Como venimos planteando desde hace un tiempo en este mismo blog, la fuga de información es uno de los temas que más preocupa a las organizaciones en la actualidad, especialmente luego del escándalo provocado por el caso Wikileaks, que motivó a la opinión pública a colocarse de algún lugar de una delgada línea difícil de reconocer y comprender en profundidad.
En esta ocasión, y de una manera bastante pragmática, brindamos algunos consejos a tener en cuenta ante este escenario, de tal modo que sea posible evitar las principales causas de fuga de información, principalmente en el ámbito corporativo:
- Conocer el valor de la propia información. Realizar un análisis de riesgos y un estudio de valuación de activos para poder determinar un plan de acción adecuado que permita evitar posibles filtraciones.
- Concientizar y disuadir. Diseñar una estrategia de concientización que incluya la responsabilidad en el manejo de la información, que funcione tanto para capacitar a las personas que podrían filtrar información por error u omisión, como para persuadir a las que deliberadamente intenten hacerlo, mostrando las potenciales consecuencias.
- Utilizar defensa en profundidad. Considerar el modelo de defensa en capas para tomar distintas medidas de diferente naturaleza, a fin de no centralizar las soluciones ni promover puntos únicos de falla.
- Incluir herramientas tecnológicas. En ámbitos corporativos, contar de ser posible con una solución técnica de protección, por medio de hardware, software, o combinación de ambos, tanto a nivel de redes como de equipos (servidores y estaciones de trabajo). El crecimiento de amenazas como el spyware hacen que los códigos maliciosos también sean potenciales puntos de fuga de información.
- Seguir los estándares. Alinearse con estándares internacionales de gestión de la seguridad permite disminuir el riego de que puedan ocurrir incidentes, así como también de que el negocio se vea afectado por un determinado evento de filtración.
- Mantener políticas y procedimientos claros. Relacionado con el punto anterior, se debe tener una clara definición y comunicación de las políticas de seguridad y acuerdos de confidencialidad, aceptados y firmados por todos los usuarios. Esto minimiza potenciales fugas de información, al contar con un consentimiento firmado del usuario para no realizar ciertas acciones.
- Procedimientos seguros de contratación y desvinculación. En estos dos momentos se conecta o desconecta una nueva pieza externa con el motor de la organización, por lo que deben tenerse en cuenta de manera muy particular, controlando especialmente los accesos y registros de los usuarios en sus primeros o últimos momentos de trabajo.
- Seguir procesos de eliminación segura de datos. Es fundamental que los datos que se desean eliminar sean efectivamente eliminados, y los medios de almacenamiento adecuadamente tratados antes de ser reutilizados.
- Conocer a la propia gente. En algunos casos es posible identificar a las personas conflictivas o con un determinado grado de disconformidad, que podrían ser foco de cierto tipo de problemas relacionados con la confidencialidad. Muchas veces es dificultoso detectarlo, pero es recomendable prestar atención a los indicadores de conflicto.
- Aceptar y entender la realidad. Seguir todos estos consejos no garantiza nada, pero ayuda a comprender que se deben tomar medidas concretas y definir un plan realista, alejado de la paranoia innecesaria. No se pueden controlar absolutamente todas las acciones de todas las personas en todo momento, por lo que siempre habrá un margen de error que quedará abierto, y que deberá intentar reducirse al mínimo a medida que pasa el tiempo.
Con esta pequeña lista podemos darnos una idea, aunque ligera, de los puntos mas importantes a tener en cuenta a la hora de combatir la fuga de información. Como es de esperarse, muchas medidas aplican también a la solución de los más diversos problemas relacionados con la seguridad, y justamente es por esto que conviene contar con una estrategia global, que incluya todos los aspectos de interés para una organización.
Federico Pacheco
Education & Research Manager