FUGA DE INFORMACIÓN

La fuga de información ocurre cuando algún dato valioso pasa a manos ajenas.  Esto sucede comúnmente cuando existen documentos que son accedidos por personas no autorizadas.  O cuando un dato secreto es facilitado por alguien interno de la organización a una persona ajena,  sin pasar por un medio digital que lo controle.

Si bien el caso más grande de fuga de información fue el de Wikileaks,  no es el único.  En marzo de 2010 un reconocido Banco admitió fuga de datos de 15000 clientes. Y  hay más ejemplos…

Un eje de esta problemática es la tecnología (por los sistemas donde se almacena) y el otro  sin dudas  es el que tiene que ver con las personas.

Aquí nos encontramos con una gran dificultad técnica por la complejidad de administrar y gestionar gran cantidad de datos que procesan las empresas.  Debido a que no puede ser centralizado ya que cada nivel de usuario accederá a distintos archivos y datos y que éstos a su vez viajarán por redes y se almacenarán en diferencias ubicaciones dentro y fuera del centro de cómputos.  

Uno de los aliados técnicos para la fuga de información es el malware que permite acceder a los equipos y explotar vulnerabilidades para afectar la privacidad en  forma directa.  Se destacan aquí el spyware y los keyloggers.

También puede generarse una fuga involuntaria por un error técnico que haga que quede expuesta la información en internet o en la intranet. 

Si la fuga es deliberada,   es muy probable que sea a través de un grupo de empleados disconformes o que se hayan sentido perjudicados por la  misma.

Es importante plantear el tema  a fin de llegar a tomar conciencia sobre la necesidad de tener planes de acción concretos.  Ya sea en ambientes corporativos,  donde se debe mantener un entorno seguro con los niveles de confidencialidad y en el ámbito personal evitar que los individuos o sus familias queden expuestos.

Consejos  para prevenir la fuga de información:

  • Es fundamental conocer el valor de la propia información realizando un análisis de riesgos para determinar un plan de acción a fin de evitar posibles filtraciones.
  • Tomar verdadera conciencia de del manejo de la información,  es importante conocer la responsabilidad del manejo de la misma y sus posibles consecuencias legales y laborales.
  • Considerar la aplicación del modelo de capas como pilar de defensa.  Se deben cubrir todos los aspectos del acceso,  como el físico,  técnico y administrativo y así centralizar las soluciones.
  • Aprovechar la tecnología,  utilizar sistemas de protección por medio de hardware,  software o ambos. 
  • De ser necesario basarse en estándares. La  norma ISO 27000 está especialmente dedicada a seguridad de la información.
  • Fijar políticas y procedimientos claros,  vigilar su cumplimiento.  Los acuerdos de confidencialidad deben ser aceptados y firmados por todos los usuarios. 
  • Vigilar y ser muy prudentes con lo que se publica en internet,  con lo propio y cuidando también no comprometer la confidencialidad de terceros.

 

defensa de la red

La idea de este modelo es muy sencilla: si es posible proteger a un activo de la organización con más de una medida de seguridad, hágalo. El objetivo del modelo también es claro: para que un atacante llegue a un dato o información, debe poder vulnerar más de una medida de seguridad. 
Así, se presentan varias capas donde es posible aplicar diversos controles. Por ejemplo, aunque un servidor esté protegido por usuario y contraseña (capa equipo), eso no quita que no se implementen medidas de acceso por contraseña a las aplicaciones que estén instaladas en el equipo (capa aplicación), o que no se apliquen controles como protección por llaves para que no sea sencillo acceder al equipo (capa perímetro físico). Citando otro ejemplo, el tener instalado una software antivirus en los puestos de trabajo no es motivo para dejar de controlar la presencia de malware en los servidores de transporte como puede ser un servidor de correo. Dos capas de protección siempre ofrecerán mayor seguridad que una sola, y continuando con el ejemplo, un incidente en un equipo servidor no comprometería a los usuarios finales, o viceversa. 
Obviamente que aplicar un control de seguridad tiene un costo asociado, y por lo tanto será necesario evaluar si el valor de la información a proteger justifica una, dos, tres, o las capas de seguridad que sean necesarias. Pero mientras los costos lo justifiquen, el modelo pretende proteger la información sensible de forma tal que un atacante si llegara a sortear algún mecanismo de seguridad, esto no sea suficiente para llegar a la información corporativa.

Trabajamos con una base de Clientes diversos. ¿Cómo podemos ayudarlo?

SOPORTE
LICENCIAMIENTO NETWORKING SOLUCIONES DE BACKUP HOSTING ANTIVIRUS BENEFICIOS A EMPLEADOS