En este primer artículo nos limitaremos a exponer las claves de este espinoso asunto: ¿quiénes roban información en una organización? ¿qué documentos sustraen? ¿qué hacen las empresas al respecto?
Varios estudios llevados a cabo por diferentes compañías de seguridad, consultoras y universidades durante los últimos 3 años coinciden en las siguientes afirmaciones:
El perfil del ladrón de documentos
De las fugas, el 75% son accidentales. El 65% de los empleados que roban información deliberadamente ya tienen un puesto asegurado en otro puesto de la competencia. Un 20% han sido contratados por otra empresa en calidad de espías. El perfil más abundante es hombre de unos 37 años con un cargo técnico (científico, ingeniero, programador, etc). La mayor parte de estos delincuentes tiene acceso autorizado a la información sensible. Además, no tienen la sensación de estar haciendo nada malo.
¿Qué documentos roban?
La siguiente gráfica muestra la distribución de la información robada:
¿Quiénes están en riesgo de fuga?
La mayor parte de las organizaciones y empresas. Cuantos más empleados, mayor es el riesgo de fuga. De hecho, el 70% de las PYMEs han sufrido una fuga durante 2013. El 50% de las organizaciones ni siquiera tienen protocolos de seguridad para protegerse. Y de ellos, sólo el 15,6% siguen a rajatabla dichos controles.
¿Cuánto preocupa este problema?
Aquí está la raíz del problema. La fuga de información es un tema que preocupa, pero no lo suficiente. Muchos responsables prefieren ponerse una venda en los ojos y asumir la honradez y fidelidad absoluta de todos los trabajadores. En gran parte de los casos se hace la vista gorda por no tratarse de una fuga grave (cuando el daño no supera los 3000 euros). Sin embargo, la mayoría no se persigue por falta de pruebas.
¿Qué hacen al respecto?
Cuando se intercepta al responsable de una fuga, las empresas no suelen despedir al trabajador (sólo el 13%). En el resto de casos se limitan a un advertimiento informal (37%) y en menor medida, una sanción disciplinaria (22%). Sólo el 3% de los casos acaban en los tribunales.
Para una empresa, admitir que sufre fugas de datos es un daño a su reputación muy difícil de reparar que además podría acarrear sanciones administrativas. Por esto, la mayoría de las fugas pasan desapercibidas extramuros.
¿Cómo se pueden combatir las fugas y robo de datos?
Y esta es la pregunta clave: ¿realmente se puede evitar que un trabajador (o cualquiera) robe información confidencial de una empresa u organización? La repuesta es un rotundo SÍ.
Por desgracia, los responsables de seguridad de las grandes empresas están más preocupados del malware, de los ataques del exterior y del cumplimiento de la normativa (LOPD, ISO 27001, etc) que de evitar las filtraciones de información. Esta es la realidad.
Desde hace un tiempo existe tecnología antifugas capaz de evitar que la información se filtre hacia el exterior de una empresa. Y no sólo eso: una tecnología capaz de gestionarla y trazarla a nivel de departamento, grupo de trabajo o de un trabajador particular; a nivel de un tipo de información concreto; a nivel de un sólo documento o incluso a nivel de la información que contiene.
¿Y de qué tecnología se trata? Esto lo dejaremos para otro artículo. Sólo os damos una pista: IRM + DLP.