GUA GESTIN DE FUGA DE INFORMACIN

mayo 2012

El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar informacin sobre la construccin de documentos PDF accesibles puede consultar la gua disponible en la seccin Accesibilidad > Formacin > Manuales y Guas de la pgina http://www.inteco.es.

Gestin de la fuga de informacin

NDICE
1. 2. INTRODUCCIN EL PROBLEMA 2.1. 2.2. 2.3. Introduccin Origen y motivacin Causas 2.3.1. 2.3.2. 3. Causas organizativas Causas tcnicas 4 6 6 7 7 8 9 10 10 12 16 16 16 16 17 18 19 20 21 22

LAS CONSECUENCIAS 3.1. 3.2. Escenarios Estimacin del Impacto

4.

GESTIN DE LA FUGA DE INFORMACIN 4.1. Hoja de ruta 4.1.1. 4.1.2. 4.1.3. 4.1.4. 4.1.5. 4.1.6. 4.2. Los primeros momentos Gabinete de crisis e inicio de la gestin del incidente Auditora interna y externa Evaluacin inicial y toma de decisiones Ejecucin del plan de contencin y control Seguimiento, estabilizacin y otras consecuencias

Tabla resumen

5.

PREVENCIN

Gestin de fuga de informacin

1.

INTRODUCCIN

Desde que Francis Bacon acuo la expresin la informacin es poder han pasado ms de 400 aos y sin embargo en el momento actual es cuando esta frase parece haber cobrado mayor sentido. La informacin se ha convertido en el activo ms importante que posee cualquier organizacin, es moneda de cambio e instrumento de fuerza y presin, otorga ventaja a quien la posee, y hay toda una industria en torno a la gestin, tratamiento y por supuesto, proteccin de la informacin. Sin duda, vivimos en la Sociedad de la Informacin. En el ao 2010 se produjo, la que est considerada hasta la fecha, como la mayor filtracin de informacin de la historia. Wikileaks, una organizacin sin nimo de lucro, public un total de 250.000 (cables) comunicaciones que se haban realizado entre el Departamento de Estado Estadounidense y sus embajadas repartidas por todo el mundo. Las consecuencias no se hicieron esperar. Este incidente supuso la confirmacin de algo que ya se saba: la gran dificultad de mantener la confidencialidad de la informacin, evitando filtraciones, pero tambin puso de manifiesto que ninguna organizacin est a salvo, incluidas aquellas que pertenecen al mbito gubernamental o dedicadas a alguna de las mltiples ramas o mbitos de la seguridad, que lgicamente se suponen preparadas, ya que disponen de procedimientos, herramientas y personal entrenado para manejar informacin considerada sensible y confidencial. Pero, como ha quedado demostrado, la seguridad 100% no existe y en ltima instancia, la informacin es manipulada por personas, y como se suele decir en seguridad el usuario es el eslabn ms dbil de la cadena. Wikileaks es un ejemplo perfecto de cmo una fuga de informacin puede tener consecuencias imprevisibles y un enorme impacto meditico, tal y como ocurri en este caso, debido a la naturaleza de la informacin filtrada y el mbito al que perteneca. El dao fue tremendo, y puso en jaque al gobierno americano que tuvo que realizar importantes esfuerzos para minimizar el impacto y las consecuencias. Aunque el incidente de Wikileaks estableci un antes y un despus, el problema de la fuga de informacin existe desde que los humanos manejan informacin. La fuga de informacin tiene una componente social y humana muy importante. Detrs de una buena parte de los incidentes de fuga de informacin se esconden motivaciones personales, o simples errores, entre otras. La masificacin del uso de las tecnologas y su integracin en todos los mbitos y estamentos de la sociedad han creado un escenario en el que por un lado, cada vez se gestiona mayor cantidad de informacin y por otro, se ha convertido en un activo crtico de las organizaciones y los usuarios. Adems las tecnologas posibilitan un tratamiento de la informacin sin precedentes y a nivel global, de manera que es transmitida, procesada, copiada o almacenada con una rapidez y eficacia impensable hace algunos aos, sumado al hecho de que es posible llevar a cabo dichas acciones, desde mltiples tipos de dispositivos, en cualquier lugar y en cualquier momento.

Gestin de la fuga de informacin

La computacin en la nube o los dispositivos mviles son una de las ltimas expresiones de la tecnologa que estn potenciando una propiedad de la informacin, que ha convertido en un autentico reto mantener la su confidencialidad: la ubicuidad. Es precisamente esta propiedad la que entraa los mayores riesgos para la confidencialidad de la informacin, ya que hace ms difcil definir lmites geogrficos, fsicos o lgicos del mbito de utilizacin y proteccin de la informacin. Por otro lado, el valor que ha tomado la informacin como arma de desprestigio, herramienta de presin o elemento de valor que se comercializa y vende a escala global en todo tipo de mbitos y sectores, estn convirtiendo a la fuga de informacin en uno de las mayores amenazas para la seguridad, puesto que detrs de este tipo de incidentes se sitan motivaciones muy poderosas, como el beneficio econmico o el dao de imagen. En la actualidad la industria de seguridad ofrece un buen nmero de soluciones de seguridad en forma de productos y servicios, entre los que destacan aquellos destinados a la gestin del ciclo de vida de la informacin (ILM) o los que estn destinados especficamente a evitar la fuga de informacin (DLP). La prevencin de la fuga de informacin es un negocio en auge. Por desgracia en este tipo de incidentes la prevencin no es suficiente, puesto que las consecuencias de la fuga de informacin pueden ser muy negativas y con un elevado nivel de dispersin, pudiendo afectar a otras organizaciones o incluso usuarios. Las organizaciones se suelen centrar en exceso en la prevencin, dejando a un lado la gestin del incidente. Esto supone que en caso que finalmente se produzca la fuga de informacin, no se toman las decisiones adecuadas o no se dispone de un procedimiento bsico que sirva de gua y que permita minimizar adecuadamente el impacto y evitar un empeoramiento de la situacin. Teniendo en cuenta lo anterior, desde INTECO-CERT hemos querido dedicar una gua a la gestin de la fuga de informacin desde el punto de vista de la gestin del incidente, es decir, cuando ya se ha producido y hay que gestionar las posibles consecuencias. A travs de esta gua bsica esperamos ofrecer informacin de utilidad a las organizaciones y las empresas, de manera que puedan tomar las mejores decisiones, con el objetivo de minimizar las consecuencias y el impacto de un incidente de fuga de informacin sobre la organizacin y sobre otros actores externos.

Gestin de la fuga de informacin

2.
2.1.

EL PROBLEMA
INTRODUCCIN

La proteccin de la informacin hace referencia a la proteccin de tres propiedades principales: confidencialidad, integridad y disponibilidad. La fuga de informacin es la prdida de la primera, es decir, la prdida de la confidencialidad, de forma que: informacin que a priori no debera de ser conocida ms que por un grupo de personas, en el mbito de una organizacin, rea o actividad, termina siendo visible o accesible para otros. Como cualquier otro incidente de seguridad, la fuga de informacin tiene un origen y unas causas principales. Por otro lado, si el incidente finalmente tiene xito, tendr consecuencias que afectarn por un lado a la propia organizacin, pero tambin podrn tener impacto sobre grupos externos de usuarios y otras organizaciones. El impacto y las consecuencias posteriores a un incidente de fuga de informacin, es uno de los aspectos que mayor preocupacin despierta en las organizaciones, puesto que la filtracin de informacin puede daar su imagen pblica y en el caso de las empresas, puede suponer un impacto negativo para el negocio, adems de generar desconfianza e inseguridad en el pblico en general y generar otras consecuencias a terceros, como en el caso de que la informacin filtrada haga referencia a usuarios o clientes. Por otro lado, la fuga de informacin es un tipo de incidente difcil de ocultar, puesto que su propia naturaleza y las motivaciones que se sitan detrs de estos incidentes suelen terminar en muchas ocasiones con la difusin del suceso en Internet. La enorme velocidad a la que se propaga la informacin en la Red y la gran cantidad de medios disponibles para llevar a cabo dicha propagacin, son factores que no ayudan a la hora de contener una posible filtracin. Adems de los problemas ms evidentes derivados de la fuga de informacin, hay otras consecuencias que pueden tener un impacto significativo, incluso a nivel econmico. Actualmente existen un conjunto de normativas que ponen especial nfasis en el uso y tratamiento de datos de carcter personal por parte de las organizaciones, las empresas y los ciudadanos. Dichas normativas prevn sanciones tanto de tipo econmico, si se trata de empresas, como de tipo administrativo, para las administraciones, en caso que el tratamiento de los datos no se ajuste a la ley, y en este supuesto entran las fugas de datos, ya que en muchas ocasiones, estos incidentes terminan con la difusin o publicacin de datos de carcter personal. Precisamente el temor a las posibles sanciones, es en ocasiones, uno de los principales motivos para la ocultacin de un incidente. Este es uno de los aspectos ms crticos de la gestin de la fuga de informacin, y ser tambin una de las responsabilidades de la organizacin, de cara a decidir si se hace pblico, a quin se debe de informar y en qu orden, as como otros aspectos relativos a la comunicacin del suceso a los medios.

Gestin de la fuga de informacin

2.2.

ORIGEN Y MOTIVACIN

En los primeros aos de la informtica, la fuga de informacin se relacionaba principalmente con los accesos no autorizados de origen externo, a sistemas u ordenadores, implicando, en ocasiones, la sustraccin o el robo de informacin, pero las consecuencias por aquel entonces eran muy limitadas si las comparamos con el impacto que puede llegar a tener hoy da. Con el tiempo, las amenazas evolucionaron y tambin cambiaron algunos paradigmas de la seguridad. La frase el enemigo est dentro se populariz hace ya unos aos cuando los incidentes de seguridad cuyo origen estaba en el interior de las propias organizaciones comenzaron a aumentar. Dicho aumento cambi la percepcin y el concepto de proteccin, puesto que hasta entonces las medidas de seguridad se centraban en crear barreras para proteger a las organizaciones de las amenazas externas. Actualmente, el origen de las amenazas puede ser tanto externo como interno. En el caso del origen interno, el empleado, se ha convertido en uno de los principales focos de todo tipo de incidentes de seguridad. El descontento, la venta de secretos industriales o informacin privilegiada para la obtencin de beneficio econmico, la venganza, el dao a la imagen, o la creacin de una nueva empresa con parte de los activos de informacin de otra, son algunos de los principales motivos detrs de una buena parte de los incidentes de seguridad de fuga de informacin. Pero no todos los incidentes de este tipo tienen una motivacin especfica. En ocasiones, tambin estn relacionados con la falta de conocimiento, formacin o sencillamente errores. Desde el punto de vista externo del origen de la fuga de informacin, el mapa de las amenazas externas ha cambiado enormemente en la ltima dcada, con la aparicin de nuevos jugadores en el escenario de la seguridad: organizaciones criminales, activistas o terroristas, han tomado Internet y la han convertido en un verdadero campo de batalla, en el que se desarrollan todo tipo de estrategias con diversos objetivos, como conseguir beneficio econmico, llevar a cabo acciones de protesta y dao de imagen, o sabotajes a instalaciones industriales.

2.3.

CAUSAS

En cualquier incidente de seguridad siempre existen elementos o mecanismos que hacen posible, facilitan y ayudan al xito de un incidente de seguridad. Las causas en relacin con la fuga de informacin pueden ser clasificadas en dos grupos principales, por un lado aquellas que pertenecen al mbito organizativo y por otro, aquellas que hacen referencia a al mbito tcnico. La mayora de las causas, organizativas o tcnicas, por lo general, implican la ausencia de algn tipo de medida de seguridad, procedimiento, herramienta, etc. La ausencia supone la falta de control y esta aumenta de forma significativa la probabilidad de que se produzca un incidente de fuga de informacin.

Gestin de la fuga de informacin

2.3.1.

Causas organizativas

Una gestin deficiente, la falta de formacin y buenas prcticas, la ausencia de polticas y procedimientos o la no aplicacin de mecanismos de disuasin, son causas habituales y suficientes para facilitar o desencadenar un incidente de fuga de informacin. Uno de los primeros errores que se comete en relacin con la proteccin de la informacin es la falta de una clasificacin de la informacin en base a su nivel de confidencialidad, en funcin de diversos parmetros, como son el valor que tiene para la organizacin, el impacto pblico que puede generar su difusin, su nivel de sensibilidad o si se trata de informacin personal o no. Si se desconoce el valor de la informacin que trata la organizacin, no ser posible disear y seleccionar las medidas de proteccin adecuadas. Por otro lado, el mbito de difusin, permite establecer el permetro dentro del cual podr ser difundida la informacin y junto con el nivel de confidencialidad, har posible determinar quien debe de conocer la informacin y qu tipo de acciones puede realizar sobre esta. Los errores o la falta de conocimiento y formacin son otra de las causas ms comunes de la fuga de informacin. Por un lado, el empleado debe utilizar los recursos que la organizacin pone a su disposicin de forma responsable, como en el caso del uso del correo electrnico, la navegacin Web u otros servicios y por otro lado, debe disponer de ciertos conocimientos y formacin en relacin con su actividad diaria, siendo responsabilidad de la organizacin proporcionar la informacin y la formacin necesaria de manera que el empleado pueda desempear su funcin adecuadamente. Adems de las buenas prcticas y la formacin es necesario contar con procedimientos y establecer el conjunto de pautas y obligaciones para los trabajadores en el mbito de la seguridad, mediante el establecimiento de polticas que indiquen claramente cules son los lmites dentro de los cuales debern desempear su actividad y por otro lado, los procedimientos para aquellas actividades de especial importancia o riesgo, de manera que se sigua un proceso controlado y las tareas se realicen de la forma ms segura posible. Adems de la formacin, las buenas prcticas y las polticas, es necesario ir un paso ms all, con el objetivo de incorporar un nivel adicional de disuasin, a la hora de evitar prcticas indebidas o actividades malintencionadas dentro de las organizaciones. En este sentido, cada vez es ms habitual que durante el proceso de contratacin de un empleado, se solicite por escrito la conformidad con diversas normas internas, como la poltica de confidencialidad o de seguridad, entre otras, de manera que el futuro empleado, deja por escrito la aceptacin de las condiciones correspondientes. No es lo mismo leer un documento, que leerlo y posteriormente firmarlo. El sentido y las consecuencias en ambos casos son muy distintos. Por otro lado, hoy da, las empresas y las organizaciones cuentan con legislacin que les permite establecer lmites legales a las actividades de sus trabajadores y que pueden ser utilizadas como mecanismos de disuasin para evitar un uso malintencionado de los recursos y la informacin.

Gestin de la fuga de informacin

La disuasin es una herramienta muy potente si se utiliza adecuadamente y en el contexto correcto, informando a los trabajadores, pero sobre todo, dejando claro que la organizacin ha establecido medidas para prevenir, y en caso de que suceda un incidente, tomar la iniciativa poniendo en marcha las acciones correspondientes.

2.3.2.

Causas tcnicas

El cdigo malicioso o malware, se ha convertido en una de las principales amenazas, siendo uno de sus objetivos ms comunes el robo de informacin. La revolucin de las tecnologas mviles y el aumento de los trmites y transacciones on-line, han venido acompaadas de un importante incremento del cdigo malicioso y de su peligrosidad, debido a que en su mayora, est destinado al fraude y a la obtencin de beneficio econmico. Uno de los mayores peligros del cdigo malicioso, es que permite automatizar una buena parte del proceso relacionado con la fuga de informacin y adems, el diseo de muchos de estos programas, incluye tcnicas que permiten mantener oculto el cdigo en un sistema, mientras recoge y enva informacin. El acceso no autorizado a sistemas e infraestructuras es otra de las causas detrs del robo de informacin. Ya sea como parte de una campaa de desprestigio, con el acceso no autorizado a una pgina web de una organizacin con cierta relevancia pblica, o con motivo de sustraer informacin sobre secretos industriales, los accesos no autorizados han vuelto a la palestra de los incidentes de seguridad ms peligrosos y estn mostrando el deficiente nivel de seguridad que tienen muchas aplicaciones y portales Web en Internet. En relacin con lo anterior es importante indicar que los sistemas y aplicaciones precisan de actualizaciones y revisiones constantes. Hace aos, muy pocas aplicaciones eran actualizadas regularmente, incluidos los sistemas operativos. Hoy da, cualquier aplicacin, dispone de actualizaciones regulares y contar con un servicio de actualizaciones se considera parte fundamental de una buena aplicacin, puesto que aporta mayor seguridad y denota un trabajo de mejora continua, que redunda en beneficio para la aplicacin y por extensin, para el usuario. En la prctica es difcil separar las causas organizativas y tcnicas, puesto que cada vez estn ms relacionadas, debido al uso intensivo de las tecnologas de la informacin dentro de las organizaciones para cualquier actividad, incluida la gestin de la seguridad, pero an as, es importante diferenciarlas, de cara a disear medias y detectar vulnerabilidades y mejoras.

Gestin de la fuga de informacin

3.
3.1.

LAS CONSECUENCIAS
ESCENARIOS

Las consecuencias de un incidente de fuga de informacin preocupan enormemente a las empresas y las organizaciones. Un incidente que se hace pblico, puede causar un importante dao de imagen o mermar la confianza de los clientes de la entidad, lo que puede llegar a afectar a su negocio. Comprender las posibles consecuencias es un aspecto esencial y necesario para la gestin de incidentes de fuga de informacin. A travs del estudio de las posibles consecuencias, es posible disear una estrategia, de forma que en caso que finalmente se produzca un incidente de fuga de informacin, sea posible tomar las decisiones adecuadamente, minimizando el impacto, ya sea sobre la propia organizacin o incluso sobre terceros, ya sean clientes, usuarios o sobre otras organizaciones. Para comprender algunas de las consecuencias de un incidente de fuga de informacin, vamos a describir distintos escenarios que estn basados en incidentes reales, de los cuales se ha suprimido informacin que no es relevante para al propsito del apartado. Tomemos como primer escenario: el caso de una entidad bancaria que sufri una fuga de informacin que supuso la filtracin de datos de sus clientes, que incluan nmeros de cuentas bancarias y otra informacin. El origen de la filtracin parece ser que fue interno, a travs de un empleado de la propia entidad. Es evidente que la imagen pblica de la entidad quedo daada y su credibilidad afectada, pero tambin hubo consecuencias externas, ya que se vieron expuestos datos de clientes, que una vez conocieron la filtracin, pudieron tomar acciones legales contra la propia entidad, a tenor, de la ley de proteccin de datos personales que aplique en aquel pas o de otra legislacin. Por otro lado, el impacto de la informacin revelada, en el caso de los clientes afectados tuvo otras consecuencias derivadas de la revelacin de cuentas no declaradas, lo que origin una posterior investigacin por las autoridades fiscales correspondientes, ante la posible evasin de impuestos. Un prototipo de un conocido dispositivo de un importante fabricante de tecnologa apareci en un bar y posteriormente fue vendido a un portal especializado en noticias de tecnologa. El origen del incidente parece ser que fue interno, un empleado dej olvidado el prototipo en el establecimiento. En este caso, el impacto es completamente distinto al caso anterior, e incluso, la aparicin de este supuesto prototipo pudo generar ms expectativas en los posibles compradores del producto final, pero en cualquier caso, la filtracin proporcion informacin sensible a sus competidores, que pudieron utilizarla en su beneficio, antes de que el producto definitivo saliera al mercado.

Gestin de la fuga de informacin

10

Aparecen en la basura miles de informes mdicos, que al parecer provenan de un centro de salud. El origen de la fuga parece ser que fue interno. Afortunadamente, alguien los encontr y pasaron a estar custodiados. Espaa cuenta con una legislacin relativa a proteccin de datos, conocida como Ley Orgnica de Proteccin de Datos (LOPD) y una agencia, la Agencia Espaola de Proteccin de Datos encargada de velar por el cumplimiento de esta. Debido a la gravedad del caso, y tratndose de datos de carcter personal que adems contenan datos mdicos, la Agencia Espaola de Proteccin de Datos, junto con los cuerpos y fuerzas de seguridad correspondiente, as como los organismos con competencias, llevaron a cabo una investigacin. Las consecuencias en este caso son de carcter fundamentalmente legal, ya que este tipo de incidentes suele conllevar sanciones y por supuesto, otras actuaciones a nivel interno en la propia entidad. En este sentido hay que aclarar, que no es lo mismo que se trate de una entidad pblica o privada, puesto que el impacto econmico debido a una posible sancin es bien distinto, adems de otras consecuencias, como la imagen pblica, que tendrn un impacto muy diferente en cada caso. A diferencia del incidente anteriormente comentado, relativo a la entidad bancaria, los datos de los expedientes no fueron difundidos, lo que limita de forma importante las posibles consecuencias. Si no hay afectados por la revelacin de la informacin, no deberan, a priori producirse otras consecuencias, como denuncias por parte de los afectados. Un grupo activista, filtro datos personales relativos al director de una organizacin gubernamental estadounidense y su familia, como medida de represalia por el cierre de un portal de descargas en Internet. En este caso, la fuga se origin en el exterior. En este caso nos encontramos ante un incidente de fuga de informacin muy distinto a los anteriores, puesto que aunque se filtran dato personales, van dirigidos a una persona y su familia, no a un colectivo de usuarios. Por otro lado, la motivacin parece ser la venganza, dirigida no contra la entidad sino contra una persona de la misma, en este caso el director. Las consecuencias afectan sobre todo a la persona de la cual se filtraron los datos. Adems en este escenario, el incidente se produjo en un pas que no cuenta con una normativa de proteccin de datos de carcter personal como ocurre en Espaa y en la Unin Europea. Lgicamente se producir una investigacin para determinar donde se produjo la brecha de seguridad, pero posiblemente no haya consecuencias legales de ningn tipo, salvo que consigan identificar a los culpables. Una plataforma de juegos on-line sufre un robo de datos personales que incluye datos bancarios. La fuga se produce varias veces, ante la aparente dificultad de cerrar la brecha de seguridad. Se ven afectados usuarios de todas partes del mundo. Nos encontramos ante un caso particular, por un lado se trata de un robo de datos personales, que incluye informacin bancaria. Esto supone un importante riesgo para los usuarios. Por otro lado, afecta a usuarios a nivel global, es decir, de distintos pases. Hasta aqu no es muy distinto de otros incidentes de fuga de informacin, pero en este caso se da

Gestin de la fuga de informacin

11

una situacin que es importante destacar, puesto que la plataforma es atacada en varias ocasiones y se producen varios accesos no autorizados, lo que termina daando gravemente la imagen de la compaa que la gestiona, ante la aparente imposibilidad de contener o cerrar la brecha de seguridad. La magnitud del robo de datos fue considerable y el impacto meditico muy importante. Por otro lado, tuvo consecuencias tanto a nivel econmico, como legales, ya fuera por denuncias relativas a una posible negligencia por parte de la compaa, debido a la gestin del incidente. Una agencia gubernamental del mbito de la seguridad nacional, sufre un acceso no autorizado que tiene como consecuencia la sustraccin de cientos de documentos confidenciales. Debido al nivel de confidencialidad de los datos sustrados, la fuga es considerada muy grave. Tal y como se ha comentado antes, las consecuencias de una fuga de datos de una organizacin que pertenezca a la administracin son muy distintas de aquellas que pueden afectar a una empresa. Tomando el caso que se ha descrito arriba, las consecuencias en este caso, son todava ms distintas si cabe, en sentido que se trata de una organizacin gubernamental y perteneciente al mbito de la seguridad nacional. Las consecuencias en este caso tienen un impacto a otros niveles completamente distintos, ya que se tratara de una fuga de informacin que podra afectar a la seguridad nacional de una nacin. Las consecuencias de un incidente de este tipo tendran que ver con el dao de imagen y credibilidad de la organizacin afectada, pero las causas ms importantes seran de tipo externo a la organizacin, por ejemplo, si se ha sustrado informacin relativa a infraestructuras crticas o sistemas de defensa. Los casos que se han descrito dan una idea muy general de las posibles consecuencias que puede llegar a tener un incidente de fuga de informacin, ya sea sobre la propia organizacin en la cual se ha producido la fuga, o incluso sobre las personas u otras organizaciones o mbitos. Lo cierto es que determinar las posibles consecuencias y el impacto de un incidente de fuga de informacin es una tarea muy compleja, que depende de muchos factores. En el siguiente apartado vamos a analizar algunos de esos factores, los cuales servirn de base de cara a establecer las consecuencias y el posible nivel de impacto.

3.2.

ESTIMACIN DEL IMPACTO

Se entiende por impacto el conjunto de las consecuencias que se derivan de un incidente, en el mbito que nos ocupa, de un incidente de fuga de informacin. A partir de los ejemplos vistos en el apartado anterior queda patente la gran diversidad de escenarios posibles y lo distintas que pueden ser las consecuencias, que podramos separar en varias categoras principales:

Gestin de la fuga de informacin

12

Dao de imagen. Son aquellas consecuencias que generan impacto negativo en la imagen de la compaa o de la organizacin y que adems generan prdida de confianza. Consecuencias legales. Son aquellas consecuencias que se enmarcan en el mbito legal, que podran conllevar sanciones econmicas o administrativas. Consecuencias econmicas. Son aquellas que afectan o suponen un impacto negativo a nivel econmico, en forma de sanciones, disminucin de la inversin, negocio, etc. Otras consecuencias. Son aquellas que afectan o supone un impacto negativo en mbitos muy diversos, como por ejemplo, el mbito poltico, diplomtico, institucional, o gubernamental, entre otros. En general se trata de consecuencias que no estn englobadas en los otros tres tipos. En realidad es difcil separar las consecuencias anteriores, puesto que en la mayora de los casos estn ntimamente relacionadas y por otro lado, es difcil que se den consecuencias de un nico tipo para un incidente. Por lo general, las consecuencias suelen ser una combinacin de las anteriores, cada una con un peso distinto en funcin del escenario.

Dicho escenario estar definido por un conjunto de factores que en parte, determinarn el peso final que tendrn las consecuencias y en su conjunto, determinarn el impacto global del incidente sobre la organizacin y su entorno. Uno de los factores que definen el escenario es el tipo de organizacin en la cual se ha producido la fuga de informacin, es decir, si se trata de una organizacin que pertenece a la administracin o si se trata de una empresa o una organizacin privada. Analizando las consecuencias, se puede establecer que el peso de las distintas consecuencias (legales, econmicas o de imagen) es muy distinto en cada caso: Organizaciones del sector pblico. En el caso de las organizaciones pertenecientes a la administracin, el posible dao e imagen es un factor que cobra importancia desde un punto de vista poltico o gubernamental. Las consecuencias econmicas, como las sanciones debidas a incumplimiento de la legislacin, son ciertamente limitadas, por ejemplo, en el caso de una fuga de informacin de datos de carcter personal, las sanciones a las organizaciones pertenecientes a la administracin (como norma general), no son de tipo econmico, aunque s que es

Gestin de la fuga de informacin

13

cierto que se podran producir casos en los cuales, los afectados denunciarn (proceso ordinario) y finalmente se estableciera algn tipo de indemnizacin. Organizaciones del sector privado. Es evidente que las organizaciones que pertenecen al sector privado estn mucho ms ligadas a posibles efectos o consecuencias de carcter econmico. A diferencia de las administraciones, el sector privado si est expuesto a sanciones econmicas. Por otro lado, un incidente puede suponer la prdida de confianza de los inversores o de sus clientes, lo que tambin puede tener consecuencias muy significativas sobre su negocio y su actividad. Otro de los factores que tienen especial importancia en un escenario de fuga de informacin, es la naturaleza de la informacin, en especial, la tipologa de los datos sustrados o filtrados. En este sentido, podemos establecer una clasificacin muy sencilla, diferenciando entre: Datos de carcter personal. Aquellos datos relativos a terceros fsicos y que permiten identificar a una persona, ya sea de forma directa o indirecta (). Los datos de carcter personal son muy amplios, pero en cualquier caso, lo fundamental es que hacen referencia a ciudadanos y son considerados sensibles. Su divulgacin o difusin, pueden conllevar sanciones para la organizacin que ha sufrido el incidente. Otros datos. Sern aquellos que no son datos de carcter personal, generalmente relacionados con terceros jurdico, informacin tcnica u operativa. Adems de diferenciar entre informacin que contiene datos de carcter personal o no, tambin es importante establecer si dicha informacin hace referencia al interior o al exterior de la organizacin. Hay que tener en cuenta que no es lo mismo que se filtren datos de personas u organizaciones externas a la organizacin, como por ejemplo datos de clientes, a que se filtren datos de los propios trabajadores. Las consecuencias pueden ser muy distintas. Por tanto, adems de la clasificacin anterior tenemos tambin: Datos internos. Son aquellos datos relativos que proporcionan o hacen referencia a la propia organizacin. Datos externos. Son aquellos datos relativos o que proporcionan informacin sobre organizaciones o personas externas a la organizacin. Como vemos, a medida que incluimos ms factores, la valoracin del impacto se complica, pero en base a los tres factores anteriores es posible desarrollar una aproximacin que ayude a determinar las posibles consecuencias de un incidente. A continuacin podemos ver un diagrama que resume los tres factores comentados.

Gestin de la fuga de informacin

14

Adems de lo anterior, obtener una escala de valores en relacin con las consecuencias, requiere contar con una valoracin objetiva en el mbito de la organizacin de los distintos factores comentados y de otros, en relacin con sus consecuencias, siguiendo un procedimiento similar a las encuestas utilizadas en la evaluacin de riesgos, puesto que para cada organizacin, las posible consecuencias y el impacto dependern tambin de la valoracin que realicen las personas de dicha organizacin, que conocen su entorno y actividad. Por otro lado, a partir del rbol de factores que se ha mostrado, calcular el nivel de impacto, requiere considerar los factores de manera que sean dependientes unos de otros, es decir, no es lo mismo una empresa privada que pierde datos de carcter personal pertenecientes a sus propios empleados, que una empresa privada que pierde otro tipo de datos pertenecientes a organizaciones externas. Como vemos, el clculo es el resultado de varios factores interdependientes. En relacin con lo anterior, no es objeto de este documento desarrollar un mtodo de clculo del impacto, sino mostrar algunos de los factores que pueden influir de forma decisiva en el valor final que pueda tener ese impacto sobre la organizacin. Como vamos a ver en el apartado siguiente, los factores indicados, adems de otras consideraciones, servirn para disear una hoja de ruta de gestin del incidente de fuga de informacin.

Gestin de la fuga de informacin

15

4.

GESTIN DE LA FUGA DE INFORMACIN

Dada la naturaleza de los incidentes de fuga de informacin y las consecuencias que pueden derivarse, la gestin de un incidente cobra especial importancia con el objetivo de minimizar las consecuencias y el impacto sobre la organizacin. A priori, la gestin del incidente puede parecer una tarea sencilla, pero hay que tener en cuenta muchos aspectos y situaciones, que de no ser gestionadas adecuadamente, pueden suponer un efecto contrario al deseado, es decir, se puede magnificar el efecto negativo del incidente, dando lugar a consecuencias no esperadas o efectos colaterales, que den como resultado un empeoramiento del impacto global sobre la organizacin. A lo largo del siguiente apartado desarrollaremos una propuesta de hoja de ruta para la gestin de los incidentes de fuga de informacin, recogiendo los principales puntos y aspectos a tener en cuenta. La hoja de ruta propuesta es nicamente una gua, que deber de ser adaptada al escenario especfico.

4.1.
4.1.1.

HOJA DE RUTA
Los primeros momentos

Los momentos inmediatamente posteriores a un incidente de fuga de informacin son especialmente crticos y la adecuada gestin de esos primeros momentos puede suponer una reduccin considerable del impacto. El problema es que en muchas ocasiones el incidente no es detectado hasta que este llega a los medios de comunicacin o se produce su difusin en Internet, es decir, la organizacin afectada conoce la existencia del incidente a travs de fuentes externas. En relacin con lo anterior, uno de los mayores retos a los que se enfrentan las organizaciones es conseguir la deteccin temprana del incidente, si es posible, a travs de medios internos, de forma que la organizacin tome el control de la situacin en el menor tiempo, iniciando el protocolo de actuacin correspondiente. Precisamente, debido a la posibilidad de que el incidente no sea detectado internamente y sea conocido a travs de fuentes externas, es importante que la organizacin se mantenga informada, de manera que sea posible detectar la publicacin de cualquier informacin o contenido que afecte a la organizacin y que est relacionada con el incidente, lo antes posible.

4.1.2.

Gabinete de crisis e inicio de la gestin del incidente

Una vez que se conoce la existencia del incidente, ya sea a travs de fuentes externas o internas, el primer paso es iniciar el protocolo interno de gestin del incidente, convocando a los responsables que forman parte del equipo de gestin que deben tomar las decisiones: el gabinete de crisis. Mantener la calma y actuar con organizacin es

Gestin de la fuga de informacin

16

fundamental para evitar decisiones incorrectas o que pueden provocar consecuencias negativas adicionales, ya sea a nivel interno o externo. Evidentemente no todas las organizaciones cuentan con un gabinete de crisis o tienen los recursos necesarios para abordar la gestin del incidente tal y como lo hara una gran organizacin o una gran empresa. Cada organizacin deber de ajustarse a sus recursos, pero en cualquier caso, ser necesario contar como mnimo con un responsable que se encargara de la gestin y coordinacin de la situacin, ya sea personal propio de la organizacin o externo. En cualquier caso, todas las decisiones y las actuaciones relativas al incidente debern de ser tomadas y coordinadas por el gabinete de crisis. Es fundamental evitar actuaciones por libre o que no hayan sido definidas y acordadas por el gabinete.

4.1.3.

Auditora interna y externa

Una vez se inicia el protocolo de actuacin, se pone en marcha el gabinete de crisis y se informa a todos sus miembros, debera de dar comienzo la fase de obtencin de informacin sobre el incidente. Para ello, ser necesario iniciar por un lado, una auditora interna, con el objetivo de determinar con exactitud y en el mnimo tiempo posible lo siguiente: Determinar la cantidad (tamao en disco, nmero de registros, etc) de informacin ha podido ser sustrada. Hay que indicar que la informacin sustrada puede ser mayor que la informacin que finalmente ha resultado filtrada y hecha pblica, en el caso que se haya difundido, por ejemplo, a travs de Internet. Establecer el tipo de datos que contiene la informacin que ha podido ser sustrada, en especial si incluye datos de carcter personal y cual es su nivel. Determinar si la informacin es relativa a la propia organizacin o es externa, es decir, si por el contrario se trata de informacin que hace referencia a organizaciones o personas externas a la organizacin. Establecer la causa principal de la filtracin, si tiene un origen tcnico, o humano. Si el origen es tcnico, determinar los sistemas que estn afectados o en los cuales se ha producido la brecha. Si es humano, iniciar el proceso para identificar como se ha producido la fuga y quien es el responsable. Adems de la auditora interna, tambin realizar una auditora externa, en el sentido de conocer el tamao, gravedad y nivel de difusin de la filtracin en el exterior de la organizacin. En este punto, hay que distinguir entre informacin que ha sido sustrada e informacin que se ha hecho pblica, ya que no son necesariamente lo mismo. En relacin con lo anterior, ser necesario conocer, al menos los siguientes puntos: Determinar donde se ha hecho pblica la informacin sustrada. Este primer punto es fundamental. Como veremos, en el siguiente paso de la hoja de ruta, es crtico cerrar la brecha de seguridad y cortar la difusin de la informacin sustrada, para lo cual es necesario conocer donde se ha publicado o donde est disponible.

Gestin de la fuga de informacin

17

Establecer qu informacin se ha hecho pblica y determinar la cantidad (tamao en disco, nmero de registros, etc) de la informacin filtrada. Recoger las noticias y otros contenidos que hayan aparecido en los medios de comunicacin, as como en otros medios en Internet. Conocer las reacciones que se estn produciendo en relacin con el incidente. En esta fase, el tiempo de reaccin es crtico y sera recomendable conocer todos los datos anteriores y otros que puedan ser recopilados durante la auditoria o que resulten de inters, en un plazo no superior a 12 horas, desde el momento en que se ha conocido el incidente. En este sentido, reducir los tiempos es fundamental, pero tambin hay que proporcionar el margen suficiente para que el personal encargado de la auditoria pueda trabajar y obtener informacin fiable y no meras hiptesis o suposiciones. El tiempo que hemos indicado es orientativo, en cualquier caso, ms all de las 48 horas podra considerarse excesivo, aunque depender de la gravedad del incidente y de otros factores.

4.1.4.

Evaluacin inicial y toma de decisiones

Con la informacin obtenida se inicia el proceso de valoracin del incidente, posibles consecuencias e impacto. Se establecen las principales acciones y se detalla la planificacin para cada una de ellas. Hay que indicar que al tratarse de una evaluacin inicial, las acciones sern diseadas y planificadas en funcin de la informacin disponible, que puede ser incompleta. Por otro lado, tambin hay que tener en cuenta la ventana de tiempo disponible, puesto que hay que actuar con la mayor celeridad posible. En relacin con las principales acciones (entre otras) que ser necesario llevar a cabo, se indican las siguientes: Determinacin de las acciones destinadas a cerrar la filtracin y evitar nuevas fugas de informacin. Determinacin del nivel de difusin de la informacin y de las acciones destinadas a minimizar su difusin, en especial si esta contiene datos de carcter personal o se trata de informacin sensible. Determinacin de los afectados por la fuga de informacin, ya sean internos o externos. Determinacin de las consecuencias legales, posibles incumplimientos de normativa en materia de proteccin de datos de carcter personal, o de otra normativa, as como posibles denuncias por los afectados, otras organizaciones, etc. Determinacin de las consecuencias econmicas, que puedan afectar a la organizacin. Determinacin de los activos de la organizacin afectados, y alcance, en relacin con los activos de informacin, infraestructuras, personas, etc. Planificacin del contacto y coordinacin con fuerzas y cuerpos de seguridad, denuncia y otras actuaciones, en caso de ser necesario.

Gestin de la fuga de informacin

18

Planificacin de comunicacin e informacin del incidente, tanto a nivel interno como externo, a medios de comunicacin, y afectados, en caso de ser necesario. Estas acciones y otras que puedan considerarse necesarias, en funcin del escenario, compondrn el plan de emergencia diseado para el incidente en cuestin. Su ejecucin deber de estar completamente coordinada y supervisada en todo momento por el gabinete de crisis. Las acciones indicadas anteriormente, podrn realizarse de forma simultnea o secuencialmente, todo depender del escenario, los recursos con que cuente la organizacin y de otras consideraciones. En cualquier caso, el orden y la coordinacin de las acciones ser responsabilidad del gabinete de crisis. Una vez realizada la evaluacin inicial y determinadas las acciones y establecidas las prioridades, se inicia el proceso de gestin de contencin y control del incidente.

4.1.5.

Ejecucin del plan de contencin y control

Dentro del plan, el primer paso es terminar con la brecha de seguridad y evitar que se produzcan nuevas fugas de informacin. Es posible que sea necesario cerrar la brecha de seguridad a costa por ejemplo, de desconectar un determinado servicio o sistema de Internet, pero cerrar la fuga es el objetivo nmero uno. Ms adelante, se llevar a cabo la aplicacin de medidas ms adecuadas o menos drsticas, pero siempre garantizando la seguridad. Adems de cerrar la brecha de seguridad, es crtico eliminar o minimizar la filtracin de la informacin sustrada, en especial en Internet. Por ejemplo, es habitual que informacin sustrada o filtrada sea publicada y difundida en diversos sitios web o portales. Se proceder a contactar con los sitios que han publicado informacin y se solicitar su retirada, en especial si se trata de informacin sensible. En caso de ser necesario, se llevar a cabo la comunicacin pertinente a los medios, para informar a la opinin pblica del incidente, pero tal y como se ha indicado, nicamente en caso que se considere necesario. Los medios de comunicacin pueden aportar un mecanismo muy eficaz para hacer llegar tranquilidad a los afectados. La coordinacin en relacin con los medios de comunicacin durante la gestin del incidente es un aspecto crtico. Adems, tal y como se ha indicado, en caso de existir afectados por la fuga de informacin, por ejemplo, si se han filtrado datos de terceros, como clientes o usuarios de un servicio, es fundamental que sean informados, no solo del incidente, sino tambin de los datos que han sido sustrados, para que puedan tomar las acciones oportunas para su seguridad, como puede ser el cambio de contraseas, revocacin de nmeros de tarjetas, etc. As mismo, es importante no solo informar de lo sucedido, sino proporcionar algn canal o medio de comunicacin, de manera que los afectados puedan mantenerse informados sobre

Gestin de la fuga de informacin

19

la evolucin del incidente y las distintas recomendaciones que pueda realizar la organizacin a los afectados, con el objetivo de minimizar las consecuencias. En caso de ser necesario se comunicar el incidente a las fuerzas y cuerpos de seguridad, ya sean locales, regionales o nacionales, en funcin del escenario. Por otro lado se llevar a cabo la denuncia del incidente y otras acciones que puedan derivarse de la coordinacin o la solicitud de informacin por parte de las fuerzas y cuerpos de seguridad. Adems, se tendr en cuenta informar a otros organismos que puedan tener competencias derivadas de la informacin filtrada, como es el caso de la Agencia Espaola de Proteccin de Datos, en el caso de datos de carcter personal.

4.1.6.

Seguimiento, estabilizacin y otras consecuencias

Una vez completadas las principales acciones del plan, se proceder a evaluar el resultado y la efectividad de las acciones realizadas, en relacin con las consecuencias y el impacto. Por otro lado, durante esta fase, en caso de ser necesario, se deber de hacer frente a otras consecuencias que hayan podido generarse durante la fase de contencin del incidente, como puedan ser consecuencias legales, econmicas, etc. Durante esta fase tambin se iniciar el proceso de estabilizacin del incidente, comenzando un proceso de valoracin global del mismo, que supondr una auditora ms completa a partir de la cual se disearan e implantaran las medidas definitivas para evitar nuevas fugas y restablecer el normal funcionamiento de los servicios e infraestructuras que pudieran haberse visto afectadas.

Gestin de la fuga de informacin

20

4.2.

TABLA RESUMEN

A continuacin resumimos la hoja de ruta descrita en el apartado anterior en la tabla resumen que aparece a continuacin: FASE
FASE INICIAL o o o o o o o o o o o o o

DESCRIPCION
Deteccin del incidente Alerta del incidente a nivel interno Inicio del protocolo de gestin Reunin del gabinete de crisis Informe inicial de situacin Coordinacin y primeras acciones Auditora interna y externa Elaboracin de informe preliminar Reunin del gabinete de crisis Presentacin del informe de auditora Determinacin de principales acciones Tareas y planificacin Ejecucin de todas las acciones del plan

FASE DE LANZAMIENTO

FASE DE AUDITORA FASE DE EVALUACIN

FASE DE CONTENCIN FASE DE SEGUIMIENTO Y ESTABILIZACIN

o o o o o

Valoracin de los resultados del plan Gestin de otras consecuencias Auditora completa Aplicacin de medidas y mejoras Restablecimiento de la actividad

Gestin de la fuga de informacin

21

5.

PREVENCIN

Como hemos visto a lo largo del documento, la fuga de informacin es uno de los incidentes de seguridad ms complejos, por su diversidad y por las posibles consecuencias. Por otro lado, el componente humano y organizativo que subyace a muchos de los incidentes de fuga de informacin, supone todo un reto en relacin con la aplicacin de medidas de seguridad eficaces, con el objetivo de prevenir incidentes. Pero a pesar de todo, hoy da, las empresas y las organizaciones cuentan con una gran diversidad de herramientas y medidas que pueden ayudar de manera muy eficaz a prevenir y minimizar significativamente las consecuencias de un incidente de fuga de informacin. La prevencin de la fuga de informacin pasa por la aplicacin de medidas de seguridad desde tres puntos de vista: tcnico, organizativo y legal. A continuacin exponemos las medidas en forma de tabla para cada uno de ellos.

MEDIDAS ORGANIZATIVAS
Buenas practicas Poltica de seguridad Procedimientos Clasificacin de la informacin, establecimiento de roles y niveles de acceso Formacin e informacin interna Sistema de gestin de seguridad de la informacin

MEDIDAS TCNICAS
Control de acceso e identidad Soluciones anti-malware y anti-fraude Seguridad perimetral y proteccin de las comunicaciones Control de contenidos y control de trfico Copias de seguridad Control de acceso a los recursos Actualizaciones de seguridad y parches Otras medidas de seguridad derivadas del cumplimiento de legislacin Gestin de eventos e inteligencia de seguridad

Gestin de la fuga de informacin

22

MEDIDAS LEGALES
Solicitud de aceptacin de poltica de seguridad Solicitud de aceptacin de poltica de confidencialidad Otras medidas de carcter disuasorio en base a legislacin Medidas relativas a la adecuacin y cumplimiento de la legislacin aplicable (LOPD, LSSI, etc)

Finalmente, es importante destacar la necesidad de contar con asesoramiento profesional, no solo durante la gestin de un incidente de fuga de informacin, sino tambin, en la fase de diseo de las medidas de prevencin. Cada organizacin es diferente y ser necesario buscar un equilibrio entre complejidad, coste y riesgo, en relacin con la implantacin de las medidas de seguridad.

Gestin de la fuga de informacin

23