Guía para el empresario: Gestión de fugas de información, Resúmenes de Introducción al E-Business

¡Descarga Guía para el empresario: Gestión de fugas de información y más Resúmenes en PDF de Introducción al E-Business solo en Docsity!

Cómo gestionar una

fuga de información

Una guía de aproximación

para el empresario

1.2 ¿Qué debemos hacer si se produce una fuga de información

• 1 Introducción
  • 1.1 ¿Cómo podemos mitigar la fuga de información?
    • en nuestra empresa?
• 2 Fuga de información
  • 2.1 Origen y motivos
  • 2.2 ¿Cuáles son las causas? ¿Cómo prevenirlas?
• 3 Las consecuencias
  • 3.1 Estimación del impacto
• 4 Gestión de la fuga de información
  • 4.1 Fase inicial
  • 4.2 Fase de lanzamiento
  • 4.3 Fase de auditoría
  • 4.4 Fase de evaluación
  • 4.5 Fase mitigación
  • 4.6 Fase seguimiento
• 5 Prevención
• 6 Referencias
• Ilustración Índice de figuras y tablas
• Consecuencias de la fuga de información
• Tabla 1 Resumen de acciones
• Tabla 2 Medidas preventivas - INCIBE_PTE_AproxEmpresario_003_FugaInformacion-2016-v Índice

¿Cómo podemos mitigar la fuga de información?

Por un lado debemos desarrollar y actualizar políticas de acceso a la información. Toda organiza- ción debe seguir el principio del mínimo privilegio. Este principio se traduce en que un usuario sólo debe tener acceso a aquella información estrictamente necesaria para desempeñar sus fun- ciones diarias, siempre que nos refiramos a información confidencial. Por otro lado la industria de ciberseguridad [1] ofrece multitud de productos y ser- vicios para mitigar esta amenaza. Merece la pena destacar aquellos productos desti- nados a la gestión del ciclo de vida de la información (ILM, del inglés Information Life- cycle Management), productos para el control de dispositivos externos o los que están destinados específicamente a evitar la fuga de información (DLP, del inglés Data Loss Prevention). Además, dado que el factor humano es uno de los componentes de la fuga de la infor- mación, es muy importante llevar a cabo campañas de concienciación en materia de ciberseguridad dentro de la organización.

¿Qué debemos hacer si se produce una fuga de información

en nuestra empresa?

Por desgracia la prevención no es suficiente, puesto que las consecuencias de la fuga de informa- ción pueden ser muy negativas y tener un elevado nivel de dispersión, llegando a afectar a otras organizaciones y usuarios. La urgencia por preservar la imagen de la empresa hace que en oca- siones no se tomen las decisiones adecuadas cuando no se dispone de un procedimiento básico que sirva de guía y que permita minimizar adecuadamente el impacto y evitar un empeoramiento de la situación. A lo largo de esta guía se desarrollarán los di- ferentes aspectos relacionados con la gestión del incidente, es decir, cuando ya se ha pro- ducido y hay que gestionar las posibles con- secuencias, con el objetivo de minimizar el impacto del incidente de fuga de información sobre la organización y sobre otros actores ex- ternos. 1 Introducción

Un usuario sólo debe tener

acceso a aquella

información estrictamente

necesaria para desempeñar

sus funciones diarias,

siempre que nos refiramos

a información confidencial.

2 Fuga de información

a protección de la información se articula en torno a la protección de tres principios bási- cos: confidencialidad, integridad y disponibilidad. n La confidencialidad implica que la información es accesible únicamente por el personal autorizado. n La integridad de la información hace referencia a que la información sea co- rrecta y esté libre de modificaciones y errores. La información ha podido ser al- terada intencionadamente o ser incorrecta y nosotros podemos basar nuestras decisiones sobre ella. n La disponibilidad de la información hace referencia a que la información esté accesible, a las personas o sistemas autorizados, cuando sea necesario. Llamamos fuga de información a la pérdida de la confidencialidad , de forma que información privilegiada sea accedida por personal no autorizado. El impacto y las consecuencias posteriores a un incidente de fuga de información, son muy negativos. Por un lado, la filtración de información puede dañar la imagen públi- ca de la empresa y por tanto impactar negativamente en el negocio, generando des- confianza e inseguridad en clientes. Asimismo, la publicación de información puede generar consecuencias a terceros: grupos externos de usuarios y otras organizaciones cuyos datos se hayan hecho públicos. Además, existe un conjunto de normativas y leyes que ponen especial énfasis en el uso y tratamiento de datos de carácter personal. Dentro del tratamiento de datos de carácter personal se han de considerar las fugas de información, ya que en muchas ocasiones, estos incidentes terminan con la difusión o publicación de datos de carácter personal. Dichas normativas prevén sanciones de tipo económico para este tipo de delitos. Por otra parte la ocultación del incidente de fuga de información también puede ser motivo de sanción. La Agencia Española de Protección de Datos (AEPD) es una autoridad estatal encargada de velar por el cumplimiento de la normativa sobre protección de datos. Sus funciones son ga- rantizar y tutelar el derecho fundamental a la protección de datos de carácter personal de los ciu- dadanos. Entre sus tareas se encuentra detectar fugas de información. Si una empresa oculta un incidente de fuga de fuga de información y la AEPD lo detecta, la sanción podría ser importante. Este es uno de los aspectos más críticos de la gestión de la fuga de información y será también una de las responsabilidades de la organización, de cara a decidir si se hace público, a quién se debe de informar y en qué orden, así como otros aspectos relativos a la comunicación del suceso a los medios.

L

Llamamos fuga de

información a la pérdida

de la confidencialidad ,

de forma que información

privilegiada sea accedida

por personal no

autorizado.

n Los errores o la falta de conocimiento y formación son otra de las causas más comunes de la fuga de información. Por un lado, el empleado debe utilizar los recursos que la organización pone a su disposición de forma responsable, como en el caso de los servicios en la nube, los dispositivos móviles, el correo electrónico, la navegación Web, etc. Por otro lado, debe disponer de ciertos co- nocimientos y formación en relación con su actividad diaria y en materia de ciberseguridad [3] , siendo responsabilidad de la organización proporcionar la formación necesaria de manera que el empleado pueda desempeñar su fun- ción de forma segura. n Otra causa organizativa es la ausencia de procedimientos y el establecimiento de pautas y obligaciones para los trabajadores en el ámbito de ciberseguridad. El establecimiento de políticas que indiquen al usuario claramente cuáles son los límites dentro de los cuales deberán desempeñar su actividad y por otro lado, los procedimientos para aquellas actividades de especial importancia o riesgo, disminuirán el riesgo para que se produzca una fuga de información. n Por último otra causa es que no existan acuerdos de confidencialidad de la información con los empleados. Es importante solicitar por escrito la confor- midad con diversas normas internas, como la política de confidencialidad o de seguridad, entre otras, de manera que el futuro empleado, deja por escrito la aceptación de las condiciones correspondientes. Además, se cuenta con legislación que permite establecer límites legales a las actividades de sus trabajadores y que pueden ser utilizadas como mecanismos de disuasión para evitar un uso malintencionado de la información. Por otro lado, dentro de las causas técnicas nos encontramos con: n El código malicioso o malware , es una de las principales amenazas, siendo el robo de información uno de sus objetivos más comunes. El malware esta mu- chas veces diseñado utilizando técnicas que permiten mantener oculto su códi- go en un sistema, mientras recoge y envía información. n El acceso no autorizado a sistemas e infraestructuras es otra de las causas de- trás del robo de información. Ya sea como parte de una campaña de despresti- gio, con el acceso no autorizado a una página web de una organización, o con motivo de sustraer información sobre secretos industriales. Gran parte de estos accesos no autorizados se podrían evitar si los sistemas y aplicaciones estuvie- ran convenientemente actualizados. La actualización se considera parte funda- mental de una buena aplicación, puesto que aporta mayor seguridad y denota un trabajo de mejora continua que redunda en beneficio de la aplicación y, por extensión, del usuario. 2 Fuga de información

Si se desconoce el

valor de la información

que trata la

organización, no será

posible diseñar y

seleccionar las

medidas de protección

adecuadas.

n La generalización del uso de servicios en la nube para el almacenamiento de todo tipo de información puede conllevar a la percepción de que en la nube nuestra información está segura, cuando lo cierto es que no es así. El nivel de seguridad que tiene es el del eslabón más débil, que, muy a menudo son los propios usuarios y sus contraseñas. Los incidentes de fuga información causa- dos por el uso inadecuado de servicios en la nube son parecidos a los causados por uso de redes sociales y la forma de tratarlos es muy similar. n El uso de las tecnologías móviles para el trabajo diario, almacenando en ellos información muy crítica han ocasionado la generalización de medidas como el cifrado de los dispositivos o el uso de VPN (redes privadas virtuales) en las co- municaciones. Sin embargo, si la información almacenada en los dispositivos es realmente critica, ninguna medida puede llegar a ser suficiente. Un dispositivo sustraído, en las manos equivocadas, contendrá mucha información que pue- de ser publicada. Además este tipo de incidentes son de difícil mitigación. Las medidas de seguridad deben haberse tomado con anterioridad al incidente, porque una vez este ocurre hay poco margen de maniobra. 2 Fuga de información

La generalización del uso

de servicios en la nube

para el almacenamiento

de todo tipo de

información puede

conllevar a la percep-

ción de que en la nube

nuestra información está

segura, cuando lo cierto

es que no es así.

Uno de los factores que definen el escenario es el tipo de organización. El peso de las consecuen- cias será diferente si el incidente afecta a la administración o si se trata de una entidad privada: n Administración. El posible daño e imagen es un factor que cobra importan- cia desde un punto de vista político. Sin embargo, las consecuencias econó- micas, así como las sanciones debidas a incumplimiento de la legislación, son limitadas. n Entidades del sector privado. Las consecuencias que tienen mayor peso son aquellas de carácter económico. Además, a diferencia de las administraciones, el sector privado sí está expuesto a sanciones económicas. Por otra parte, un incidente puede suponer la pérdida de confianza de los inversores o de sus clientes, lo que también puede tener consecuencias muy significativas sobre su negocio y su actividad. Otro de los factores adicionales que definen el escenario es si la información que ha sido accedida es considerada como información confidencial o no. Las consecuencias pueden ser muy distintas. Por tanto, además de la clasificación anterior tenemos también: n Información confidencial o restringida. Aquella información que considere- mos crítica para los procesos de nuestra entidad. Por ejemplo, datos de clientes, contabilidad, datos de los propios trabajadores. n Información no confidencial. El hecho de su divulgación impactaría en la ima- gen de la empresa, pero el peso del impacto económico será menor.

La divulgación o difusión

de cualquier dato que

identifique o que pueda

ser asociado a una

persona, puede conllevar

sanciones para la

organización que ha

sufrido el incidente.

3 Las consecuencias

Otro de los factores que definen el escenario es el tipo de datos , diferenciando entre: n Datos de carácter personal. cualquier dato que identifique o que pueda ser asociado a una persona identificada. Su divulgación o difusión, pueden conlle- var sanciones para la organización que ha sufrido el incidente. n Otros datos. Serán aquellos que no son datos de carácter personal, general- mente relacionados con terceros, información técnica u operativa. En base a estos tres factores podemos tener una aproximación que ayude a determinar las posi- bles consecuencias de un incidente. Para obtener una escala de valor de las consecuencias, es necesario contar con una valoración objetiva tanto de los factores comentados como de otros factores, siguiendo un procedimiento de análisis de riesgos. Tendremos en cuenta el activo a proteger de la fuga de información, la amenaza, la probabilidad de que ocurra y el impacto para poder obtener el dato real de riesgo. No es objeto de este documento desarrollar un método de cálculo del impacto, sino mostrar al- gunos de los factores que pueden influir de forma decisiva en el valor final que pueda tener ese impacto sobre la organización. Estos factores servirán para diseñar un plan de gestión del inciden- te de fuga de información. 3 Las consecuencias

Para obtener una escala

de valor de las

consecuencias, es

necesario contar con una

valoración objetiva tanto

de los factores

comentados como de

otros factores, siguiendo

un procedimiento de

análisis de riesgos.

Fase inicial

Los momentos inmediatamente posteriores a la detección de un incidente de fuga de informa- ción son especialmente críticos. Una adecuada gestión en las primeras fases puede suponer una reducción del impacto. Excepto en el caso de pérdida de dispositivos móviles, el principal proble- ma es que en la mayoría de las ocasiones no es detectado hasta que su filtración se hace pública bien a través de los medios de comunicación o Internet, bien a través de algún tipo de notificación por parte del ciberdelincuente responsable del hecho. Por este motivo, uno de los mayores retos a los que se enfrentan las organizaciones es conseguir la detección temprana del incidente, si es posible, a través de medios internos, además realizar una constante monitorización de cualquier publicación sobre nuestra entidad, para tomar el control de la situación lo antes posible. Una vez que hemos tenido conocimiento del incidente, en primer lugar debemos de in- formar internamente de la situación, junto con el lanzamiento del protocolo de actuación. Dentro de la información que debemos transmitir internamente es importante incidir en la prudencia y redirigir a un interlocutor previamente designado cualquier duda o pre- gunta tanto de los propios empleados como si la misma procede de terceros el exterior. Además, se deberá de informar de la puesta en marcha del proceso de gestión de la inci- dencia.

Fase de lanzamiento

El primer paso es iniciar el protocolo interno de gestión del incidente, convocando a los responsa- bles que forman parte del equipo de gestión que deben tomar las decisiones: el gabinete de cri- sis. Mantener la calma y actuar con organización es fundamental para evitar decisiones incorrec- tas o que pueden provocar consecuencias negativas adicionales, ya sea a nivel interno o externo. No todas las organizaciones cuentan con un gabinete de crisis o tienen los recursos necesarios. Cada organización deberá ajustarse a sus recursos. En cualquier caso, será necesario contar como mínimo con un responsable con capacidad de decisión, ya sea personal propio de la orga- nización o externo, que se encargará de la gestión y coordinación de la situación. Cuanto más cerca esté el responsable del gabinete del máximo responsable de la empresa, la gestión será más efectiva. En cualquier caso, todas las decisiones y las actuaciones relativas al incidente deberán ser tomadas y coordinadas por el gabinete de crisis. Es fundamental evitar actuaciones por libre o que no hayan sido definidas y acordadas por el gabinete.

4 Gestión de la fuga de información

Uno de los mayores retos

a los que se enfrentan

las organizaciones es

conseguir la detección

temprana del incidente

Mantener la calma y

actuar con organización

es fundamental para

evitar decisiones

incorrectas o que pueden

provocar consecuencias

negativas adicionales

Fase de auditoría

Una vez se han iniciado los pasos anteriores, daría comienzo la fase de obtención de información sobre el incidente. Para ello, será necesario iniciar una auditoría interna, con el objetivo de deter- minar con exactitud y en el menor tiempo posible lo siguiente: n Determinar la cantidad (tamaño en disco, número de registros, etc.) de informa- ción ha podido ser sustraída. n Establecer el tipo de datos que contiene la información que ha podido ser sus- traída. Debe considerarse especialmente si se han filtrado datos de carácter per- sonal y de qué nivel según el reglamento de la LOPD [4]. n Determinar si la información es relativa a la propia organización o es externa, es decir, si por el contrario se trata de información que hace referencia a organiza- ciones o personas externas a la organización. n Establecer y acotar la causa principal de la filtración, si tiene un origen técnico, o humano. Si el origen es técnico, determinar los sistemas que están afectados o en los cuales se ha producido la brecha. Si es humano, iniciar el proceso para identificar como se ha producido la fuga y responsables de esa información. Además de la auditoría interna, también es necesario realizar una auditoría externa. El obje- tivo de ésta será conocer el tamaño, gravedad y nivel de difusión de la filtración en el exterior de la organización. Hay que distinguir entre información que ha sido sustraída e información que se ha hecho pública, ya que no son necesariamente lo mismo. Al menos es necesario: n Determinar el alcance de la publicación de la información sustraída (dónde se ha publicado, cuantos potenciales accesos habrá tenido, etc.). Este punto es crí- tico para cerrar la brecha de seguridad y mitigar la difusión de la información sustraída. n Establecer qué información se ha hecho pública y determinar la cantidad (tama- ño en disco, número de registros, etc.) de la información filtrada en el exterior de la organización. n Recoger las noticias y otros contenidos que hayan aparecido en los medios de comunicación, así como en otros medios en Internet sobre el incidente. n Conocer las reacciones que se están produciendo en relación con el incidente. En esta fase, el tiempo de reacción es crítico. De forma orientativa es recomendable conocer la mayor parte de los puntos anteriores en un plazo no superior a 12 horas, desde el momento en que se ha conocido el incidente.

4 Gestión de la fuga de información

Además de la interna,

también es necesario

realizar una auditoría

externa. El objetivo de

ésta será conocer el

tamaño, gravedad y

nivel de difusión de la

filtración en el exterior de

la organización

Este conjunto básico de acciones compondrán el plan de emergencia diseñado para el incidente de fuga de información. Su ejecución deberá de estar completamente coordinada y supervisada en todo momento por el gabinete de crisis. En función del escenario y los recursos de la organización, las acciones indicadas anteriormente podrán realizarse de forma simultánea o secuencial. En cualquier caso, establecer la prioridad de las tareas será responsabilidad del gabinete de crisis.

Fase de mitigación

El primer paso es reducir la brecha de seguridad y evitar que se produzcan nuevas fugas de informa- ción. Por este motivo, en algunos casos es posible que sea necesario desconectar un determinado servicio o sistema de Internet. Ante esta situación debe primar el objeto del plan que no es otro que mitigar la fuga de información en el menor tiempo posible. Más adelante se aplicarán medidas más adecuadas o menos drásticas que la desconexión, pero siempre garantizando la seguridad. El siguiente paso es debemos minimizar la difusión de la información sustraída, en especial si se encuentra publicada en Internet. Por este motivo, se contactará con los sitios que han publicado información y se solicitará su retirada, en especial si se trata de información sensible o protegida por la LOPD. Junto con el paso anterior, si se considera necesario, se llevará a cabo la comunicación pertinente a los medios. Los medios de comunicación pueden aportar un mecanismo muy eficaz para hacer llegar tranquilidad a los afectados. Como se indicó anteriormente debe de existir un único punto de contacto exterior desde la organización para evitar descoordinación.

El primer paso es reducir la

brecha de seguridad y evitar

que se produzcan nuevas fugas

de información.

Por este motivo, en algunos

casos es posible que sea

necesario desconectar un

determinado servicio o sistema

de Internet.

4 Gestión de la fuga de información

4.5 En caso de existir personas afectadas por la fuga de información, por ejemplo, si se han filtrado

datos de terceros, como clientes o usuarios de un servicio, es fundamental que estos sean infor- mados. Se informará no solo del incidente, sino también de los datos que han sido sustraídos a fin de que puedan tomar las acciones oportunas para su seguridad, como puede ser el cambio de contraseñas, revocación de números de tarjetas, ser especialmente cautelosos con correos de desconocidos, etc. Además, se debe proporcionar algún canal para que los afectados puedan mantenerse informados sobre la evolución del incidente y las distintas recomendaciones que pueda realizar la organización a los afectados, con el objetivo de minimizar las consecuencias. Posteriormente se pondrá en conocimiento del incidente a las fuerzas y cuerpos de seguridad del estado, a través de la presentación de una denuncia y otras acciones que puedan derivarse de la coordinación o la solicitud de información por parte de las fuerzas y cuerpos de seguridad. Hay que tener en cuenta, además, la necesidad de informar a otros organismos que puedan tener competencias derivadas de la información filtrada, como es el caso de la Agencia Española de Protección de Datos, en el caso de datos de carácter personal.

Fase de seguimiento

Una vez completadas las principales acciones del plan, se procederá a evaluar el resultado y la efectividad de las acciones realizadas, en relación con las consecuencias y su impacto. Además, en caso de ser necesario, se deberá de hacer frente a otras consecuencias que hayan podido ge- nerarse durante la fase de mitigación del incidente, como puedan ser consecuencias legales, eco- nómicas, etc. Durante esta fase también se iniciará el proceso de estabilización de la situación generada por el incidente. Se comenzará con un proceso de valoración global del mismo, que supondrá una auditoría más completa a partir de la cual se diseñaran e implantaran las medidas definitivas para evitar nuevas fugas y restablecer el normal funcionamiento de los servicios e infraestructuras que pudieran haberse visto afectadas.

Durante esta fase

también se iniciará el

proceso de estabilización

de la situación generada

por el incidente.

4 Gestión de la fuga de información

6 Referencias 1 INCIBE – Empresas - Herramientas – Catálogo de ciberseguridad https://www.incibe.es/protege-tu-empresa/catalogo-de-ciberseguridad [consulta: 30/06/2015] 2 Blog Empresas de INCIBE – ¿Acceso a la información? Sólo el mínimo. https://www.incibe.es/protege-tu-empresa/blog/politica-acceso-informacion-principio-mini- mo-conocimiento [consulta: 12/05/2015] 3 INCIBE – Empresas – Kit de concienciación https://www.incibe.es/protege-tu-empresa/kit-concienciacion [consulta: 30/06/2015] 4 BOE – Art. 80 y 81 (Niveles de seguridad y aplicación de los niveles de seguridad) del Real De- creto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. http://www.boe.es/buscar/doc.php?id=BOE-A-2008- [consulta: 12/05/2015] 5 INCIBE - Dossier Protección de la información https://www.incibe.es/protege-tu-empresa/que-te-interesa/proteccion-informacion [consulta: 12/05/2015] 6 ENISA - Recommendations for a methodology of the assessment of severity of personal data breaches. https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/dbn-severity/ at_download/fullReport [consulta: 12/05/2015] 7 ENISA - Recommendations for the technical implementation of the Art.4 of the ePrivacy Direc- tive. https://www.enisa.europa.eu/activities/identity-and-trust/risks-and-data-breaches/dbn/ art4_tech [consulta: 12/05/2015]