El principio del mínimo privilegio, clave para minimizar el impacto de fugas de información

El Incibe y la AEPD han publicado la guía “Cómo gestionar una fuga de información en un despacho de abogados»

Otorga a los usuarios de los sistemas de información de tu empresa los mínimos privilegios que necesiten para desarrollar su trabajo y minimizarás el impacto que las posibles fugas de información que puedan producirse. Así se desprende de la guía «Cómo gestionar una fuga de información en un despacho de abogados», cuyos consejos bien pueden ser aplicados a cualquier otro tipo de organización. Publicada por El Instituto Nacional de Ciberseguridad (Incibe) y la Agencia Española de Protección de Datos (AEPD), también hace referencia al origen, causas y consecuencias de las fugas de información y da una serie de consejos y de pautas para saber cómo actuar en caso de que se produzcan.

Las causas de las fugas de información

El factor humano es el que más relevancia tiene en las fugas de información. Personas externas a la empresa, como hacktivistas, usuarios malintencionados, competidores que actúan de forma desleal, clientes o antiguos empleados descontentos, pueden causar daño a la empresa pero no hay que olvidar al personal interno. Bien por descuido o a propósito, los propios empleados también pueden ser el origen de una fuga de información, señala el informe.

No obstante, no todo es culpa de otros. ¿Está tu empresa adoptando las medidas organizativas necesarias para asegurar los principios básicos de confidencialidad, integridad y seguridad de la información? El Incibe y la AEPD señalan como causas organizativas de las fugas de información la falta de los siguientes aspectos: clasificación, acuerdo de confidencialidad, procedimientos, formación y de delimitación de la difusión.

Por último, existen una serie de motivos ligados a la tecnología que permite el acceso a la información. Así pues, entre las causas técnicas la guía señala el malware, el uso de tecnologías móviles, los servicios en la nube y los accesos no autorizados.

Por último, en caso de que, por cualquiera de estos motivos, ocurran fugas de información el documento recomienda, en primer lugar, estimar las consecuencias reputacionales, regulatorias, económicas o de cualquier otra índole y a continuación gestionar el incidente . Para ello proponen un protocolo de actuación dividido en seis fases: inicial (detectar la fuga y alertar a nivel interno), lanzamiento, auditoría, evaluación, mitigación y seguimiento.

Laura J. Vindel

Departamento de Marketing y Comunicación – Áudea Seguridad de la Información