La fuga de información se define como la pérdida de la confidencialidad, de forma que personal no autorizado accede a información privilegiada. Los despachos de abogados cuentan en su haber con un gran número de datos e información que requieren de un tratamiento y una seguridad para evitar que caigan en manos ajenas.
Desde la Agencia Española de Protección de Datos (AEPD), el Consejo General de la Abogacía y el Instituto Nacional de Ciberseguridad (INCIBE) se ha publicado una guía cuyo objetivo es mostrar a estos profesionales cómo gestionar una fuga de información.
La guía expone el origen, tanto externo como interno, de las amenazas que pueden provocar las fugas de información, para analizar a continuación cómo prevenirlas o mitigarlas. Una fuga de información puede ser empleada con fines indeseados o utilizada con fines comerciales.
Pone de manifiesto las constantes amenazas online, que de manera automatizada, ponen en permanente riesgo la información que se trata y almacena en los despachos de abogados. De ahí que la ciberseguridad debe ser un elemento indispensable en la estrategia de los despachos. Deben implementarse medidas tecnológicas que eviten esta fuga de información.
En la mayoría de los casos, las fugas de información implican la ausencia o ineficiencia de algún tipo de medida o de procedimiento de seguridad, implementados para evitar este tipo de incidentes. En la gran mayoría de los casos detrás de estas fugas se encuentra el factor humano, de ahí la importancia de concienciar a nuestros empleados, clientes, proveedores… sobre la ciberseguridad. Conviene desarrollar y mantener actualizadas políticas claras y completas de acceso a la información.
¿Qué debemos hacer si se produce una fuga de información?
Para saber a qué nos enfrentamos, lo primero es calcular las implicaciones y consecuencias de esta fuga. Solo si sabemos su impacto podremos hacer frente a sus implicaciones.
En la guía se nos muestran las líneas maestras para realizar una gestión adecuada. En seis pasos podemos ver cómo reaccionar. En la imagen siguiente se expone cada paso y las correspondientes acciones a realizar en cada uno. Las explicamos a continuación.
Fase 1. Uno de los mayores retos a los que se enfrentan las organizaciones es conseguir la detección temprana del incidente. A estos efectos, una práctica que puede ser de utilidad es la constante monitorización online. Una vez detectado debemos informar internamente de la situación, activando el protocolo de actuación. En caso de que la fuga de información afecte a datos personales, también debe alertarse en un plazo de 72 horas a la AEPD.
Fase 2. Una vez se activa el protocolo interno de gestión del incidente, el primer paso es el de convocar a los miembros del comité o gabinete de crisis. Es fundamental mantener la calma y actuar coordinada y organizadamente. Todas las decisiones y las actuaciones relacionadas con el incidente deberán ser tomadas y coordinadas por el gabinete de crisis.
Fase 3. Una vez se han iniciado los pasos anteriores, daría comienzo la fase de obtención de información sobre el incidente. Para ello, será necesario iniciar una auditoría interna, con el objetivo de determinar con exactitud y en el menor tiempo posible lo siguiente: Determinar la cantidad de información que ha podido ser sustraída, establecer el tipo de datos que contiene la información que ha podido ser sustraída, determinar si la información pertenece a la propia organización o es externa, establecer y acotar la causa principal de la filtración, en el sentido de determinar si tiene un origen técnico o humano.
Además de la auditoría interna, también es necesario realizar una auditoría externa. El objetivo de ésta será conocer el tamaño, gravedad y nivel de difusión de la filtración en el exterior de la organización.
Fase 4. Con la información recopilada se podrá iniciar el proceso de valoración del incidente, así como sus posibles consecuencias e impacto. Para ello es recomendable establecer las tareas a emprender, así como una planificación detallada para cada una de ellas.
Fase 5. Esta etapa se centra en tratar de reducir la brecha de seguridad y evitar que se produzcan nuevas fugas de información. Además, buscaremos minimizar la difusión de la información sustraída, en especial si se encuentra publicada en Internet. Para ello, se contactará con los sitios que han publicado información, con los motores de búsqueda y se solicitará su retirada.
Fase 6. Una vez completadas las principales acciones del plan, se procederá a evaluar el resultado y la efectividad de las acciones realizadas, en relación con las consecuencias y su impacto. Además, en caso de ser necesario, se deberá hacer frente a otros aspectos que hayan podido generarse durante la fase de mitigación del incidente, como puedan ser consecuencias legales, económicas, reputacionales y similares.
Por último, se iniciará un proceso de valoración global del mismo, que supondrá una auditoría más completa a partir de la cual se puedan diseñar e implantar medidas definitivas para evitar nuevas fugas y restablecer el normal funcionamiento de los servicios e infraestructuras que pudieran haberse visto afectadas.