Ilier Navarro. La fuga de información es uno de los incidentes más temidos en las empresas y para los profesionales autónomos, pues sus bases de datos y la información confidencial sobre proyectos, patentes e iniciativas de negocio que quieren poner en marcha son uno de los principales activos con los que cuentan. De ahí que, además de los protocolos tecnológicos para mitigar los daños en el menor tiempo posible, sea necesario prestar atención a las medidas legales que pueden adoptar las empresas.
Una fuga de información o fuga de datos se produce cuando se pierde la confidencialidad de la información de la empresa. Tal como señala el Instituto Nacional de Ciberseguridad (INCIBE), esta información debería ser accesible únicamente a un grupo de usuarios autorizado dentro de la organización. Sin embargo, como consecuencia de un incidente de seguridad, esta puede ser intervenida por terceros no autorizados.
Estos incidentes se pueden producir de manera involuntaria o intencionada. Aunque lo habitual es creer que son los ciberdelincuentes quienes toman la iniciativa para vulnerar los sistemas de seguridad y entrar a las bases de información de una compañía, lo cierto es que en la mayoría de las ocasiones el origen de la fuga es una actuación involuntaria por parte de los empleados.
Es lo que ocurre, por ejemplo, cuando un trabajador envía un correo a múltiples destinatarios sin utilizar la función de copia oculta, cuando se extravía el móvil, un portátil corporativo o una memoria USB con información confidencial o cuando esta información no está cifrada.
Pero también hay fugas de información que se producen de manera deliberada por un ciberatacante externo o por un “insider”: un exempleado que tenga habilitados los accesos a los sistemas corporativos o un trabajador descontento que quiere vender la información o bien causar un daño reputacional. Y la información se puede extraer de múltiples maneras, desde dispositivos corporativos que contienen información sin cifrar, a través del correo electrónico en base a técnicas de ingeniería social, hasta prácticas tan cotidianas como el uso de la función de autocompletar. También a través de conexiones a redes wifi-públicas o inseguras o mediante el uso de aplicaciones de almacenamiento en la nube o de herramientas colaborativas.
La publicación involuntaria de información a través de las redes sociales -como una foto en la empresa en la que se vean “post it” con usuarios y contraseñas- puede convertirse en una vía de acceso y la infección de dispositivos con programas maliciosos tipo malware, troyanos o spyware, entre otros. El uso de credenciales poco seguras y contraseñas débiles y fáciles de adivinar siguen siendo un clásico.
Fuga de información: prevención
Las medidas y protocolos de actuación que se adopten cuando se produce una fuga de información se deberán adaptar a la gravedad del incidente y al contexto específico. Pero en el ámbito preventivo, se pueden adoptar una serie de medidas organizativas y técnicas que detalla el INCIBE.
Entre las medidas organizativas, suelen estar orientadas a optimizar los estándares de seguridad en los métodos de trabajo y organización. Por ejemplo, habrá que definir una política de seguridad y procedimientos para todo el ciclo de vida de los datos, además de fijar un sistema de clasificación de la información de manera que su acceso esté vinculada a distintos niveles y roles dentro de la empresa.
También resulta fundamental realizar acciones de formación, simulacros y campañas de concienciación en ciberseguridad, así como recordatorios periódicos, en los que pueden adoptar un rol activo los departamentos de comunicación interna. Asimismo, habrá que Implantar un sistema de gestión de seguridad de la información.
Las medidas de corte técnico tienen como objetivo limitar los accesos no autorizados a la información, tanto por ciberdelincuentes como por los propios empleados. Entre ellas destacan los sistemas de control de acceso e identidad, la implantación de soluciones antimalware y antifraude, con medidas de seguridad perimetral y protección de las telecomunicaciones. También será necesario aplicar una serie de controles a los contenidos, al acceso a los recursos y monitorizar las copias de seguridad, así como realizar las actualizaciones de seguridad oportunas y utilizar herramientas DLP (Data Loss Prevention).
Medidas legales frente a fugas de información
Cuando una fuga de información afecta a datos personales de trabajadores, clientes o proveedores, la empresa debe notificar el incidente a la Agencia Española de Protección de Datos (AEPD), autoridades pertinentes u organismos equivalentes, pero también deberá comunicarlo a las personas cuyos datos se hayan visto afectados para que puedan tomar las medidas oportunas. Estas comunicaciones se deben efectuar en un plazo máximo de 72 horas desde su conocimiento.
Las medidas legales que adopte la empresa serán de vital importancia para dar cumplimiento a la legalidad vigente, pero también para emprender las acciones en los tribunales o bien ante otros organismos contra los responsables. Por ejemplo, puede haber casos de empleados que hayan filtrado los datos confidenciales de forma deliberada, por lo que habrá que contar con asesoramiento jurídico que analice los detalles del caso para saber qué vías son las adecuadas.
Las medidas legales previas pasan por establecer acuerdos de confidencialidad específicos, así como solicitar a los trabajadores que acepten la política de seguridad, de manera que se cuente con la conformidad de los empleados. Por otra parte, tal como destaca el INCIBE, también se deben establecer medidas relativas a la adecuación y cumplimiento de la legislación aplicable, entre ellas, la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018) o la Ley de Servicios y Seguridad de la Información.
Adicionalmente, se podrán adoptar otras medida de carácter disuasorio, pero siempre teniendo la certeza de que cumplen con la legislación vigente.