Basándonos en las publicaciones hechas recientemente ESET, citaremos un artículo interesante acerca de la fuga de información.
¿Que es la fuga de información? Se denomina fuga de información “al incidente (tanto interno como externo, y a la vez intencional o no) que pone en poder de una persona ajena a la organización, información confidencial y que sólo debería estar disponible para integrantes de la misma.” Algunos ejemplos que se pueden presentar como dichos incidentes ante la fuga de información serían: desde un empleado vendiendo información confidencial a la competencia (incidente interno e intencional), una secretaria que pierde un documento en un lugar público (incidente interno y no intencional) o en la misma línea la pérdida de una laptop o un pen drive, así como también el acceso externo a una base de datos en la organización o un equipo infectado con un Spyware que envíe información a un delincuente. Teniendo en cuenta estos tres ejemplos observemos que tienen en común que la información confidencial de la empresa cae en manos de terceros que no debería tener acceso a la misma.
A nivel tecnológico existen medidas tecnológicas como: Data Loss Prevention (DLP), Data Leak Prevention (también DLP), Information Leak Detection and Prevention (ILDP), Information Leak Prevention (ILP), Content Monitoring and Filtering (CMF) y Information Protection and Control (IPC), que pueden prevenir dichos acontecimientos pero deben ser minuciosamente configuradas, para lo cual se requiere previamente conocer el valor de la información, que se obtiene luego de realizar un estudio de valuación de activos, de manera que se sepa cuánto valen los activos que se desean proteger. Más allá de esto, la información se debe clasificar en función de su nivel de requerimientos de confidencialidad, integridad y disponibilidad, cosa que también ayudaría a implementar un sistema como los mencionados. Todo lo antedicho está incluido en la implementación de normas de seguridad de la información, como serie la ISO 27000.
En síntesis, la fuga de información puede darse de manera espontánea, ya sea por error u omisión, o bien de forma deliberada, con la intención de filtrarla a través de los canales de la empresa.
Fuentes: www.eset-la.com
Áudea Seguridad de la Información
Departamento de Comunicación y Marketing