Lo Que Necesita Saber Sobre El Cifrado De Datos

Puede que te parezca que has escuchado estos imperativos un millón de veces: "Tienes que encriptar tus datos". "Tu información no es segura si no la encriptas". "Tienes que comer tus frutas y verduras".

Pero si eres como mucha gente, pones los ojos en blanco porque tienes la buena intención de ocuparte de ellos después. El problema es que ignorar estos consejos o hacerlo con medias tintas puede causar daños irreversibles. En el caso del cifrado de datos, el daño puede afectar a la reputación de la empresa, a la confianza de los clientes y a los resultados financieros. También puede causar estragos en los controles de privacidad y hacer que te enfrentes a los reguladores y auditores.

El problema de que una medida de seguridad tan importante se convierta en algo trillado es que corre el peligro de convertirse en una simple "casilla de verificación". Las organizaciones con un conocimiento inmaduro de la seguridad pueden pensar que las capacidades básicas de cifrado proporcionadas por sus dispositivos de almacenamiento o por los proveedores de servicios en la nube son suficientes para mantener sus datos protegidos y que ir más allá es sólo caer en el miedo, la incertidumbre y la duda avivados por los medios de comunicación y los proveedores que se benefician. Los equipos de tecnologías de la información (TI) y de seguridad suelen estar escasos de personal y sobrecargados, por lo que con demasiada frecuencia se adopta la actitud de "marcar la casilla y pasar a la siguiente tarea".

Pero la realidad es más compleja que eso. El cifrado de datos es esencial para proteger la información sensible y la privacidad, para cumplir con la normativa y las auditorías, y para garantizar una gobernanza de datos adecuada. Toda la inversión de TI en aplicaciones móviles, la experiencia del cliente y la ventaja competitiva puede dilapidarse en una brecha de datos imprevista, en este post te daremos un breve repaso de la mano de un perito de informática forense sobre lo que debes saber del cifrado de datos. 

¿Cómo funciona el cifrado de datos?

La información no encriptada, como esta entrada de blog que estás leyendo, se escribe en "texto plano". En su forma más básica, el cifrado de datos implica el uso de un algoritmo de cifrado para codificar o disfrazar el texto plano, convirtiéndolo en lo que se conoce como "texto cifrado", que aparece como un galimatías alfanumérico para un ser humano. Un algoritmo de cifrado utiliza una información crucial, conocida como clave de cifrado, para codificar o descodificar los datos. Sin la clave de cifrado, el algoritmo está incompleto y no puede convertir el texto plano en texto cifrado y viceversa.

La mayoría de los algoritmos de encriptación son de dominio público - hay un número limitado de formas eficaces de ocultar datos sensibles - por lo que el elemento crucial de una estrategia de encriptación de datos es la gestión y el control de la clave de encriptación. De hecho, la clave es esencial. Los datos encriptados pueden quedar inutilizados para siempre simplemente borrando la clave.

Tipos de cifrado

El cifrado asimétrico, también conocido como cifrado de clave pública o criptografía de clave pública, utiliza la combinación de una clave pública y una clave privada para crear y descifrar un texto cifrado. Los tipos más comunes de cifrado asimétrico son

  • RSA, llamado así por los informáticos Ron Rivest, Adi Shamir y Leonard Adleman. Utiliza una clave pública para cifrar los datos y una clave privada para descifrarlos.
  • La infraestructura de clave pública, PKI, utiliza certificados digitales para gobernar las claves.

Cifrado de datos en reposo frente a datos en tránsito

Cuando los datos se almacenan en un disco duro o en un servidor, se consideran datos en reposo. Cuando los datos se envían para tareas como el correo electrónico o a través de aplicaciones de mensajería instantánea, se convierten en datos en tránsito, o datos en movimiento. Históricamente, los datos en reposo eran el objetivo de las violaciones, por lo que se utilizaban técnicas como el cifrado de todo el disco y el cifrado a nivel de archivo para proteger los datos en el equivalente de una fortaleza, a menudo con la protección de un cortafuegos.

Los datos en tránsito siguen creciendo en paralelo a la explosión de los dispositivos móviles, el internet de las cosas (IoT), las redes 5G y los entornos híbridos multicloud. Como resultado, ha sido un objetivo creciente de los ciberdelincuentes y plantea mayores desafíos para asegurarlos, especialmente cuando hacerlo puede impactar negativamente en el rendimiento de las tareas diarias o ralentizar las transacciones financieramente sensibles como el comercio o el ecommerce. Las técnicas habituales para proteger los datos en tránsito implican el uso de protocolos de red seguros como HTTPS, capas de conexión segura (SSL), FTPS y protocolos inalámbricos como WPA2.

Los fundamentos de la gestión del ciclo de vida de las claves

Al igual que la combinación olvidada de una caja fuerte o la pérdida de la contraseña de una cuenta de criptomoneda, la pérdida de una clave de cifrado puede significar la pérdida de acceso a lo que se ha diseñado para proteger. La gestión del ciclo de vida de las claves (KLM) se desarrolló para evitar la pérdida o el robo de las mismas. Uno de los principios fundamentales de KLM es que las claves deben gestionarse por separado de los datos que protegen.

Cifrado de datos para empresas

Aunque tanto el valor de los datos como la actividad delictiva que los acompaña siguen creciendo a un ritmo impresionante, existen prácticas bien establecidas para proteger los datos que han evolucionado para hacer frente a los retos actuales. Estos son algunos de los métodos y herramientas de protección de datos que emplean los equipos de seguridad de las empresas más allá del cifrado básico a nivel de disco y archivo:

  • Cifrar los datos a todos los niveles: Implementar el cifrado de toda la información sensible, privilegiada y de otro tipo. Las herramientas de cifrado altamente escalables y asequibles están disponibles desde hace algún tiempo, pero el cifrado por sí solo es sólo un comienzo para la protección de toda la empresa. La realización de evaluaciones periódicas de la vulnerabilidad permitirá descubrir y clasificar los datos sensibles que no están protegidos o que no cumplen las normas.
  • Gestión centralizada de políticas de usuarios privilegiados: Es fundamental contar con un único sistema de gestión que proporcione un control granular sobre quién tiene acceso a qué información, para poder dar de alta y de baja a los usuarios y recibir notificaciones cuando se produzcan infracciones. Con demasiada frecuencia existe una arqueología de herramientas que se han ido acumulando a lo largo de los años -a menudo arraigadas en sistemas operativos o bases de datos específicos o incluso arrastradas por la actividad de fusiones y adquisiciones-, lo que da lugar a un acceso a los datos inconsistente, obsoleto y con demasiados privilegios para los usuarios. Con un único sistema de gestión capaz de adaptarse a los modernos modelos de datos y de la nube, se pueden aplicar las mejores prácticas, como el principio del mínimo privilegio y los estrictos controles de gobernanza. El riesgo de amenazas internas puede reducirse en gran medida cuando se suprimen los privilegios excesivos y los usuarios obsoletos.
  • Gestión centralizada de claves: Ya hemos establecido que el cifrado es tan bueno como la seguridad de las propias claves. Una gran organización poseerá literalmente miles de claves de cifrado distintas en cualquier momento, lo que requiere que cada una sea gestionada a través de cada paso del ciclo de vida, lo que resulta en complejidad, vulnerabilidades y riesgos. Disponer de un gestor de claves centralizado que se adhiera al protocolo de interoperabilidad de gestión de claves (KMIP) es esencial desde el punto de vista de la seguridad y el cumplimiento.
  • Traiga su propia llave (BYOK)/Mantenga su propia llave (HYOK/KYOK): Durante más de una década, las empresas han trasladado sus operaciones críticas a proveedores de servicios en la nube (CSP) como Amazon Web Services (AWS), Microsoft Azure, Google Cloud e IBM Cloud. Los principales CSP ofrecen capacidades nativas de cifrado y gestión de claves, pero si no se poseen o controlan las claves de los datos almacenados en los entornos CSP, ¿se puede decir realmente que los datos están protegidos? Para responder afirmativamente a esta pregunta, los líderes en seguridad despliegan productos de gestión de claves de cifrado en la nube que les permiten llevar su propia clave para mantener el control sobre los entornos híbridos multicloud, independientemente de los CSP con los que contraten.

Sea cual sea la forma de hacerlo, el cifrado es fundamental para proteger el activo más preciado de su organización: sus datos. Y a medida que la privacidad de los datos, la gobernanza de los datos y las normas de cumplimiento sean cada vez más importantes, también lo serán las claves que tienen el poder de proteger esos datos.


Comentarios

Entradas populares de este blog

Cerraduras para puertas de madera

Tipos de invitación de bodas

¿Qué es WiFi?