Información, el activo más valioso de las empresas

Autor: Raquel Frutos, Consultora de Relaciones Públicas y Comunicación Corporativa en iMADES Communication

La información es uno de los activos más importantes para las empresas, pues a través de los datos que se gestionan en el día a día es cómo se construye el know how, expertise y reputación de la compañía u organización en cuestión. Toda esa información, la cual a día de hoy está en su inmensa mayoría digitalizada, corre el riesgo de perderse o terminar en manos de destinatarios no deseados si no se instaura un proceso de seguridad para su salvaguarda. Esta fuga de información se ha convertido en una de las mayores preocupaciones de las empresas, especialmente para aquellas que operan en sectores comprometidos, como son la defensa y seguridad, u otros cuyo negocio gira en torno al uso de ese activo, como es la comunicación y prensa.

Microsoft, redes sociales conocidas como Facebook y LinkedIn o Telefónica son solo algunos de los nombres de grandes e importantes empresas que no se han librado de estar expuestas a la vulneración de sus datos, si bien este es un problema que atañe también a compañías de pequeño tamaño. De hecho, según un estudio de NordPass publicado el año pasado, son precisamente las empresas de menor tamaño las que tienen más probabilidades de sufrir una vulneración de datos y, en consecuencia, de perder información de clientes y de la organización. En este sentido, las compañías de hasta 50 empleados fueron las que más vieron comprometidos los datos de sus clientes en España.

Por ello, tomar conciencia de la magnitud de los riesgos y de la valía que tiene la información es solo el primer paso antes de activar una serie de medidas para lograr proteger la información.

Recomendaciones para proteger la información empresarial

Desde el Instituto Nacional de Ciberseguridad (INCIBE) ofrecen el siguiente listado de consideraciones a tener en cuenta a la hora de gestionar la información de las empresas:

  • Concienciación: toda la plantilla de la empresa debe estar informada acerca de la necesidad de proteger la información y de una correcta gestión de la misma. Además, se recomienda recibir formación específica para identificar las amenazas y saber cómo reaccionar en el caso de sufrir un incidente de seguridad.
  • Catalogar la información según su carácter más o menos crítico para posteriormente poder aplicar las medidas de seguridad necesarias. Esta información puede catalogarse en tres niveles:
  1. Información confidencial: es la más delicada y, por tanto, debe ser accesible únicamente para las personas autorizadas. Es el caso de información relativa al personal, como nóminas y contratos; económica, como facturas y abonos; y de proyectos y clientes comprometidos.
  2. Información de uso interno: a diferencia de la anterior es accesible para todos los empleados y empleadas de la empresa. Podría ser el directorio de emails y contactos de la plantilla, horarios y cuadrante de vacaciones, procedimientos operativos generales, etc.
  3. Información pública: es la que debe ser conocida también por personas externas a la empresa. El ejemplo más claro es la información que se muestra en la web de la empresa.
  • Control de acceso a la información: se trata de segmentar qué personas deben acceder a cada tipo de información teniendo en cuenta el principio del mínimo privilegio, que hace referencia a que las personas únicamente puedan acceder a los datos estrictamente necesarios para ejecutar sus tareas diarias. De este modo, un reducido número de personas estarán autorizadas para acceder a la información confidencial.
  • Cifrado de información: la información confidencial se protege por medio de herramientas de cifrado que impiden que personas no deseadas accedan a información sensible. Además, esta medida debe aplicarse a todos los dispositivos tecnológicos utilizados, siendo el caso de portátiles, móviles o soportes de almacenamiento externo, al ser estos los más susceptibles de ser robados. También hay que aplicarlo a la hora de transmitir la información para evitar posibles fugas durante su envío o ser víctimas de un ataque de intermediario.
  • Copias de seguridad de la información:  deben realizarse de manera periódica y almacenarse en un lugar seguro para que, en el caso de que se produzca algún incidente de ciberseguridad, puedan estar protegidas y ser restauradas. Esto protege ante ataques como el ransomware, mediante el que a través de un código malicioso se infecta un dispositivo tecnológico impidiendo el acceso a la información y pidiendo para su liberación un rescate.
  • Destrucción de la información que no sea útil para la empresa: esto evitará fugas de información innecesarias.

Además de lo anterior se recomienda instaurar medidas adicionales de refuerzo como es firmar un contrato de confidencialidad con las personas autorizadas a tener acceso a información sensible.  Este documento debe incluir información acerca de cuáles son los datos confidenciales de la empresa, así como las consecuencias en caso de incumplimiento del contrato, pues pueden oscilar desde un despido disciplinario del trabajador hasta ser de orden jurídico si el mismo ya no trabaja en la compañía y se le solicita una indemnización.

Uno de los mayores peligros, la fuga de información

Por fuga de información se hace alusión a la pérdida de la confidencialidad, de forma que personal no autorizado logra acceder a información privilegiada. Entre las consecuencias negativas que ello genera se encuentra el perjuicio a la imagen pública de la empresa con el consiguiente impacto negativo en el negocio al generar desconfianza e inseguridad entre clientes y proveedores. Asimismo, la fuga de información puede generar consecuencias a terceras personas por hacer públicos datos que pueden ser de carácter personal, en cuyo caso la normativa de tratamiento de datos de carácter personal prevé sanciones para este tipo de delitos. Por tanto, también existen consecuencias legales.

Entre los motivos que originan la fuga de información se encuentran dos en función de su origen:

  • Internos: las fugas son ocasionadas por empleados de la empresa, ya sea de forma inadvertida (por desconocimiento o por error) o a propósito con el fin de perjudicarla en el caso de que exista descontento o interés en obtener un beneficio económico con la difusión de la información privilegiada.
  • Externos: sus ejecutores abarcan desde organizaciones criminales hasta activistas y las motivaciones son las mismas que en el caso anterior aunque en orden invertido, siendo la principal obtener un beneficio económico con la venta de la información sustraída seguido del daño a la imagen de la empresa.

Además, la mayoría de las causas de las fugas de información son de carácter organizativo o técnico y originadas por la ausencia de algún tipo de medida de seguridad. Ello genera una falta de control sobre la información, lo cual incrementa de forma significativa la probabilidad de que se produzca un incidente de fuga de información.

Así, y ante un incidente de estas características que no haya podido prevenirse, se recomienda iniciar un protocolo de gestión del mismo tan pronto como se detecte y alertar a nivel interno a la plantilla de la organización. Asimismo, sería conveniente reunir un gabinete de crisis para realizar un informe de la situación, una especie de auditoría para indagar acerca de las causas y definir las medidas a establecer con objeto también de prevenir futuros incidentes. Una vez que estas se hayan puesto en marcha, habría que valorar posteriormente los resultados del plan y establecer mejoras si fuera conveniente.