Causas organizativas:
- Falta de clasificación: Esta clasificación se puede realizar en base a su nivel de confidencialidad y en función de diversos parámetros como el valor que tiene para la organización, el impacto que puede generar su filtración, su nivel de sensibilidad o si se trata de información personal o no.
- Falta de delimitación del ámbito de difusión: Una correcta delimitación del alcance de tal información nos permitirá establecer el perímetro dentro del cual podrá ser difundida la información y su nivel de confidencialidad. Esto se conoce como principio del mínimo conocimiento.
- Falta de conocimiento y formación: Esta circunstancia facilita la producción de errores por parte de los integrantes de la empresa quienes, por un lado, deben utilizar los recursos que la organización pone a su disposición de forma responsable y diligente (como es el caso de los servicios en la nube, los dispositivos móviles, el correo electrónico, las redes sociales o la simple navegación por Internet).
- Ausencia de procedimientos: El establecimiento de políticas que indiquen al usuario claramente cuáles son los límites dentro de los cuales deberán desempeñar su actividad y, por otro lado, los procedimientos para aquellas actividades de especial importancia o riesgo disminuirán el riesgo de que se produzca una fuga de información.
- Inexistencia de acuerdos de confidencialidad: Es importante solicitar por escrito la conformidad de los empleados con normas internas de esta naturaleza, como pueden ser la política de confidencialidad o de seguridad, entre otras, de manera que el futuro empleado, acepte por escrito las políticas y condiciones de privacidad y seguridad aplicables a la organización.
Causas técnicas:
- Código malicioso o malware: es una de las principales amenazas, siendo el robo de información uno de sus objetivos más comunes. El malware está muchas veces diseñado utilizando técnicas que permiten mantener oculto su código en un sistema, mientras recoge y envía información, lo que dificulta su localización.
- Acceso no autorizado a sistemas e infraestructuras: La actualización se considera parte fundamental de una buena gestión y de responsabilidad corporativa, puesto que aporta mayor seguridad y denota un trabajo de mejora continua que redunda en beneficio de la aplicación y, por extensión, del usuario.
- Generalización del uso de servicios en la nube: – La generalización del uso de servicios en la nube para el almacenamiento de todo tipo de información puede llevar a la percepción de que en la nube nuestra información está segura, cuando lo cierto es que no sólo depende de eso.
- Uso de las tecnologías móviles para el trabajo diario: El uso de las tecnologías móviles para el trabajo diario. almacenando en ellos información de la empresa-en ocasiones crítica-, han llevado a la generalización de medidas como el uso de herramientas de cifrado de la información o el uso de VPN (redes privadas virtuales) en las comunicaciones.
¿Cómo podemos mitigar la fuga de información?
Es muy importante llevar a cabo campañas de concienciación en materia de ciberseguridad dentro de la empresa, sin perjuicio de que podamos hacerlas extensivas a terceros con los que mantengamos relaciones comerciales o profesionales, tales como proveedores, colaboradores u otro personal externo.
Además, conviene desarrollar y mantener actualizadas políticas claras y completas de acceso a la información, debiéndonos asegurar de que son bien conocidas por todos los miembros de la organización y, en su caso, terceros ajenos a la misma que deban acceder a información de la empresa en base a algún tipo de relación contractual. No obstante, la implantación de medidas preventivas técnicas y organizativas, sigue existiendo la posibilidad de que se produzca un incidente de seguridad relacionado con la información que se maneja en la empresa.