Buscar
Cerrar este cuadro de búsqueda.
Facebook Instagram Linkedin

Mes: noviembre 2019

Categorías
Protección de datos

10 recomendaciones vitales para una transmisión de datos segura

Proteger los datos utilizados en las operaciones empresariales es un requisito esencial para la información confidencial de una organización.

Los usuarios malintencionados pueden interceptar o vigilar los datos en texto plano transmitidos por una red o a través de soportes extraíbles y dispositivos móviles sin cifrar.

Así obtienen accesos no autorizados, comprometiendo la confidencialidad de datos considerados sensibles y estratégicos. Por eso es tan importante la transmisión segura de datos.

Criptografia como solução de segurança

La protección en estos casos se realiza con algoritmos criptográficos que limitan el acceso a los datos sólo a quienes posean el recurso de cifrado adecuado y su respectivo descifrado.

Además, algunas herramientas criptográficas modernas también permiten condensar o comprimir los mensajes, ahorrando espacio de transmisión y almacenamiento.

Hemos hecho converger la necesidad de proteger las transmisiones de datos con los recursos tecnológicos existentes. Por ello, hemos separado 10 recomendaciones consideradas vitales para tener éxito en todo el proceso de envío y recepción de datos.

Los usuarios malintencionados pueden comprometer la confidencialidad de la información durante una transmisión de datos

Los datos considerados sensibles o restringidos en relación con la protección de datos deben cifrarse cuando se transmitan por cualquier red. Esto debe hacerse para proteger contra la interceptación del tráfico de red por usuarios no autorizados. Los ataques de este tipo también se conocen como Man-in-the-middle, haga clic aquí para obtener más información.

En los casos en los que los dispositivos de origen y destino se encuentran dentro de la misma subred protegida, la transmisión de datos debe seguir protegiéndose con cifrado debido al alto impacto negativo potencial de una violación y robo de datos. Además, los empleados tienden a preocuparse menos cuando se encuentran en un entorno “controlado”, creyéndose a salvo de ataques.

Los tipos de transmisión pueden incluir comunicación de cliente a servidor, así como de servidor a servidor. Esto puede incluir la transferencia de datos entre sistemas centrales, entre sistemas de terceros o la transmisión P2P dentro de una organización.

Además, cuando se utilicen para almacenar datos restringidos, los soportes extraíbles y los dispositivos móviles también deben utilizar adecuadamente el cifrado de datos sensibles, siguiendo las recomendaciones de seguridad. Los dispositivos móviles incluyen ordenadores portátiles, tabletas, tecnología para llevar puesta y teléfonos inteligentes.

Los correos electrónicos no se consideran seguros y, por defecto, no deben utilizarse para transmitir datos sensibles a menos que se utilicen herramientas adicionales de cifrado de datos de estos servicios.

Al intentar proteger los datos en tránsito, el profesional de la seguridad debe tener en cuenta las siguientes recomendaciones para diseñar una transmisión segura de la información:

Hybrid Infographic HSM
 

Las mejores recomendaciones

  1. Cuando el dispositivo (ya sea cliente o servidor) sea accesible a través de una interfaz web, el tráfico debe transmitirse a través de Secure Sockets Layer (SSL), utilizando únicamente protocolos de seguridad sólidos y seguridad de la capa de transporte;
  2. Los datos transmitidos por correo electrónico deben protegerse utilizando herramientas de cifrado de correo electrónico con un cifrado potente, como S/MIME . Como alternativa, antes de enviar un correo electrónico, los usuarios deben cifrar los datos utilizando herramientas compatibles de cifrado de datos de archivos y adjuntarlos al correo electrónico para su transmisión;
  3. El tráfico de datos no cubierto por el navegador web debe cifrarse mediante cifrado a nivel de aplicación;
  4. Si una base de datos de aplicaciones se encuentra fuera del servidor de aplicaciones, todas las conexiones entre la base de datos y la aplicación también deben utilizar cifrado con algoritmos criptográficos que cumplan las normas de seguridad y protección de datos recomendadas;
  5. Cuando el cifrado a nivel de aplicación no esté disponible para el tráfico de datos no cubierto por la Web, implemente el cifrado a nivel de red, como IPsec o encapsulación SSL;
  6. El cifrado debe aplicarse cuando se transmiten datos entre dispositivos en subredes protegidas con fuertes controles de cortafuegos;
  7. Desarrollar y probar un plan adecuado de recuperación de datos;
  8. Siga los requisitos recomendados para crear contraseñas seguras, que deben definirse en la policía de seguridad de la organización. Además, adopte alguna herramienta de gestión para almacenar los datos de acceso y las claves de recuperación;
  9. Una vez copiados los datos en un soporte extraíble o dispositivo móvil, comprueba que funciona siguiendo las instrucciones para leer datos mediante cifrado. Aproveche también para incluir en su plan de recuperación y contingencia pruebas de apertura de copias de seguridad que hayan sido cifradas;
  10. Cuando estén desatendidos, los soportes extraíbles (o el dispositivo móvil) deben guardarse en un lugar seguro con acceso limitado a los usuarios que lo necesiten. Y ten en cuenta las claves que se utilizaron para cifrar la copia de seguridad.

El apoyo y las políticas internas también son muy importantes

La última recomendación es disponer de la documentación justificativa adecuada para todo este proceso de transmisión de datos. Las políticas y procesos de seguridad deben validarse mediante pruebas frecuentes que garanticen la eficacia de todos los procedimientos que se lleven a cabo.

Por último, no olvide crear una política de sensibilización dirigida a los empleados de la empresa. Adoptar formación y campañas que demuestren la importancia de seguir las políticas y procesos de seguridad y protección de datos de la organización.

Herramientas de cifrado de datos para una transmisión segura

El cifrado de extremo a extremo suele realizarlo el usuario final dentro de una organización. Los datos se cifran al inicio del canal de comunicación, o antes a través de soportes extraíbles y dispositivos móviles. De este modo, permanecen encriptados hasta que se desencriptan en el extremo remoto.

Para ayudar en este proceso, el uso de herramientas de cifrado proporciona el soporte necesario para una transmisión de datos segura.

Existen varias herramientas para cifrar datos, pero es importante prestar especial atención a la gestión de claves. Porque si te descuidas y pierdes la clave, perderás también el contenido que estaba encriptado.

Por ello, siempre recomendamos el uso correcto de equipos y plataformas que gestionen las llaves, su ciclo de vida, así como el control de accesos. Al fin y al cabo, con un uso más amplio la gestión puede complicarse utilizando únicamente hojas de cálculo de Excel.

El reto de los datos de tráfico

Uno de los principales objetivos a lo largo de la historia, ha sido trasladar mensajes a través de diversos tipos de canales y medios. La intención siempre ha sido impedir que se revele el contenido del mensaje, aunque el propio mensaje fuera interceptado en tránsito.

Tanto si el mensaje se envía manualmente, por una red de voz o por Internet, el cifrado moderno proporciona métodos seguros y confidenciales para transmitir datos. También permite comprobar la integridad del mensaje, de modo que pueda detectarse cualquier cambio en el propio mensaje.

En resumen, la adopción de la criptografía debería ser una prioridad para todas las empresas, independientemente de su segmento de negocio o tamaño. Hoy en día, la protección de datos se ha convertido en un factor crítico para el éxito de cualquier empresa y, por tanto, no puede ser ignorada por ninguna organización.

Por último, lea más sobre protección de datos y privacidad en nuestro blog y aprenda a aplicar eficazmente la tecnología de cifrado en su empresa poniéndose en contacto con los expertos de EVAL. Estaremos encantados de responder a sus preguntas y ayudarle a definir las mejores formas de proteger su organización contra la fuga y el robo de datos.

Acerca de Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorías
Protección de datos

Gestión de claves criptográficas: aprenda a protegerse

El módulo de seguridad de hardware (HSM) es básicamente un dispositivo físico que proporciona seguridad adicional para los datos sensibles. Este tipo de dispositivo se utiliza para encargarse de la gestión de claves criptográficas para funciones críticas como el cifrado, el descifrado y la autenticación para el uso de aplicaciones, identidades y bases de datos.

Las empresas pueden utilizar un HSM para proteger secretos comerciales de gran valor. Esto garantiza que sólo las personas autorizadas puedan acceder al dispositivo y utilizar la clave almacenada en él.

Responsable de la realización de operaciones criptográficas y de la gestión de claves criptográficas

Las soluciones HSM están diseñadas para cumplir las estrictas normas gubernamentales y reglamentarias, y suelen disponer de sólidos controles de acceso y modelos de privilegios basados en funciones.

Diseñado específicamente para operaciones criptográficas rápidas y resistente a la manipulación lógica y física, adoptar un HSM es la forma más segura de realizar la gestión de claves criptográficas. Sin embargo, su uso no es tan práctico y requiere software adicional.

El uso de HSM debería ser una práctica habitual para cualquier organización altamente regulada, evitando así que estas empresas pierdan negocio de clientes como los sistemas gubernamentales, financieros y sanitarios, que exigen fuertes controles de protección para todos los datos considerados sensibles en sus operaciones.

También es importante que las empresas adopten, como parte de sus estrategias, el cuidado de no correr riesgos por falta de la protección necesaria, lo que puede empañar la imagen de la organización.

Mejores prácticas y usos del HSM

El uso de HSM puede proporcionar un rendimiento criptográfico mejorado y dar lugar a una arquitectura más segura y eficiente para su empresa.

El HSM se convierte en un componente vital de una arquitectura de seguridad, que no sólo minimiza los riesgos empresariales, sino que también consigue un rendimiento de vanguardia en las operaciones criptográficas.

Algunas de las mejores prácticas y casos de uso de los HSM utilizados por los principales profesionales de la seguridad son los siguientes:

Almacenamiento de claves de autoridad de certificación

La seguridad de las claves de las autoridades de certificación (CA) es fundamental en una infraestructura de clave pública (PKI). Si una clave CA se ve comprometida, la seguridad de toda la infraestructura está en peligro.

Las claves CA se almacenan principalmente en HSM dedicados para proporcionar protección contra la manipulación y la divulgación frente a entidades no autorizadas. Esto puede hacerse incluso para las CA internas.

Almacenamiento y gestión de claves de aplicaciones

La criptografía, considerada esencial en muchas empresas, también se ve favorecida por el potente rendimiento de los HSM, que hacen un trabajo increíble para minimizar el impacto en el rendimiento del uso de criptografía asimétrica (criptografía de clave pública), ya que están optimizados para los algoritmos de cifrado.

Un ejemplo paradigmático es el cifrado de bases de datos, donde no se puede tolerar una alta latencia por transacción. Pero no olvides cifrar sólo lo necesario, para que tu solución no pierda tiempo con información no sensible.

Operaciones criptográficas

A veces, las operaciones de cifrado requieren mucho tiempo y pueden ralentizar las aplicaciones. Los HSM disponen de potentes procesadores criptográficos dedicados que pueden realizar simultáneamente miles de operaciones criptográficas.

Pueden utilizarse eficazmente descargando las operaciones criptográficas de los servidores de aplicaciones.

Auditoría completa, registro y autorización de usuarios

Los HSM deben llevar un registro de las operaciones criptográficas, como la gestión de claves, el cifrado, el descifrado, la firma digital y el hash, según la fecha y hora en que se realizó la operación. El proceso de registro de acontecimientos implica la autenticidad y protección de la fuente temporal.

La modificación de la interfaz de configuración de fecha y hora requiere una autenticación fuerte mediante una tarjeta inteligente o al menos dos personas que sancionen o autoricen esta tarea.

Destrucción de llaves en caso de ataques

Los HSM cumplen estrictos requisitos de seguridad. El contenido más importante para un HSM son las claves. En caso de ataque físico o lógico, restablecen o borran todas tus claves para que no caigan en malas manos.

El HSM debe “ponerse a cero”, borrando todos los datos sensibles si detecta cualquier manipulación indebida. Esto impide que un atacante que haya accedido al dispositivo pueda acceder a las claves protegidas.

El ciclo de vida completo de las llaves

El NIST, Instituto Nacional de Normas y Tecnología, organismo no reglamentario del Departamento de Comercio de Estados Unidos, define el ciclo de vida de las claves de cifrado en 4 etapas principales de funcionamiento: preoperativa, operativa, postoperativa y supresión, y exige que, entre otras cosas, se defina un periodo de cifrado operativo para cada clave. Para más detalles, pulse aquí y consulte de la página 84 a la 110.

Por lo tanto, un periodo criptográfico es el “intervalo de tiempo durante el cual se autoriza el uso de una clave específica”.

Además, el periodo criptográfico se determina combinando el tiempo estimado durante el cual se aplicará el cifrado a los datos, incluido el periodo de uso y el periodo en el que se descifrarán para su uso.

Cifrado a largo plazo

Pero al fin y al cabo, como es razonable que una organización quiera cifrar y descifrar los mismos datos durante años y años, pueden entrar en juego otros factores a la hora de considerar el periodo criptográfico:

Por ejemplo, puede limitarlo a:

  • Cantidad de información protegida por una clave determinada;
  • Cantidad de exposición si una sola clave se ve comprometida;
  • Tiempo disponible para intentos de acceso físico, procedimental y lógico;
  • Plazo en el que la información puede verse comprometida por divulgación involuntaria.

Esto puede resumirse en algunas preguntas clave:

  • ¿Durante cuánto tiempo se utilizarán los datos?
  • ¿Cómo se utilizan los datos?
  • ¿Cuántos datos hay?
  • ¿Cuál es la sensibilidad de los datos?
  • ¿Cuánto daño se causará si se exponen los datos o se pierden las claves?

Por tanto, la regla general es: a medida que aumenta la sensibilidad de los datos protegidos, disminuye la vida útil de una clave de cifrado.

De esto se deduce que su clave de cifrado puede tener una vida activa más corta que el acceso de un usuario autorizado a los datos. Esto significa que tendrás que archivar las claves desactivadas y utilizarlas sólo para descifrar.

Una vez que los datos han sido descifrados por la clave antigua, serán cifrados por la clave nueva y, con el tiempo, la clave antigua dejará de utilizarse para cifrar/descifrar datos y podrá ser eliminada.

Gestión del ciclo de vida de las claves criptográficas mediante HSM

A menudo se ha dicho que la parte más difícil de la criptografía es la gestión de claves. Esto se debe a que la disciplina de la criptografía es una ciencia madura en la que se han abordado la mayoría de las cuestiones importantes.

Por otra parte, la gestión de claves se considera reciente, sujeta al diseño y las preferencias individuales más que a hechos objetivos.

Un excelente ejemplo de ello son los enfoques tan diversos que han adoptado los fabricantes de HSM para implantar su gestión de claves, que finalmente condujeron al desarrollo de otra línea de productos, Ciphertrust. Tiene muchas características de los HSM y otras que son únicas, como la anonimización y la autorización.

Sin embargo, ha habido muchos casos en los que los fabricantes de HSM han permitido que algunas prácticas inseguras pasaran desapercibidas, dando lugar a vulnerabilidades que han comprometido el ciclo de vida de las claves criptográficas.

Por lo tanto, a la hora de buscar un HSM para gestionar el ciclo de vida completo, seguro y de uso general, es esencial inspeccionar aquellos que cuenten con excelentes referencias de clientes, larga vida de implantación y certificaciones de calidad.

HSM en pocas palabras

En resumen, un HSM suele ser un servidor con distintos niveles de protección de seguridad o simplemente “protección” que evita infracciones o pérdidas. Podemos resumirlo así:

  • A prueba de manipulaciones: adición de revestimientos o precintos a prueba de manipulaciones en los cerrojos o pestillos de todas las tapas o puertas desmontables.
  • A prueba de manipulaciones: añadir un “circuito de detección/respuesta a manipulaciones” que borre todos los datos sensibles.
  • A prueba de manipulaciones: endurecimiento completo del módulo con tornillos y cerraduras a prueba de manipulaciones, junto con el “circuito de detección/respuesta a manipulaciones” de mayor sensibilidad que borra todos los datos sensibles.

Al trasladar muchas organizaciones parte o la totalidad de sus operaciones a la nube, también ha surgido la necesidad de trasladar su seguridad a esta arquitectura.

La buena noticia es que muchos de los principales fabricantes de HSM han desarrollado soluciones para instalar HSM tradicionales en entornos de nube.

Por lo tanto, se aplicarán los mismos niveles de “protección” que con un HSM tradicional en un entorno de nube.

Obtenga más información sobre el uso de HSM en la gestión de claves criptográficas en nuestro blog y descubra cómo aplicar eficazmente la tecnología de cifrado en su organización poniéndose en contacto con los expertos de Eval.

Estaremos encantados de responder a sus preguntas y ayudarle a definir las mejores formas de proteger su organización contra la fuga y el robo de datos.

Acerca de Eval

A Eval está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias. 

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a Lei Geral de Proteção de Dados (LGPD). Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos. 

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível. 

Eval, segurança é valor. 

Categorías
Protección de datos

Transmisión segura de datos: 10 consejos para su empresa

Proteger los datos utilizados en las operaciones empresariales es un requisito esencial para la información confidencial de una organización. Es entonces cuando entran en juego la transmisión segura de datos y su cifrado.

Los usuarios malintencionados pueden interceptar o vigilar los datos en texto plano transmitidos por una red o a través de soportes extraíbles y dispositivos móviles sin cifrar.

Así obtienen accesos no autorizados, comprometiendo la confidencialidad de datos considerados sensibles y estratégicos. Por eso es tan importante la transmisión segura de datos.

La protección en estos casos se realiza con algoritmos criptográficos que limitan el acceso a los datos sólo a quienes posean el recurso de cifrado adecuado y su respectivo descifrado.

Además, algunas herramientas criptográficas modernas también permiten condensar o comprimir los mensajes, ahorrando espacio de transmisión y almacenamiento.

Hemos hecho converger la necesidad de proteger las transmisiones de datos con los recursos tecnológicos existentes. Por ello, hemos separado 10 recomendaciones consideradas vitales para tener éxito en todo el proceso de envío y recepción de datos.

Los ciberdelincuentes pueden comprometer la confidencialidad de la información durante una transmisión de datos

Los datos considerados sensibles o restringidos en relación con la protección de datos deben cifrarse cuando se transmitan por cualquier red.

Esto debe hacerse para proteger contra la interceptación del tráfico de red por usuarios no autorizados. Los ataques de este tipo también se conocen como Man-in-the-middle, haga clic aquí para obtener más información.

En los casos en los que los dispositivos de origen y destino se encuentran dentro de la misma subred protegida, la transmisión de datos debe seguir protegiéndose con cifrado debido al alto impacto negativo potencial de una violación y robo de datos.

Además, los empleados tienden a preocuparse menos cuando se encuentran en un entorno “controlado”, creyéndose a salvo de ataques.

Los tipos de transmisión pueden incluir comunicación de cliente a servidor, así como de servidor a servidor. Esto puede incluir la transferencia de datos entre sistemas centrales, entre sistemas de terceros o la transmisión P2P dentro de una organización.

Además, cuando se utilicen para almacenar datos restringidos, los soportes extraíbles y los dispositivos móviles también deben utilizar adecuadamente el cifrado de datos sensibles, siguiendo las recomendaciones de seguridad. Los dispositivos móviles incluyen ordenadores portátiles, tabletas, tecnología para llevar puesta y teléfonos inteligentes.

Los correos electrónicos no se consideran seguros y, por defecto, no deben utilizarse para transmitir datos sensibles a menos que se utilicen herramientas adicionales de cifrado de datos de estos servicios.

Al intentar proteger los datos en tránsito, el profesional de la seguridad debe tener en cuenta las siguientes recomendaciones para diseñar una transmisión segura de la información:

Infografía híbrida HSM

Las mejores recomendaciones

  1. Cuando el dispositivo (ya sea cliente o servidor) sea accesible a través de una interfaz web, el tráfico debe transmitirse a través de Secure Sockets Layer (SSL), utilizando únicamente protocolos de seguridad sólidos y seguridad de la capa de transporte;
  2. Los datos transmitidos por correo electrónico deben protegerse utilizando herramientas de cifrado de correo electrónico con un cifrado potente, como S/MIME . Como alternativa, antes de enviar un correo electrónico, los usuarios deben cifrar los datos utilizando herramientas compatibles de cifrado de datos de archivos y adjuntarlos al correo electrónico para su transmisión;
  3. El tráfico de datos no cubierto por el navegador web debe cifrarse mediante cifrado a nivel de aplicación;
  4. Si una base de datos de aplicaciones se encuentra fuera del servidor de aplicaciones, todas las conexiones entre la base de datos y la aplicación también deben utilizar cifrado con algoritmos criptográficos que cumplan las normas de seguridad y protección de datos recomendadas;
  5. Cuando el cifrado a nivel de aplicación no esté disponible para el tráfico de datos no cubierto por la Web, implemente el cifrado a nivel de red, como IPsec o encapsulación SSL;
  6. El cifrado debe aplicarse cuando se transmiten datos entre dispositivos en subredes protegidas con fuertes controles de cortafuegos;
  7. Desarrollar y probar un plan adecuado de recuperación de datos;
  8. Siga los requisitos recomendados para crear contraseñas seguras, que deben definirse en la policía de seguridad de la organización. Además, adopte alguna herramienta de gestión para almacenar los datos de acceso y las claves de recuperación;
  9. Una vez copiados los datos en un soporte extraíble o dispositivo móvil, comprueba que funciona siguiendo las instrucciones para leer datos mediante cifrado. Aproveche también para incluir en su plan de recuperación y contingencia pruebas de apertura de copias de seguridad que hayan sido cifradas;
  10. Cuando estén desatendidos, los soportes extraíbles (o el dispositivo móvil) deben guardarse en un lugar seguro con acceso limitado a los usuarios que lo necesiten. Y ten en cuenta las claves que se utilizaron para cifrar la copia de seguridad.

El apoyo y las políticas internas también son muy importantes

La última recomendación es disponer de la documentación justificativa adecuada para todo este proceso de transmisión de datos.

Las políticas y procesos de seguridad deben validarse mediante pruebas frecuentes que garanticen la eficacia de todos los procedimientos que se lleven a cabo.

Por último, no olvide crear una política de sensibilización dirigida a los empleados de la empresa.

Adoptar formación y campañas que demuestren la importancia de seguir las políticas y procesos de seguridad y protección de datos de la organización.

Herramientas de cifrado de datos para una transmisión segura

El cifrado de extremo a extremo suele realizarlo el usuario final dentro de una organización. Los datos se cifran al inicio del canal de comunicación, o antes a través de soportes extraíbles y dispositivos móviles.

De este modo, permanecen encriptados hasta que se desencriptan en el extremo remoto.

Para ayudar en este proceso, el uso de herramientas de cifrado proporciona el soporte necesario para una transmisión de datos segura.

Existen varias herramientas para cifrar datos, pero es importante prestar especial atención a la gestión de claves. Porque si te descuidas y pierdes la clave, perderás también el contenido que estaba encriptado.

Por ello, siempre recomendamos el uso correcto de equipos y plataformas que gestionen las llaves, su ciclo de vida, así como el control de accesos.

Al fin y al cabo, con un uso más amplio la gestión puede complicarse utilizando únicamente hojas de cálculo de Excel.

El reto de los datos de tráfico

Uno de los principales objetivos a lo largo de la historia, ha sido trasladar mensajes a través de diversos tipos de canales y medios. La intención siempre ha sido impedir que se revele el contenido del mensaje, aunque el propio mensaje fuera interceptado en tránsito.

Tanto si el mensaje se envía manualmente, por una red de voz o por Internet, el cifrado moderno proporciona métodos seguros y confidenciales para transmitir datos.

También permite comprobar la integridad del mensaje, de modo que pueda detectarse cualquier cambio en el propio mensaje.

En resumen, la adopción de la criptografía debería ser una prioridad para todas las empresas, independientemente de su segmento de negocio o tamaño. Hoy en día, la protección de datos se ha convertido en un factor crítico para el éxito de cualquier empresa y, por tanto, no puede ser ignorada por ninguna organización.

Por último, lea más sobre protección de datos y privacidad en nuestro blog y aprenda a aplicar eficazmente la tecnología de cifrado en su empresa poniéndose en contacto con los expertos de Eval.

Estaremos encantados de responder a sus preguntas y ayudarle a definir las mejores formas de proteger su organización contra la fuga y el robo de datos.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004, ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y la Ley General de Protección de Datos (LGPD). En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Categorías
Protección de datos

Protección de datos con cifrado: un reto para las empresas

La protección de datos mediante cifrado, considerado uno de los controles de seguridad más reconocidos y aplicados en la actualidad, sigue siendo un reto importante para las empresas. Según la empresa estadounidense Vera Security, sólo el 4% de las violaciones de datos se consideran “seguras”, ya que el cifrado inutiliza los archivos robados.

Por lo general, el cifrado se adquiere e implanta con fines relacionados con el cumplimiento de los requisitos. En otras palabras, no suele estar alineada para hacer frente a los riesgos de seguridad del mundo real, como el robo de datos y los excesos accidentales de los empleados.

De hecho, aplicar eficazmente la tecnología de cifrado es uno de los principales retos a los que se enfrentan las organizaciones para lograr un rendimiento satisfactorio en la protección de datos.

Para hacerse una idea de la situación, los datos presentados en una encuesta realizada por Vera Security muestran que el 61% de los encuestados cree que el cumplimiento de las normativas impulsa la necesidad de cifrado, no la protección de los datos de los usuarios.

Esto aumenta aún más la desconexión entre encriptación y seguridad.

El informe también cita los despliegues de cifrado orientados al perímetro como una de las principales razones por las que las inversiones en protección de datos cifrados de las organizaciones no están alineadas con la forma en que los empleados y socios comerciales utilizan realmente los datos críticos.

El reto de proteger los datos con cifrado durante todo el ciclo de vida de la empresa

Para los profesionales especializados en seguridad, privacidad y riesgos, la velocidad y la escala con que los datos se mueven hoy en día a través de las organizaciones y sus socios son los factores que más aumentan la necesidad de protección de datos.

Especialmente en el entorno colaborativo actual posterior a la nube, las organizaciones deben invertir en la protección de datos con cifrado durante todo el ciclo de vida empresarial.

El enfoque principal consiste en utilizar la seguridad de archivos con cifrado permanente para proteger los datos durante su vida útil. Así se garantiza el cumplimiento de la legislación y la normativa vigentes. Esta estrategia pretende ofrecer un cifrado potente, un control de acceso en tiempo real y una gestión de políticas definida.

Otra conclusión importante del informe es que casi dos tercios de los entrevistados dependen de sus empleados para seguir las políticas de seguridad. Sólo así se garantiza la protección de los archivos distribuidos.

Sin embargo, al 69% le preocupa mucho la falta de control sobre los documentos enviados fuera de la red o en los que se colabora en la nube. Por último, sólo el 26% tiene capacidad para localizar y revocar el acceso rápidamente.

La encuesta también muestra que sólo el 35% de los encuestados incorpora la protección de datos con cifrado a los procesos de seguridad en general. Mientras tanto, otros citan las dificultades para implantar correctamente la tecnología como motivo de su escasa priorización en la organización.

Una de las principales conclusiones de la investigación es que el cifrado no se considera una “victoria fácil”. También se considera difícil de aplicar y utilizar.

Recomendaciones para dar la vuelta a la tortilla con la criptografía

A pesar de las dificultades para adoptar la protección de datos con cifrado en las empresas, cabe señalar que existen tecnologías de seguridad centradas en los datos que pueden proporcionar seguimiento y control de acceso en tiempo real sin molestar al usuario final. Las recomendaciones son las siguientes:

1. Los equipos informáticos y empresariales deben seguir el flujo de trabajo de la empresa para encontrar lagunas de seguridad

De este modo, estos equipos podrán encontrar exposiciones de datos ocultas. También hay que tener en cuenta que, por lo general, los mecanismos de cifrado son incapaces de seguir el ritmo de los datos y de las nuevas funciones de los usuarios.

Por lo tanto, las organizaciones deben estudiar cómo utilizan realmente los empleados la información sensible para identificar las áreas a las que no llega la protección de datos con cifrado o se desactiva por necesidad.

Sin embargo, un equipo que conozca los datos sensibles de la organización puede ayudar a trazar un mapa para que los informáticos puedan aplicar correctamente el cifrado. Por eso el equipo empresarial debe ser un equipo multidisciplinar en el que participen diversas áreas de la empresa.

infografía sobre la plataforma de protección de datos CipherTrust

2. Invertir en prevención de ataques

Las organizaciones deben evitar el pensamiento reactivo ante los incidentes (“acciones a tomar sólo después del ataque”). Después de todo, en la mayoría de las organizaciones, los empleados bienintencionados cometen errores que superan a las amenazas malintencionadas.

Por este motivo, se aconseja a las empresas que garanticen una visibilidad clara de sus procesos para ayudar a empleados y directivos a contener la exposición accidental de datos y aplicar sus políticas para evitar el robo de datos y la pérdida de privacidad.

La pregunta ahora es cuándo se filtrarán los datos de mi empresa. Teniendo esto en cuenta, queda más claro cómo definir una estrategia adecuada que evite un ataque y garantice que los datos permanezcan protegidos en caso de que se produzca.

3. Alinear la empresa, los socios y las tecnologías para proteger los datos con cifrado.

Las empresas necesitan alinear sus recursos tecnológicos -y esto incluye el cifrado- para hacer frente a la nube, las tecnologías móviles y terceros. La multiplicación de dispositivos móviles y socios comerciales presenta una gran variedad de nuevos lugares por los que deben viajar los datos.

Enrutar el acceso a estos datos a través de la nube y otros servicios centralizados ayuda a los responsables de TI, seguridad y empresa a restaurar la visibilidad y consolidar el control mediante la inclusión de estos datos en plataformas con cifrado incorporado y controles de acceso a los archivos.

La estrategia para afrontar el reto de la protección de datos con cifrado debe ser asertiva

Por último, las principales razones aducidas por los entrevistados en la encuesta para adoptar el cifrado fueron:

  • Los datos no se toman suficientemente en serio (40%);
  • La aplicación de una política de cifrado de todos los datos se considera muy difícil (18%);
  • No es fácil saber dónde se almacenan los datos (17%);
  • No se han comprobado las aplicaciones internas para garantizar que los datos están protegidos de acuerdo con la política (13%);
  • Los administradores no son capaces de configurar correctamente los controles de cifrado (12%).

Con este telón de fondo, podemos ver que tenemos un gran reto por delante. Las empresas no pueden dejar la carga de la seguridad de los datos únicamente en manos de los equipos informáticos.

En su lugar, deben concienciar, aplicar y probar adecuadamente una estrategia asertiva de protección de datos con cifrado.

Y para estos objetivos de seguridad, invertir en tecnología es esencial.

A la hora de planificar las necesidades de codificación, trace los flujos de información entre todas las aplicaciones y las tablas que almacenan la información pertinente. A continuación, aplica la protección de datos con cifrado para su almacenamiento y transmisión. Y no olvides tampoco el control de acceso a los datos.

Por último, para proteger aún más los datos de la organización, tenga cuidado con los documentos o aplicaciones compartidos entre usuarios. Son fáciles de acceder y compartir, pero pueden poner en peligro la información confidencial.

Los controles de acceso basados en el cifrado garantizan de nuevo que sólo los usuarios autorizados puedan acceder a determinados datos. Siga y supervise el uso de los datos para asegurarse de que los controles de acceso son eficaces.

Lea más sobre protección de datos y privacidad en nuestro blog y descubra cómo aplicar eficazmente la tecnología de cifrado en su empresa poniéndose en contacto con los expertos de Eval.

Estaremos encantados de responder a sus preguntas y ayudarle a definir las mejores formas de proteger su organización contra la fuga y el robo de datos.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004, ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

logo-eval-digital (3)

Dónde estamos

Rua Paulistânia, nº 381, 2º andar,
Sumarezinho
São Paulo - SP,
CÓDIGO POSTAL:05440-000

Contacte con

(11) 3670 - 3825
(11) 3865 - 1124
[email protected]

Facebook Instagram Linkedin
logo-tales-azul
keyfactor-logo
logo-valid-certificadora-digital
google-safe-browsing
Política de privacidad

Copyright © 2022, EVAL TECNOLOGIA EM INFORMÁTICA. Todos los derechos reservados - CNPJ 05.278.889/0001-97