En toda empresa no sólo es importante cuidar la cartera de clientes, la reputación, etc. También es muy importante cuidar la información, ya que, sin duda alguna, constituye uno de los activos más importantes de toda empresa, independientemente de que esta sea pequeña, mediana o grande.

Desde hace algunos años, las empresas están cada vez más expuestas a sufrir incidentes de seguridad de la información, en la que muchos ya han sufrido robos o sustracciones de información confidencial. Esto tiene consecuencias muy graves, no sólo en lo económico o legal, con multas o sanciones por incumplimiento de legislación en materia de protección de datos; sino en cuanto a imagen y pérdida de reputación, pérdida de clientes, etc. La construcción de una imagen y reputación requiere de mucho esfuerzo y trabajo, sin embargo, ante este tipo de incidentes es muy fácil perder todo este trabajo y, lo que es peor, muy difícil de volver a construir.

La fuga de información siempre ha sido un problema en las empresas, sin embargo, con el mayor uso de la tecnología, este problema ha aumentado, debido al gran volumen de información y el uso de diversos mecanismos de información como laptops, dispositivos móviles, -tanto corporativos como personales- para acceder a los recursos de la empresa, lo que supone un riesgo añadido para la seguridad de nuestra información.

La fuga de información se puede producir de forma accidental: perdida de un portátil, envío de información por error, etc. Pero también puede tratarse de un incidente provocado, por ejemplo por el descontento de algún empleado que filtre información, o a través de otras técnicas, como los ataques llevados a cabo por ciberdelincuentes por medio de ingeniería social, que hayan propiciado el robo de la información para dañar la reputación de la empresa o con fines económicos.

¿Cómo podemos prevenir este tipo de incidentes? Para ello debemos tener en cuenta el tipo y el valor de la información a proteger, teniendo en cuenta el posible impacto que pueda causar en nuestro negocio su robo o pérdida, ya que puede tener distintas consecuencias en función del tipo de información y del tipo de organización. Por lo que debemos:

  1. Conocer la información que gestiona la organización. Esto debe hacerse a través de entrevistas y reuniones con el personal de la organización.
  2. Clasificar según su criticidad, según un criterio razonable y unificado.
  3. Determinar su grado de seguridad: ¿es alto el riesgo de pérdida de información?, ¿y el de fuga o robo de información?, ¿puede ser alterada sin autorización?
  4. Establecer las medidas necesarias para mejorar su seguridad.

Para evitar o reducir el riesgo de que este tipo de incidentes ocurran, se pueden establecer diferentes tipos de medidas, dentro de las cuales te explicamos las que más destacan:

Técnicas. El mercado de soluciones de seguridad, podrás encontrar diversos servicios y herramientas para todo tipo y tamaño de empresas, que permiten detectar y prevenir la fuga de información. Como son: Cifrado de la información confidencial corporativa, instalación, configuración y actualización de cortafuegos, mantener actualizadas todas las aplicaciones de nuestros sistemas, etc.

Para grandes empresas o con mayores recursos económicos o que necesitan un nivel mayor de exigencia a la hora de gestionar y proteger la información, podemos aplicar otras medidas más avanzadas utilizando: soluciones de prevención de pérdida de datos o DLP, las destinadas a la gestión del ciclo de vida de la información o ILM o finalmente, las herramientas de control de dispositivos externos de almacenamiento, que están destinadas a controlar el acceso físico a puertos y dispositivos extraíbles como USB para evitar fugas de información.

Organizativas. Estas medidas están estrechamente relacionadas con «la forma» en que se maneja o se trata la información, ya que pueden existir malas prácticas como compartir contraseñas o información confidencial en directorios de trabajo a las que tiene acceso toda la empresa. Por ello, es necesario implementar políticas de seguridad, junto con acciones de concienciación a todos los empleados.

Jurídicas. Es importante que los empleados o proveedores que gestionan la información corporativa, cumplan las políticas de seguridad; para ello se les puede hacer firmar unos acuerdos de confidencialidad, en los que los que regularemos los aspectos relativos a la seguridad y la confidencialidad de la información en la prestación de un servicio, incluyendo las sanciones en caso de incumplimiento. Aplicando estas medidas, no solo cumpliremos con las leyes, sino que también mostraremos nuestro compromiso con el cliente en cuanto al manejo de la confidencialidad de su información y, en caso de que se produzca una fuga de información intencionada por parte de alguien de la compañía, tener el respaldo legal para llevar a cabo las medidas oportunas.

Fuente: Incibe

 

 

 

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *