¿Sabes qué hacer si alguien roba datos de tu empresa?

/in /by

En este artículo vamos a hablar sobre la problemática que se desencadena cuando un empresario descubre que alguien roba datos de su empresa y la información confidencial de su empresa ha llegado a manos inadecuadas.
t_robo_informtico_1951
Tal y como explica INCIBE en un artículo, la información es uno de los activos más importantes de las empresas. Los listados de clientes, las tarifas, datos de proyectos en curso o el know-how son fundamentales en la operativa de cualquier empresa hoy en día. Si estos datos cayesen en manos indeseadas o fuesen publicadas en la red con un objetivo difamatorio podría llegar a tener consecuencias legales y pérdidas económicas para la empresa difíciles de valorar, así como daños de imagen. Por esta razón es necesario evitar cualquier posible fuga de información.

¿Qué es la fuga de información?

Podríamos definir la fuga de información o fuga de datos como la liberación deliberada o involuntaria de información confidencial o sensible, a un medio o a personas que no deberían conocerla.

La fuga se considera deliberada cuando sufrimos un ataque en el que nos roban información confidencial intencionadamente aprovechando alguna vulnerabilidad de nuestros sistemas o algún fallo de configuración. También si nos engañan para acceder a ella mediante técnicas de ingeniería social, o mediante robo de móviles, portátiles o pendrives.

Este tipo de fuga puede ser externa como en el caso de organizaciones criminales que roban los correos de nuestros clientes o por ciberdelincuentes que quieren dañar nuestra imagen o desprestigiarnos. O también puede ser de origen interno como por ejemplo empleados descontentos que se llevan, extraen o envían información a terceros, con intención de revancha o para su propio beneficio.

La fuga de información también puede ocurrir por error o de forma no intencionada, como cuando perdemos el portátil, o un pendrive, o si enviamos por error información que no deberíamos de haber enviado o utilizamos almacenamiento en la nube o apps de móviles que no están permitidas y cuya seguridad desconocemos.

¿Cómo se produce esta fuga de información?

Existen algunas formas en las que habitualmente la información se “fuga” de una empresa:

    • Mediante dispositivos de almacenamiento externo. Son los pendrive o “pinchos” USB, así como portátiles, móviles y otros dispositivos externos como discos duros, CD/DVD que se extravían o se usan para sacar información. Sin una política adecuada de control, un empleado puede copiar cualquier archivo sensible a un dispositivo, llevárselo a casa y hacer con él lo que considere oportuno. Esto mejora si se controla qué información puede copiarse en estos dispositivos y en qué casos debe ir cifrada.
    • Mediante correo electrónico. Enviando a través de cuentas de correo gratuitas (o de la propia cuenta de correo de la empresa) ficheros adjuntos que pueden contener información sensible. Mejora con la concienciación en el uso correcto del correo electrónico y si se controla la información que puede enviarse por estos medios y en qué casos debe ir cifrada.
    • Utilizando redes inalámbricas no seguras.Cuando se utilizan redes inalámbricas desprotegidas, como la de los aeropuertos o los hoteles es un posible foco de fuga de información, dado que el tráfico puede estar siendo espiado o controlado sin que el usuario lo sepa. Siempre es recomendable el uso de redes cifradas VPN para el acceso a los datos empresariales desde el exterior.
    • Servicios de almacenamiento en la nube (Dropbox,Google Drive, Mega,…).Estos servicios permiten filtrar información desde los ordenadores corporativos de una forma sencilla y rápida. En muchos casos aplicaciones de mensajería instantánea como Skype o Telegram pueden ser la fuente de exfiltración de la información.Una solución sería estableces políticas de uso de software permitido, bloqueando su instalación o desinstalándolos.
    • Publicaciones en redes sociales.En muchas ocasiones las publicaciones en redes sociales sin control dan lugar a fugas de información no deseada. Mejora si se conciencia a los usuarios de los usos aceptables de las redes sociales, corporativas y personales, y si se centraliza en profesionales el uso de las cuentas de redes sociales corporativas.
    • Instalación de malware. Si resultamos infectados por malware que roba datos (troyanos, pyware, keyloggers, stealers y rasomware) nuestra información “abandonará” nuestras instalaciones o dejará de estar disponible muchas veces sin que nos demos cuenta. En este caso mejora con concienciación para evitar contagiarse y utilizando productos antimalware.

¿Qué hacer cuando la fuga ya se ha producido?

Aparte de las acciones a realizar por cuestiones legales cuando se trata de fuga de datos personales, lo más importante suele ser poder responder a las 5 preguntas claves de cualquier investigación: ¿Qué? ¿Cómo? ¿Cuándo? ¿Quién? y ¿Por qué?

Habrá casos en los que la fuga de información se deba a un error, pero en otros casos, podemos tener un posible delito entre manos: Empleados o ex-empleados enfadados o que han sido despedidos y que venden los secretos de la empresa a la competencia, hackers que chantajean a la empresa a cambio de no publicar o devolver la información secuestrada, empresas externas que intentan hacerse con datos sensibles para el negocio,…

Si nos vemos involucrados en uno de estos casos, el poder responder a las 5 preguntas cobra un mayor sentido, dado que dependiendo de la respuesta obtenida, el resultado puede ser una denuncia, que en la mayoría de los casos deberá afirmarse con un informe pericial técnico, en el que un profesional de la informática forense detallará qué evidencias ha podido obtener sobre el incidente.

Lo más importante ante una fuga de datos es ponerse en contacto lo antes posible con un profesional con experiencia en DFIR (“Digital Forensics Incident Response”).

¿Cuál es la respuesta ante incidentes de seguridad informática?

Los profesionales que tienen formación y competencia en este campo, están especializados en analizar incidentes de seguridad, realizando todos los pasos necesarios para responder a las preguntas básicas sobre el incidente. Si además el profesional es un perito informático, podrá realizar un informe que servirá como prueba judicial ante cualquier posible denuncia.

Los profesionales del DFIR utilizan una metodología analítica para investigar los incidentes de seguridad: A partir de los datos iniciales que la empresa puede aportar sobre el incidente, el analista forense analiza los equipos y sistemas informáticos de la empresa, con el objetivo de localizar aquellas evidencias que pueden resultar relevantes para el incidente.

El informático forense es experto en analizar los registros de eventos que tienen todos los sistemas informáticos. Es lo que en el argot se conoce como “artefactos”. Estos artefactos nos proporcionan información interesante sobre qué archivos se abrieron en un ordenador en un periodo concreto de tiempo, qué hizo el usuario que estaba conectado a un sistema, que conexiones fueron abiertas, qué páginas web fueron visitadas o qué dispositivos USB fueron conectados a un equipo. Todo ello, organizado convenientemente a través de una linea de tiempo, permitirá al informático forense aportar respuestas que arrojen luz sobre el incidente de seguridad.

También tendrá su importancia la no alteración de las evidencias, algo que no siempre es sencillo, pero que deberá tenerse en cuenta de cara a una posible denuncia judicial. El informático forense siempre utilizará herramientas no invasivas y asegurará la no alteración de las evidencias, recopilándolas y asegurándolas mediante el cálculo de códigos HASH.

El resultado del trabajo de un analista forense habitualmente está formado por 2 informes distintos: Un informe técnico, en el que se detallan todas las acciones realizadas y el resultado de las mismas, incluyendo todas las evidencias encontradas, y un informe “ejecutivo”, en un lenguaje sencillo y entendible por la dirección de la empresa, en el que se responderá a qué es lo que ha ocurrido, cuándo ha ocurrido, dónde o desde qué equipos ha ocurrido, cómo se ha realizado esa fuga de datos y por último quién es el responsable de la misma.

Con esta información, la empresa podrá decidir si se trata de algo accidental (y tomar las medidas de mitigación para intentar que no vuelva a ocurrir) o si se trata de un hecho delictivo.

Conclusión

En conclusión, podemos decir que la ciberseguridad es algo que cada día resulta más importante para las empresas y cada vez son más los empresarios que se están concienciando de que se deben tomar medidas para evitar los incidentes de seguridad.

Lo más importante es tener constancia de que se ha producido la filtración de datos y encargar la investigación del incidente a un profesional. Muchas empresas cuentan con estos profesionales en plantilla, pero también existen empresas y profesionales externos que prestan estos servicios realizando una investigación minuciosa y un informe que permitirá a la empresa decidir qué acciones debe tomar.

Para cualquier duda o sugerencia podéis contactad con nosotros en www.hard2bit.com

Fuente: https://www.incibe.es