necesarias para mejorar su seguridad.

Existen tres medidas fundamentales para evitar ataques a nuestros sistemas de información:

➠ Técnicas. El mercado de soluciones de seguridad, ofrece servicios y herramientas para toda clase y tamaño de empresas, que posibilitan la detección y prevención de fuga de información. Las soluciones básicas que podemos imponer, independientemente del volumen de la empresa, son:

  • cifrado de la información confidencial de la empresa,
  • puesta en marcha, configuración y actualización de cortafuegos,
  • conservar actualizadas las distintas aplicaciones de nuestros sistemas.

➠ Organizativas. Este tipo de medidas están fuertemente vinculadas con  la manera de manejar o tratar la información. Por un lado tendremos que evitar malos hábitos como compartir contraseñas o información confidencial en directorios de trabajo a los que puede acceder toda la empresa. Estas situaciones se dan normalmente por falta de conocimiento del usuario. Por este motivo, es esencial implantar políticas de seguridad, junto con acciones de concienciación a todos los trabajadores.

➠ Jurídicas. Es esencial que los empleados o proveedores que tratan la información corporativa, observen las políticas de seguridad; para ello podemos firmar acuerdos de nivel de servicio con los proveedores y obligar a los empleados a suscribir unos acuerdos de confidencialidad, en los que los que debemos especificar los aspectos referentes a la seguridad y la confidencialidad de la información en la prestación de un servicio, introduciendo las sanciones en caso de incumplimiento. Un aspecto significativo, y de cumplimiento obligatorio, es el relativo a la gestión de ficheros que incluyen datos de carácter personal. Al aplicar estas medidas, además de cumplir con las leyes, también manifestaremos nuestro compromiso con el cliente en cuanto al uso de la confidencialidad de su información y, en caso de que se produzca una fuga de información deliberada por parte de algún empleado de la compañía, tener el amparo legal para poder aplicar las medidas oportunas.

¿Qué es la ingeniería social?

Podemos definir la ingeniería social como la técnica que aprovecha los errores humanos para comprometer la seguridad de los sistemas de información, es decir, se trata de un arte cuyas principales herramientas son el engaño y la confusión. Se trata de expertos en manipular y engañar a personas para conseguir un acceso a cuentas personales en redes sociales, correo electrónico, números de tarjetas de crédito y en general a cualquier información personal de carácter privado. En estos casos, el pirata informático se sirve de herramientas que utilizamos a diario como el correo electrónico, la mensajería o el teléfono.

Técnicas de utilización de la ingeniería social

Entre los métodos de ingeniería social más utilizados están:

  • Phishing: Es una de las técnicas más utilizadas y emplea normalmente el correo electrónico para cometer fraude.El atacante que usa este método normalmente posee un dominio de Internet que puede ser fácilmente confundido con la URL de un servicio legítimo y lo utiliza para intentar convencer al usuario de introducir sus datos para verificar su cuenta bancaria, una red social o servicio de mensajería instantánea, bajo la amenaza de cancelarla  facilita los datos exigidos. Si un usuario introduce sus acreditaciones, obviamente está poniendo su información en manos del atacante, quién la usará para robar información e incluso dinero.Afortunadamente, el Phishing es una de las técnicas más fácilmente detectables, principalmente gracias a los servicios de correo electrónico que filtran de manera estricta todos los mensajes que cruzan sus servidores y reconocen y etiquetan como sospechosos aquellos que provengan de fuentes no confiables.

Es importante saber que ningún sistema de Internet, englobando a los propios bancos, nos pedirá información sobre nuestras cuentas, contraseñas o números de tarjeta de crédito para comprobar nuestra identificación o corroborar nuestra cuenta bancaria mediante correo electrónico.

Cada vez que necesites entrar en los servicios de banca online, cerciórate de poner de forma manual la dirección en el navegador, es decir, no utilices enlaces que aparezcan en otros lugares, aunque sea en un buscador. La mayoría de los bancos disponen de servicios de atención telefónica para informarles del fraude, por lo que, en caso de que intuyas que estás siendo víctima de uno de estos ataques, llama de forma inmediata para solicitar asistencia.

  • Vishing: el fin perseguido con esta técnica es el mismo que el anterior pero en este caso se utiliza una llamada telefónica.Existen varias formas ataque bajo este método: una llamada mediante un sistema automatizado en la que se pide a la víctima que siga unos pasos para reactivar su cuenta debido al robo de su tarjeta de crédito, un correo electrónico con los pasos para activar su cuenta en el que se indica un teléfono al que se debe llamar para completar ese falso proceso de activación o mediante llamadas telefónicas interactivas como “marque 1 para…” o “inserte el número de tarjeta de crédito después de la señal…”.También he tenido constancia de casos a través de familiares y amigos, en los que, a través de una llamada telefónica se hace una encuesta o se oferta algún paquete turístico. Durante la conversación, el atacante nos realiza una serie de preguntas cuyas respuestas suponen que facilitemos datos privados.

Los atacantes que utilizan esta técnica suelen tener un gran poder de persuasión y locuaces, de esta forma consiguen que la víctima permanezca el mayor tiempo posible pegada al teléfono.

Ahora que sabes cómo actúan, puedes sospechar de cualquier llamada de este tipo. En el caso de los bancos, en ningún caso te solicitarán datos vía telefónica.

  • Baiting: este método explota una de las mayores virtudes (o defectos, según se mire) del ser humano, la curiosidad. En este caso, un atacante abandona de forma intencionada un dispositivo de almacenamiento extraíble, como una memoria USB o un CD/DVD. Dicho dispositivo estará contaminado con software malicioso, y puede instalarse en el ordenador, incluso sin que nos demos cuenta. Para evitar esto, es aconsejable tener un antivirus actualizado podría ser efectivo, sin embargo, es necesario tener precaución a la hora de introducir dispositivos de dudosa procedencia en nuestros ordenadores. También es recomendable no abrir archivos si no estamos seguros de su contenido.

Y tú, ¿ya sabes como evitar fugas de información en tu empresa?

Imagen de portada de “Seguridad información” de Shutterstock

Suscríbete a nuestra newsletter

Sé el primero en conocer las últimas novedades de marketing

¿Quieres ser mejor que tu competencia?

Otros post que podrían interesarte

Contacto

Si quieres saber cómo trabajamos o quieres más información sobre el método CMI, mandános un email o llama al teléfono de abajo.