El otro día les comentaba qué es la fuga de información. Una de los mitos alrededor de este incidente es que sólo afecta a las grandes empresas. Por el contrario, la fuga de información puede ocurrir en todo tipo de organizaciones.
Según el tamaño de la empresa, obviamente variará el impacto, así como también según la naturaleza del incidente y el valor de la información "fugada".
Aunque muchos de estos incidentes suelen mantenerse en un ámbito confidencial, muchas organizaciones deciden (o en algunos casos se ven en la obligación) hacer públicos los incidentes para clarificar la situación. Empresas populares han sufrido incidentes de este tipo en los últimos años y muchos de ellos han sido públicos o bien por voluntad de la empresa o por la publicación por la exposición involuntaria del incidente.
En agosto de 2007, se dio a conocer uno de los incidentes más importantes (por la cantidad de datos filtrados), cuando el sitio de búsquedas laborales Monster.com sufrió el robo de información de 1,6 millones de datos con información personal de las personas que estaban registradas en el sitio para buscar empleo. Los atacantes ingresaron a las bases de datos con contraseñas que habían sido obtenidas previamente por un troyano.
Los portales de redes sociales también se han visto afectadas, como fue el caso ocurrido en diciembre de 2009, cuando 4.000 cuentas de usuario de Tuenti y sus contraseñas fueron obtenidas por un atacante enojado con la empresa.
Citando un caso más cercano, en el mes de marzo de este año el popular banco HSBC declaró la fuga de datos de 15.000 clientes suizos, luego de que un ex-empleado del área informática se llevará los datos consigo y los otorgara a autoridades impositivas de Francia.
Ahora, ¿cómo prevenirse ante la fuga de información? Al igual que ante otras amenazas, la protección ante este tipo de incidentes involucra tanto tecnologías como controles de gestión y educación a los usuarios.
En lo que respecta a soluciones tecnológicas, se debe asegurar la infraestructura y la red para que vulnerabilidades en esta no permitan la intrusión de personas ajenas a la organización, así como contar con tecnologías antivirus con capacidades proactivas de detección para evitar que códigos maliciosos estén robando información corporativa. Todos estos controles están orientados especialmente a los ataques externos.
Además, es importante optimizar los mecanismos de identificación y autentificación en la red, de forma de evitar el acceso interno indebido a información, así como también contar con tecnologías para auditoria, logging y rastreo de actividades de acceso a datos, y tecnologías de backup o prevención ante robo de dispositivos portátiles.
Por último, las tecnologías deben ser complementadas con herramientas de gestión que permitan optimizar el acceso a datos de cada uno de los empleados y un lugar preponderante en materia de educación, para que cada uno de los integrantes de la organización conozca y sepa cuáles son sus responsabilidades para con el uso de la información, y cuál es el impacto que puede causar a la organización un incidente de este tipo.
En resumen, la fuga de información es un riesgo que debe ser considerado prioritario en el diseño de un esquema de seguridad de la información, teniendo en cuenta tanto los aspectos tecnológicos que involucra, como aquellos de gestión y educación para minimizar el mismo.
Sebastián Bortnik
Analista de Seguridad