Las eventuales consecuencias derivadas de un incidente de fuga de información pueden agruparse en las siguientes categorías, que están relacionadas entre sí y pueden darse conjuntamente:
- Daños reputacionales: se genera un impacto muy negativo de la imagen de la empresa, lo que lleva aparejado la pérdida de confianza de clientes y proveedores.
- Consecuencias regulatorias: un incidente de esta naturaleza puede derivar en sanciones de distinta entidad, tanto civiles, penales, administrativas o deontológicas, en ocasiones de elevado importe.
- Consecuencias económicas: estrechamente relacionadas con las anteriores se encuentran aquellas que suponen un impacto negativo a nivel económico, con una disminución de la inversión, negocio, etc.
- Otras consecuencias: en este apartado se incluyen aquellas que pueden suponer un impacto negativo en otros ámbitos como, entre otros, el político, diplomático, institucional o gubernamental.
Es importante atender al tipo de información que se maneja dentro de la organización:
– Información confidencial o restringida: entendida como aquella información que consideremos crítica para los procesos de nuestra entidad. Por ejemplo: datos de nuestros clientes y de los procedimientos que les afecten, contabilidad de la empresa, datos de los propios trabajadores, etc.
– Información no confidencial: a estos efectos se considera aquella información cuya revelación y divulgación impactaría en la imagen de la empresa, pero el peso del impacto económico será menor.
Otro de los factores que definen el escenario es el tipo de datos que se han podido ver afectados. A estos efectos podemos diferenciar:
– Datos de carácter personal: cualquier dato que identifique o que pueda ser asociado a una persona identificada. Su divulgación o difusión pueden conllevar sanciones para la organización que ha sufrido el incidente.
– Otros datos: aquellos que no son datos de carácter personal, como, por ejemplo, información técnica u operativa, secretos comerciales, etc.
En base a estos factores podemos tener una aproximación que nos ayude a determinar las posibles consecuencias de un incidente. Y, a partir de ahí, adoptar las medidas técnicas u organizativas adecuadas para remediarlo.
Para obtener una escala de valor de las consecuencias será necesario contar con una valoración objetiva tanto de los factores antes expuestos como de otros aspectos, siguiendo un procedimiento de análisis de riesgos. Para ello, deberemos tener en cuenta el activo a proteger de la fuga de información, la amenaza, la probabilidad de que ocurra y el impacto, aspectos estos que nos permitirán obtener el dato real de riesgo.