Buscar
Cerrar este cuadro de búsqueda.
Facebook Instagram Linkedin

Mes: mayo 2019

Categorías
Protección de datos

Aplicaciones de comunicación con cifrado y uso de datos

Si le preocupan la seguridad y la privacidad de los datos, es posible que haya oído hablar del cifrado para aplicaciones de comunicación, aunque sólo sea superficialmente.

Es más, es posible que su interés por el tema haya surgido a raíz de la noticia de una filtración o un robo.

Se trata de una realidad que ha crecido en los últimos años. Cada vez nos preocupamos más por nuestra información y la tecnología tiene un impacto directo en nuestras rutinas.

¿Quién iba a pensar, por ejemplo, que el teléfono móvil llegaría a ser tan importante para nosotros? Pero no por su funcionalidad original, hacer y recibir llamadas, ya que las apps de mensajería prácticamente han condenado las llamadas telefónicas.

¿Tiene idea de cuántos mensajes se han recibido y enviado en las últimas horas a través de las principales herramientas de este tipo? ¿Y cuántos han sustituido una conexión?

Miles de mensajes diarios

Los brasileños envían miles de mensajes cada día a amigos, familiares, compañeros de trabajo y otros. En el mundo se envían cada día una media de 55.000 millones de mensajes a través de WhatsApp.

Incluso servicios como WhatsApp se han convertido en estratégicos para las empresas. Consideradas herramientas de venta, las aplicaciones de mensajería ayudan a muchos empresarios a impulsar la economía.

Debido a esta importancia, queremos que los mensajes queden restringidos únicamente a las partes interesadas. Suelen ser conversaciones privadas en las que se tratan asuntos personales y estratégicos.

Dada la frecuencia con la que todos utilizamos estas herramientas, cada vez es más importante proteger la privacidad y la información personal.

Una forma de hacerlo es utilizar el cifrado para las aplicaciones de comunicación.

Definición de criptografía

Antes de analizar quién adopta el cifrado para las aplicaciones de comunicación de extremo a extremo, conviene recordar el concepto básico de la mensajería segura.

Los sistemas de seguridad para las comunicaciones existen desde hace siglos. Básicamente, se trata de hacer llegar un mensaje o información a un destino sin que ninguna persona no autorizada pueda leerlo.

En la práctica, con la ayuda de Internet, enviamos a diario muchos datos privados a otros ordenadores o servidores.

La encriptación toma tus datos y los codifica, haciendo imposible que alguien que los intercepte pueda leerlos o entenderlos.

Cuando llegan al destinatario, los datos vuelven a su forma original para que puedan ser leídos y comprendidos.

Los datos sin cifrar se denominan texto sin formato y los cifrados, texto cifrado.

La forma en que un dispositivo toma los datos y los cifra se denomina algoritmo de cifrado. Se utiliza con una clave criptográfica, de modo que sólo la persona que tenga la clave correcta puede descifrarlo.

Por ejemplo, si quisiéramos cifrar el mensaje “¡Buenos días!” y enviárselo a otra persona, tendríamos que utilizar un algoritmo de cifrado, que lo cifraría en algo como “SZKKB YRIGSWZB”. Así, alguien que utilice la misma tecnología podría abrirlo y leerlo.

De punta a punta

El cifrado de extremo a extremo es asimétrico. Protege los datos garantizando que sólo puedan leerlos dos personas: el remitente y el destinatario.

Esto significa que nadie más puede leer los datos, como piratas informáticos, gobiernos, empresas o servidores. Así, cuando un usuario envía un mensaje a otro, aunque haya sido interceptado, no puede ser leído.

Si el mensaje pasa por el servidor de WhatsApp, por ejemplo, no podrá leerlo. Si el servicio quisiera facilitar estos datos a terceros, no podría hacerlo.

Esto es lo que ocurre cuando el cifrado de las aplicaciones de comunicación es de extremo a extremo. Para obtener más información sobre cómo se cifran los mensajes de WhatsApp, así como los algoritmos utilizados, haga clic aquí.

Elcifrado para aplicaciones de comunicación es una norma

En los últimos años se ha generalizado el uso de la encriptación en las aplicaciones de comunicación. Sin embargo, aún no ha sido adoptado por todos los fabricantes.

De hecho, la encriptación no es obligatoria en todas las situaciones, pero en algunas seguro que la utilizas, como cuando compras artículos por Internet e introduces los datos de tu tarjeta.

En momentos así, la encriptación ocurre sin que te des cuenta. En la vida cotidiana, puedes optar por la encriptación de las aplicaciones de comunicación para tener la tranquilidad de saber que absolutamente nadie más puede acceder a tus mensajes o llamadas.

La encriptación de extremo a extremo impide que personas no autorizadas accedan a tus datos y preserva tu privacidad.

 

Qué aplicaciones utilizar

Hay tantas opciones en el mercado que es difícil decir cuál es la mejor. En su lugar, enumeraremos las más populares que utilizan el cifrado para las aplicaciones de comunicación por defecto.

Cifrado en WhatsApp

WhatsApp cuenta ya con más de 1.500 millones de usuarios e integra el protocolo de cifrado en sus conversaciones. Esto significa que los mensajes de WhatsApp están cifrados de extremo a extremo por defecto.

Dispone de chat, llamadas de grupo, compartición de archivos, archivado, compartición de ubicaciones, retransmisiones y mucho más.

La popularidad de la aplicación también juega a tu favor, ya que probablemente no necesitarás convencer a otras personas para que la descarguen.

WhatsApp es gratuito y no tiene publicidad. Sin embargo, es propiedad de Facebook, que admite abiertamente que recopila muchos datos sobre ti con fines de marketing.

Cifrado en Facebook Messenger

Según un Informe de la BBCFacebook Messenger también utiliza el cifrado, pero de forma un poco diferente al cifrado utilizado en WhatsApp, en el que el mensaje se cifra desde el remitente hasta el servidor, que abre el mensaje y lo cifra de vuelta al remitente de extremo a extremo, el mismo protocolo de señalización utilizado por WhatsApp.

Pero ya hay planes para implantar en Facebook Messenger el mismo cifrado de extremo a extremo que se utiliza en WhatsApp. En última instancia, esto significa que tus mensajes no pueden ser vistos por el equipo de la red social.

Facebook Messenger también utiliza el cifrado, pero de forma un poco diferente al cifrado utilizado en Whatsapp, en el que el mensaje se cifra desde el remitente hasta el servidor, que abre el mensaje y lo cifra de vuelta al remitente. de extremo a extremo, el mismo protocolo de señalización utilizado por WhatsApp.

Pero ya hay planes para implantar en Facebook Messenger el mismo cifrado de extremo a extremo que se utiliza en WhatsApp. Esto significa que tus mensajes no pueden ser vistos por el equipo de la red social.

Facebook Messenger funciona como la mayoría de las demás aplicaciones, con chat y llamadas en grupo, intercambio de archivos, uso compartido de la ubicación y videollamadas. También es muy fácil de usar, con pegatinas, GIF e incluso juegos.

Sin embargo, la aplicación es propiedad de Facebook, lo que significa que sigue contribuyendo a los datos recopilados sobre ti y otros miles de millones de usuarios.

Cifrado en Telegram

Telegram fue una de las primeras aplicaciones del mercado. El cifrado de extremo a extremo no está activo por defecto: tienes que asegurarte de que el modo secreto está activo para que nadie más pueda acceder a tus mensajes.

La aplicación cuenta con funciones como chat en grupo, envío de archivos y fotos -también cifrados sólo en modo secreto-, mensajes perdidos, funciones de archivo y llamadas de voz y vídeo.

Cuando el modo secreto está activo, los mensajes también pueden autodestruirse en todos los dispositivos de un chat y existe la opción de autodestruir tu cuenta en un tiempo determinado.

Telegram es gratuito y no tiene publicidad. Todos los datos están encriptados y se almacenan en servidores, excepto los mensajes de chat secretos.

Cifrado en iMessage y FaceTime

Apple ha introducido el cifrado de extremo a extremo para todos tus mensajes en iMessage, la aplicación por defecto en los dispositivos iOS, y todas las llamadas y vídeos de FaceTime.

iMessage y FaceTime están disponibles tanto en dispositivos móviles iOS como en ordenadores Mac.

Ambas aplicaciones cubren una serie de funcionalidades básicas, como mensajería, localización o intercambio de archivos, y llamadas de voz y vídeo. Los mensajes de iMessage se guardan en iCloud, pero puedes desactivarlo en los ajustes.

Asegúrese de leer las políticas de privacidad de datos de todas las aplicaciones que utilice. Asegúrate de que te sientes cómodo con ellos antes de confiar en la herramienta elegida.

Sobre a Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y la Ley General de Protección de Datos (LGPD). En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Categorías
Protección de datos

¿Por qué es importante la gestión de claves de cifrado?

Las empresas mueven cada vez más datos sensibles por Internet y están migrando en gran medida su infraestructura a la nube, en diferentes tipos de modelos de servicio. A medida que esto ocurre, crece la necesidad de utilizar y gestionar claves de cifrado.

Ante esta realidad, los profesionales de la seguridad protegen activamente estos datos con técnicas probadas y contrastadas que se utilizan en diferentes fases del ciclo de productividad de las organizaciones, siempre con el objetivo de garantizar la privacidad.

Sin embargo, la garantía de protección y disponibilidad de los datos puede no ser posible únicamente mediante el uso del cifrado.

Por muy avanzada que sea la tecnología contra las filtraciones de datos, sin una gestión de las claves de cifrado, el riesgo de que la información se filtre o sea robada seguirá siendo alto.

¿Por qué es importante gestionar las claves criptográficas?

Gestión significa proteger las claves criptográficas contra pérdida, robo, corrupción y acceso no autorizado. Entre sus objetivos figuran:

  • asegurarse de que las llaves se guardan de forma segura;
  • cambiar las llaves con regularidad;
  • controlar cómo y a quién se asignan las llaves;
  • decidir la granularidad de las claves.

En la práctica, la gestión de claves de cifrado implica evaluar si una clave debe utilizarse para todas las cintas de copia de seguridad o si, por el contrario, cada una debe recibir la suya propia, por ejemplo.

Por lo tanto, es necesario garantizar que la clave criptográfica -y todo lo relacionado con ella- esté debidamente controlada y protegida. Así que no puedes dejar de pensar en la gestión.

Si todo no está debidamente protegido y gestionado, es como tener una cerradura de última generación en la puerta de casa pero dejar la llave debajo del felpudo.

Para aclarar la importancia de la gestión de claves criptográficas, basta con recordar los cuatro objetivos de la criptografía: confidencialidad, integridad, autenticación y no repudio. Esto significa que podemos proteger la información personal y los datos confidenciales de la empresa.

De hecho, no tiene sentido utilizar una tecnología que garantice la seguridad de los datos sin una gestión eficaz.

Gestionar las claves de cifrado es un reto, pero no imposible

De hecho, gestionar claves criptográficas no es tan sencillo como llamar a un cerrajero. Tampoco puedes escribir las claves en un papel. Hay que facilitar el acceso al menor número de personas posible y garantizar que sea restringido.

El éxito de la gestión criptográfica en el mundo empresarial requiere buenas prácticas en varios frentes.

En primer lugar, debes elegir el algoritmo de cifrado y el tamaño de clave adecuados para confiar en tu seguridad.

A continuación, debe garantizar que la aplicación de la estrategia de cifrado de la empresa cumple las normas establecidas para este algoritmo. Esto significa estar homologado por una autoridad certificadora reconocida – en el caso de Brasil, las homologadas por el ITI dentro del ICP-Brasil.

Por último, debe garantizar una gestión eficaz de las claves de cifrado, asociada a políticas y procesos de seguridad que puedan certificar un uso productivo de la tecnología.

Para tener mayor confianza en su estrategia de gestión de claves de cifrado, las primeras preguntas que debe hacerse son las siguientes:

Muchos servicios de gestión conservan claves privadas en la capa de servicio, por lo que sus datos pueden ser accesibles para los administradores de esta actividad. Esto es estupendo para la disponibilidad, pero no para la confidencialidad.

Así pues, como ocurre con cualquier tecnología, la eficacia del cifrado depende totalmente de su aplicación. Si no se hace correctamente o si los componentes utilizados no están debidamente protegidos, corre peligro, al igual que los datos.

infografía HSM Moderno

/td>

De la creación de políticas a la gestión de claves criptográficas

Un enfoque común para proteger los datos de la empresa mediante la gestión de claves de cifrado consiste en hacer balance, comprender las amenazas y crear una política de seguridad.

Las empresas necesitan saber en qué dispositivos y aplicaciones se puede confiar y cómo se puede aplicar la política entre ellos y en la nube. Todo empieza por saber lo que tienes.

La mayoría de las organizaciones no saben cuántas claves tienen, dónde utilizan el cifrado y qué aplicaciones y dispositivos son realmente fiables. Esto caracteriza innegablemente una falta total de gestión de las claves de cifrado, de los datos y de su estructura.

Sin duda, la parte más importante de un sistema de cifrado es su gestión de claves, sobre todo cuando la organización necesita cifrar una gran cantidad de datos. Esto hace que la infraestructura sea más compleja y desafiante.

Normalizar el proceso es fundamental

La normalización de los productos es fundamental. Al fin y al cabo, incluso una encriptación correctamente implementada significa poco si un atacante entra en la máquina de alguien o si un empleado es deshonesto.

En algunos casos, por ejemplo, el cifrado puede habilitar a un atacante e inutilizar toda la inversión en seguridad, causando daños que van mucho más allá de las pérdidas financieras. Así pues, la normalización es vital para crear políticas y procesos útiles, reduciendo la posibilidad de lagunas que puedan dar lugar a ciberataques y robos de datos.

La encriptación crea realmente más oportunidades de negocio para distintos tipos de empresas, no sólo mitigando problemas como los ciberataques, sino creando un ciclo de acceso a los datos organizado, eficiente y estratégico.

Por último, en tiempos de transformación digital y de tantas disrupciones tecnológicas y de mercado, adoptar la gestión de claves de cifrado es vital para las empresas que buscan un crecimiento sostenible.

Ahora que ya sabe un poco más sobre la gestión de claves criptográficas, manténgase al día sobre este tema a través de nuestra página de LinkedIn.

Acerca de EVAL

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y la Ley General de Protección de Datos (LGPD). En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Categorías
Protección de datos

Almacenar certificados digitales es vital para las empresas

¿Cómo almacenar certificados digitales y claves criptográficas garantizando la seguridad de la empresa? Sin duda, el camino pasa siempre por la adopción de buenas prácticas.

Es decir, el almacenamiento de certificados digitales y claves criptográficas proporciona una capa de seguridad crítica que protege todos los activos virtuales de una empresa.

Las violaciones debidas a ataques basados en la confianza se deben precisamente a un almacenamiento inadecuado y a una mala gestión.

Cuando tiene éxito, un ataque llevado a cabo contra un certificado digital puede tener efectos desastrosos para cualquier organización. Además de los aspectos de seguridad, los certificados caducados causan grandes pérdidas en el negocio.

Por lo tanto, no basta con implantar una política de uso de certificados digitales y claves criptográficas: también es necesario desarrollar asertivamente procesos de almacenamiento y gestión.

Siga leyendo este post para obtener más información sobre el almacenamiento de certificados digitales.

El almacenamiento de certificados digitales y los ataques basados en la confianza

Como sabe, los certificados digitales y las claves criptográficas son esenciales para las empresas. Al fin y al cabo, protegen los datos, mantienen la privacidad de las comunicaciones y establecen la confianza entre las partes que se comunican.

En la práctica, los certificados digitales se utilizan para varios fines. Entre ellas figuran la comprobación de identidad, el cifrado de archivos, la autenticación web, la seguridad del correo electrónico y la verificación de firmas de software.

A pesar de su importancia, muchas empresas son vulnerables a las infracciones porque permiten que la gestión de certificados y claves criptográficas se considere un problema operativo, en lugar de una vulnerabilidad de seguridad que debe solucionarse de inmediato.

De hecho, es mucho más un fallo en las políticas y procesos de almacenamiento de certificados digitales que una vulnerabilidad causada por la ausencia de actualizaciones de seguridad o fallos que puedan comprometer cualquier tipo de estructura tecnológica de una organización.

Al fin y al cabo, los hackers se centran en las claves criptográficas y los certificados como vectores de ataque. Con malas intenciones, los roban para obtener un estatus de confianza y luego lo utilizan para evitar ser detectados y saltarse los controles de seguridad.

El ataque se produce precisamente cuando se rompe la confianza

Los ciberdelincuentes utilizan ataques basados en la confianza para infiltrarse en las empresas, robar información valiosa y manipular dominios. Es decir, si las claves privadas utilizadas para firmar un certificado digital caen en las manos equivocadas, se puede violar el sistema y tumbar el sitio.

Cuando se pierden estas claves criptográficas, se pierde mucho tiempo y energía accediendo a los sistemas o renovando los certificados.

Para que se haga una idea, si los certificados de firma de código utilizados para firmar una aplicación para iPhone o Android, por ejemplo, se ven comprometidos, un desarrollador no autorizado podría lanzar malware con la ayuda de la identidad corporativa violada.

Para reducir el riesgo de ataques basados en la confianza, los certificados digitales y las claves criptográficas deben protegerse y almacenarse de forma segura. Así se evita que se pierdan o caigan en malas manos.

Opciones de almacenamiento de certificados digitales y prácticas recomendadas

Cada vez que se emite un certificado digital, se genera un par de claves (privada y pública).

Sin duda, la mejor práctica es mantener segura la clave privada.

Después de todo, si alguien puede utilizarlo, puede crear sitios de phishing con el certificado de su organización en la barra de direcciones, autenticarse en redes corporativas haciéndose pasar por usted, firmar aplicaciones o documentos en su nombre y leer sus correos electrónicos cifrados.

En muchas empresas, los certificados digitales y las claves criptográficas constituyen la identidad de sus empleados y, por tanto, una extensión de la identificación de su organización. Su protección equivale a la de las huellas dactilares cuando se utilizan credenciales biométricas.

Desde luego, no permitirías que un pirata informático obtuviera tu huella dactilar. Entonces, ¿por qué dejarle acceder a tu certificado digital?

Ventajas del uso de certificados y firmas digitales

Almacenamiento de certificados digitales

Las modalidades más utilizadas para almacenar certificados digitales en Brasil son dos: A3, en token o tarjeta, y A1, en archivo en el ordenador u otro dispositivo.

A3 almacenado en token

Se trata de un tipo de certificado que se almacena en un token criptográfico, un dispositivo similar a un pendrive, que debe conectarse directamente a un puerto USB del ordenador del usuario o del servidor donde se vaya a ejecutar el sistema. Además, no es posible copiar, de lo contrario se bloquearán los soportes.

A3 almacenado en la tarjeta

Este tipo de certificado se almacena en una tarjeta inteligente con chip, como las nuevas tarjetas bancarias. En resumen, debe conectarse a un lector que debe enchufarse a un puerto USB del ordenador del usuario o del servidor donde vaya a funcionar el sistema. Asimismo, no es posible realizar copias, so pena de bloquear los medios criptográficos.

A1 almacenado en un archivo de un ordenador u otro dispositivo

Es un archivo electrónico guardado en el ordenador del usuario o en el servidor donde se ejecutará el sistema. Suele tener las extensiones .PFX o .P12 y no necesita fichas ni tarjetas para ser transportado de un lado a otro.

Almacenamiento en la nube A1

Con él podrá acceder a su certificado y firmar digitalmente documentos a través de cualquier dispositivo: ordenadores de sobremesa, teléfonos inteligentes y tabletas. Por último, también gana en seguridad y elimina la preocupación por daños físicos, robos y pérdidas.

No pierda sus certificadosdigitales

En resumen, el almacenamiento de certificados digitales debe ser eficiente y tratarse como una prioridad en la organización.

La elección de la mejor forma de almacenamiento dependerá de las políticas y procesos de seguridad implantados en la empresa y, principalmente, de quién utiliza los certificados y para qué se utilizan.

De este modo, las normativas que deba cumplir su empresa, los costes y los recursos internos estarán asegurados gracias al almacenamiento de certificados digitales.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Categorías
Protección de datos

¿Cómo afecta a una empresa la falta de inversión en seguridad?

La falta de inversión en ciberseguridad y la violación de datos pueden tener tres consecuencias principales: financieras, de reputación y jurídicas.

De hecho, la ciberseguridad ya no es sólo una cuestión de tecnología, sino un aspecto esencial de la empresa.

Atrás quedaron los tiempos en que las empresas podían delegar las responsabilidades de protección de datos únicamente en el departamento de TI. Al fin y al cabo, se ha convertido en algo estratégico y afecta a todos los sectores.

El impacto de la falta de inversión en seguridad

La falta de inversión en seguridad se traduce en importantes pérdidas financieras:

  • Robo de información corporativa;
  • Robo de información financiera (por ejemplo, datos bancarios o de tarjetas);
  • Robo de dinero;
  • Interrupciones de la actividad (por ejemplo, imposibilidad de realizar transacciones en línea);
  • Pérdida de negocios o contratos;

Las empresas que sufren infracciones cibernéticas suelen tener también costes asociados a la reparación de sistemas, redes y dispositivos.

Esto es especialmente importante porque las empresas son cada vez más digitales, lo que significa que estarán expuestas a un mayor número de amenazas si no gestionan adecuadamente los riesgos de seguridad y realizan las inversiones necesarias.

El daño a la reputación es mayor que el financiero

Muchas empresas aún no se han dado cuenta ni han medido el impacto real de una pérdida de credibilidad. La confianza es sin duda un elemento esencial en las relaciones con los clientes.

Al fin y al cabo, los ciberataques y el robo de datos pueden dañar la reputación de su organización y acabar por completo con la confianza que los consumidores depositan en usted.

Esto, a su vez, puede acarrear consecuencias como:

  • Pérdida de clientes;
  • Pérdida de ventas;
  • Reducción significativa de los beneficios;
  • Quiebra.

El efecto del daño a la reputación debido a la falta de inversión en seguridad puede afectar incluso a sus proveedores, así como a las relaciones que mantiene con socios, inversores y terceros implicados en su negocio.

Comprender la importancia de cambiar la mentalidad a la hora de invertir en ciberseguridad se ha convertido en algo vital. En plena era de la transformación digital, las empresas no pueden arriesgarse a sufrir un ataque o a no saber cómo afrontar un incidente.

Consecuencias jurídicas de la falta de inversión en seguridad

No hay que olvidar que no invertir en seguridad también acarrea problemas legales. Al fin y al cabo, la Ley General de Protección de Datos (GDPR ) obliga a su empresa a gestionar toda la información personal que posee, ya sea sobre su personal o sus clientes.

Si estos datos se ven comprometidos accidental o deliberadamente y usted no aplica las medidas de seguridad adecuadas, podría enfrentarse a multas y sanciones normativas que podrían hacer inviable su negocio.

Las recientes brechas mundiales han afectado a más de 200.000 ordenadores en 150 países y han costado millones; nada podría dejar más clara la importancia de invertir en ciberseguridad, ya que afecta a las empresas en su conjunto, no sólo a los departamentos informáticos.

 

El riesgo de atentados es real y afecta a todas las empresas

No basta con leer este post, estar de acuerdo en que hay que invertir en seguridad y no hacer nada. Porque tiene que darse cuenta de que el riesgo es real y afectará en algún momento al ciclo de operaciones de su empresa.

Basta un simple análisis de riesgos para ver lo que puede ocurrirle a su organización, a sus empleados y, sobre todo, a sus clientes:

  • Pérdida física de datos. Puede perder el acceso inmediato por motivos que van desde inundaciones a cortes de electricidad. También puede ocurrir por razones más sencillas, como un fallo discal;
  • Acceso no autorizado a los datos. Recuerde que si tiene información confidencial de clientes, a menudo es responsable contractualmente de protegerla como si fuera suya;
  • Interceptación de información en tránsito. Los riesgos incluyen los datos transmitidos entre las sedes de la empresa o entre la organización y sus empleados, socios y contratistas, en casa o en cualquier otro lugar;
  • Tus datos podrían caer en manos de otras personas. ¿Comparte esta información con terceros, incluidos contratistas, socios y otros datos importantes? ¿Qué los protege mientras están en sus manos o en las de sus socios?
  • Corrupción de datos, intencionada o no. Esto puede modificarlos para favorecer a una parte externa o debido a un error de software.

Toda empresa debe contar con un programa de inversión en seguridad

La falta de ciberseguridad debe considerarse un riesgo empresarial y no sólo un problema tecnológico. Por lo tanto, es necesario seguir unas directrices que ayuden a la organización a alcanzar unos niveles de protección adecuados.

Por eso, sea cual sea el tamaño de su empresa, debe contar con un plan de inversión que garantice la seguridad de sus activos de información.

Este plan se encarga de todas las políticas y procesos para crear un programa de ciberseguridad, además de hacerle reflexionar de forma holística sobre la protección de datos de su organización.

En resumen, un programa proporciona el marco para mantener su empresa en un nivel adecuado de seguridad, evaluando los riesgos a los que se enfrenta, decidiendo a qué dar prioridad y planificando cómo tener prácticas actualizadas.

Invertir en seguridad significa proteger su confidencialidad, integridad y disponibilidad.

Contar con un programa de inversión en seguridad significa haber tomado medidas para reducir el riesgo de pérdida de datos de diversas formas y haber definido un ciclo de vida para gestionar la información y la tecnología de su organización.

Afortunadamente, las tecnologías de ciberseguridad están al alcance de empresas de distintos tamaños y segmentos, por lo que se adaptan a sus realidades empresariales y ayudan a afrontar los retos de la protección de datos.

Cómo minimizar el impacto de los ciberataques en las empresas

Como hemos visto, las brechas de seguridad pueden devastar incluso a las empresas más resistentes.

Es sumamente importante gestionar los riesgos en función de la naturaleza de la empresa antes y después de que se produzca un ataque, realizar las inversiones necesarias y crear un plan eficaz de protección y respuesta ante incidentes cibernéticos. Porque puede ayudar a su empresa:

  • Prevenir y reducir el impacto de los ciberataques;
  • Informar de los incidentes a las autoridades responsables;
  • Recuperar los sistemas afectados;
  • Poner en marcha su empresa en el menor tiempo posible.

De esta forma, podemos ver que invertir en seguridad significa formar, educar y concienciar a los usuarios de su organización de forma continua y, por supuesto, adquirir tecnologías y servicios, buscando siempre garantizar la protección de los datos de los clientes y la continuidad del negocio, permitiendo el crecimiento continuado de la empresa.

¿Tiene alguna pregunta al respecto? Nuestros expertos estarán encantados de responder a sus preguntas y contribuir a sus proyectos de seguridad de la información.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Categorías
Protección de datos

Criptografía y gestión de claves – Conceptos importantes

El uso de la criptografía y la gestión de claves, así como los servicios criptográficos, son vitales para proteger los datos en reposo o en soportes, una realidad para las empresas y los usuarios de servicios como el almacenamiento en la nube, la mensajería y muchos otros.

Sin embargo, a los responsables de estos servicios se les presentan muchas opciones de mecanismos criptográficos y, en consecuencia, hay que elegir entre muchas opciones.

Las decisiones inadecuadas pueden dar lugar a beneficios escasos o nulos, creando una falsa sensación de seguridad. Criptografía, gestión de claves y servicios criptográficos - Ciclo de vida

Por ejemplo: cifrar una base de datos y guardar la clave criptográfica en un archivo del servidor.

En este artículo pretendemos abordar algunos aspectos relevantes para la seguridad de la información relacionados con las claves criptográficas. Esto mostrará la importancia de su correcta gestión para la programación de servicios criptográficos.

Para facilitar la comprensión, dividiremos el artículo en tres partes. Empezando por los fundamentos de la criptografía, la gestión de claves y los servicios criptográficos.

Conceptos básicos de cifrado de datos

La criptografía es un conjunto de principios utilizados para garantizar la seguridad de la información.

Para ello, utiliza técnicas que transforman una información (cifrado) en otra (criptograma) que sólo pueden leer quienes conocen el secreto (clave secreta).

Al mantener este secreto a salvo, impedimos que personas no autorizadas accedan a la información original (descifrar).

Secreto

La seguridad de los servicios criptográficos se basa en el secreto de la clave criptográfica, que permite cifrar y descifrar, y no en el método de transformación de la información, es decir, el algoritmo utilizado, que debe ser público.

Claves simétricas y asimétricas

En criptografía y gestión de claves hay dos tipos básicos de algoritmos: simétricos y asimétricos. Los primeros utilizan una sola clave para cifrar y descifrar los datos, mientras que los segundos adoptan un par de claves, una para el cifrado y otra para el descifrado.

El siguiente diagrama muestra el uso de una clave simétrica para cifrar un mensaje. Podemos ver que la clave utilizada por John es la misma adoptada por Alice.

Criptografía y gestión de claves y servicios criptográficos - Claves simétricas y asimétricas.
Figura 2 – Algoritmo de clave simétrica

El siguiente diagrama muestra el uso de una clave asimétrica. La clave utilizada por Alice para cifrar es la clave pública de John, y éste utiliza su clave privada para descifrar.

Criptografía, gestión de claves y servicios criptográficos - Algoritmo de clave asimétrica
Figura 3 – Algoritmo de clave asimétrica

Un punto interesante sobre este tipo de algoritmo es que después de cifrar con la clave pública, sólo la clave privada puede descifrar.

Ejemplos de uso de estos algoritmos son una base de datos que utiliza el algoritmo AES (clave simétrica) para cifrar cierta información de la base de datos y la firma digital de documentos mediante el algoritmo RSA (clave asimétrica).

También nos gustaría destacar que el secreto en estos dos tipos de algoritmos reside en proteger la clave simétrica y la clave privada (en el caso de las claves asimétricas).

Por último, otro aspecto es que estos algoritmos son complementarios y sirven de base para programar servicios criptográficos.

Resumen criptográfico y firma digital

En lo que respecta a la criptografía y la gestión de claves, un compendio criptográfico es un valor que representa información. Se genera utilizando un algoritmo, como SHA256, para analizar los datos bit a bit y crea un valor que no puede falsificarse en la práctica.

Criptografía, gestión de claves y servicios criptográficos - Resumen criptográfico
Figura 4 – Resumen criptográfico

Sin embargo, el resumen criptográfico no puede utilizarse por sí solo, ya que aunque no puede falsificarse, sí puede sustituirse.

Así, para ser utilizado en la práctica, el resumen criptográfico se cifra con la clave privada (asimétrica), generando una firma digital.

De este modo, cualquiera que tenga la clave pública puede generar el resumen criptográfico y compararlo con el de la firma digital.

A continuación, puede comprobar si los datos son válidos. Acciones fundamentales en criptografía y gestión de claves.

Criptografía, gestión de claves y servicios criptográficos - Firma digital
Figura 5 – Firma digital

Tomemos como ejemplo SHA256 con RSA. Utiliza el algoritmo de resumen SHA256 y el algoritmo de cifrado RSA para generar la firma digital. Sin embargo, esto sigue sin ser suficiente, ya que no tenemos forma de identificar a quién pertenece una clave pública concreta.

Esto requiere un nuevo elemento: el certificado digital.

El certificado digital consiste básicamente en información textual que identifica a una entidad (persona, empresa o servidor), una clave pública y un propósito de uso. Tiene una firma digital.

Es importante tener en cuenta que el certificado digital debe estar firmado por un tercero de confianza (autoridad de certificación digital).

Así que introdujimos el concepto de relación de confianza. Según él, si confiamos en la entidad A y ésta confía en la entidad B, entonces nosotros también confiamos en B.

Criptografía, gestión de claves y servicios criptográficos - Relación de confianza
Figura 6 – Relación de confianza

Con esto concluyen los conceptos básicos de la criptografía. En la siguiente sección, hablaremos de los servicios criptográficos que pueden crearse a partir de ellos.

Servicios criptográficos

Como parte del ciclo de vida de la criptografía y la gestión de claves, se utilizan mecanismos criptográficos básicos como el cifrado simétrico y el resumen criptográfico para respaldar los servicios de confidencialidad, integridad, autorización e irrecuperabilidad o no repudio.

Esto significa que un mecanismo criptográfico puede utilizarse para dar soporte a varios servicios. También es importante que los servicios criptográficos se utilicen conjuntamente para garantizar la seguridad.

A continuación describiremos brevemente los servicios criptográficos básicos:

Confidencialidad

Este servicio garantiza la confidencialidad de los datos mediante el cifrado y la gestión de claves. También garantiza que la información no pueda ser vista por terceros y que sólo tengan acceso a ella las personas autorizadas. Fundamentos de la criptografía y la gestión de claves.

Algunos ejemplos son el cifrado de archivos, sistemas de archivos y bases de datos con claves simétricas. También tenemos información cifrada con la clave pública del certificado, de modo que sólo pueden abrir la información quienes tengan la clave privada correspondiente.

Integridad

El servicio de integridad debe garantizar que una determinada información no se modifica de forma no autorizada tras su creación, durante su transmisión o almacenamiento.

Tanto si el cambio es accidental como intencionado, la inserción, eliminación o sustitución de datos debe detectarse. Mecanismos criptográficos como el resumen criptográfico, también conocido como hash, y la firma digital proporcionan el soporte para este servicio.

Autenticación

El servicio de autenticación verifica la identidad de un usuario o sistema que solicita autorización para acceder a la información.

La firma digital es un mecanismo criptográfico generalmente utilizado para dar soporte a este servicio, ya que la identificación de la persona ya ha sido validada antes de la emisión del certificado digital, bien por una Autoridad de Certificación ICP-Brasil de confianza o por otra en la que confíe la organización, como una Autoridad de Certificación Interna.

En las Autoridades Certificadoras ICP-Brasil, es en el proceso de emisión del certificado digital que la persona necesita asistir a una validación presencial, con documentos originales que comprueben la identidad del solicitante.

 
Irretractabilidad

El servicio de irretractabilidad proporciona los medios para garantizar que quien haya creado la información no pueda negar su autenticidad.

En este sentido, está vinculada a la firma digital, en la que el propietario de la clave privada no puede negar que la ha tenido para un fin determinado.

Con esto concluye la descripción de los servicios criptográficos. En la siguiente sección, presentaremos los principales factores a tener en cuenta en la gestión de claves: criptografía y gestión de claves.

Autorización

Además, tras la autenticación, es posible utilizar la información del usuario autenticado en el sistema para definir la autorización de la información. El servicio de autorización proporciona aprobación o permiso para la ejecución de una actividad.

A modo de ejemplo, el servicio de autorización puede emplearse para definir los permisos de uso de una clave criptográfica que, en consecuencia, permitiría acceder a una determinada información.

Gestión de claves criptográficas

Las claves criptográficas son la base de la criptografía y la gestión de claves, y en ellas reside la seguridad de los datos cifrados. Las brechas pueden llevar a comprometer las claves y, en consecuencia, a la filtración de información sensible.

El aumento del uso de la encriptación para la protección de datos, debido principalmente a las normativas gubernamentales, hace que las empresas tengan que lidiar con múltiples soluciones de encriptación.

Debido a la diversidad de proveedores, las organizaciones también necesitan definir diversos procedimientos para gestionar las claves criptográficas, y éstos no siempre son adecuados.

La gestión de claves criptográficas consiste en almacenar, proteger, organizar y garantizar el uso adecuado de las claves criptográficas, gestionar su ciclo de vida y mantener copias de seguridad de forma segura y coherente.

A la hora de gestionar las claves, debemos tener en cuenta algunos puntos, que describiremos a continuación:

Almacenamiento seguro de llaves

Las claves deben almacenarse de forma segura, es decir, cifradas y con acceso controlado.

El cifrado debe realizarse preferentemente mediante claves (KEK) protegidas en hardware criptográfico.

Identificación de las llaves

Debe ser posible identificar una llave, su tipo, su finalidad, quién está autorizado a utilizarla y el periodo de uso.

Autenticación y autorización de usuarios

El uso de claves criptográficas sólo debe permitirse una vez identificado el usuario.

Por lo tanto, para gestionar correctamente las claves, el sistema debe proporcionar mecanismos de autenticación y autorización o permitir la integración con los sistemas existentes, como Active Directory de Microsoft.

Ciclo de vida de las claves criptográficas

El ciclo de vida de las claves criptográficas debe controlarse para que se utilicen correctamente durante su periodo de validez, es decir, que sólo las personas o sistemas autorizados puedan utilizarlas durante un periodo de tiempo predefinido y con mecanismos seguros para que no se vean comprometidas.

Describiremos el ciclo de vida de las claves, según la recomendación del NIST.

El ciclo de vida de una clave comienza con su generación y termina con su destrucción, pasando por uno o varios de los estados que se describen a continuación:

  • Generación: momento en que se crea la clave y aún no está lista para su uso;
  • Preactivación: la clave se ha generado, pero aún no está lista para su uso porque se está a la espera del periodo de uso o de la emisión de un certificado;
  • Activada: la llave está disponible para su uso;
  • Suspendido: el uso de la clave se suspende temporalmente. En este estado, ya no puede realizar operaciones de cifrado o firma, pero puede utilizarse para la recuperación de datos o la verificación de firmas realizadas previamente.
  • Inactivada: la clave ya no puede utilizarse para el cifrado o la firma digital, pero se conserva para procesar los datos cifrados o firmados antes de la inactivación.
  • Comprometida: indica que la clave ha visto afectada su seguridad y ya no puede utilizarse en operaciones criptográficas (cifrado y gestión de claves). En algunos casos, como las claves simétricas, puede utilizarse para recuperar los datos cifrados para cifrarlos posteriormente con otra clave.
  • Destruida: este estado indica que una clave ya no es necesaria. La destrucción de la clave es la etapa final y puede lograrse debido al fin del ciclo de uso de la clave o al compromiso de su seguridad.

Copia de seguridad de claves criptográficas

La función principal de las copias de seguridad es garantizar la recuperación de las claves y, en consecuencia, de los datos cifrados en caso de pérdida o fallo.

Al igual que las llaves, que deben guardarse de forma segura durante su uso, las copias de seguridad también deben protegerse.

Pueden almacenarse en archivos cifrados o en equipos criptográficos adecuados para este fin, que deben guardarse en lugares seguros.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y la Ley General de Protección de Datos (LGPD). En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel. Eval, la seguridad es un valor.

logo-eval-digital (3)

Dónde estamos

Rua Paulistânia, nº 381, 2º andar,
Sumarezinho
São Paulo - SP,
CÓDIGO POSTAL:05440-000

Contacte con

(11) 3670 - 3825
(11) 3865 - 1124
[email protected]

Facebook Instagram Linkedin
logo-tales-azul
keyfactor-logo
logo-valid-certificadora-digital
google-safe-browsing
Política de privacidad

Copyright © 2022, EVAL TECNOLOGIA EM INFORMÁTICA. Todos los derechos reservados - CNPJ 05.278.889/0001-97