Las empresas mueven cada vez más datos sensibles por Internet y están migrando en gran medida su infraestructura a la nube, en diferentes tipos de modelos de servicio. A medida que esto ocurre, crece la necesidad de utilizar y gestionar claves de cifrado.
Ante esta realidad, los profesionales de la seguridad protegen activamente estos datos con técnicas probadas y contrastadas que se utilizan en diferentes fases del ciclo de productividad de las organizaciones, siempre con el objetivo de garantizar la privacidad.
Sin embargo, la garantía de protección y disponibilidad de los datos puede no ser posible únicamente mediante el uso del cifrado.
Por muy avanzada que sea la tecnología contra las filtraciones de datos, sin una gestión de las claves de cifrado, el riesgo de que la información se filtre o sea robada seguirá siendo alto.
¿Por qué es importante gestionar las claves criptográficas?
Gestión significa proteger las claves criptográficas contra pérdida, robo, corrupción y acceso no autorizado. Entre sus objetivos figuran:
- asegurarse de que las llaves se guardan de forma segura;
- cambiar las llaves con regularidad;
- controlar cómo y a quién se asignan las llaves;
- decidir la granularidad de las claves.
En la práctica, la gestión de claves de cifrado implica evaluar si una clave debe utilizarse para todas las cintas de copia de seguridad o si, por el contrario, cada una debe recibir la suya propia, por ejemplo.
Por lo tanto, es necesario garantizar que la clave criptográfica -y todo lo relacionado con ella- esté debidamente controlada y protegida. Así que no puedes dejar de pensar en la gestión.
Si todo no está debidamente protegido y gestionado, es como tener una cerradura de última generación en la puerta de casa pero dejar la llave debajo del felpudo.
Para aclarar la importancia de la gestión de claves criptográficas, basta con recordar los cuatro objetivos de la criptografía: confidencialidad, integridad, autenticación y no repudio. Esto significa que podemos proteger la información personal y los datos confidenciales de la empresa.
De hecho, no tiene sentido utilizar una tecnología que garantice la seguridad de los datos sin una gestión eficaz.
Gestionar las claves de cifrado es un reto, pero no imposible
De hecho, gestionar claves criptográficas no es tan sencillo como llamar a un cerrajero. Tampoco puedes escribir las claves en un papel. Hay que facilitar el acceso al menor número de personas posible y garantizar que sea restringido.
El éxito de la gestión criptográfica en el mundo empresarial requiere buenas prácticas en varios frentes.
En primer lugar, debes elegir el algoritmo de cifrado y el tamaño de clave adecuados para confiar en tu seguridad.
A continuación, debe garantizar que la aplicación de la estrategia de cifrado de la empresa cumple las normas establecidas para este algoritmo. Esto significa estar homologado por una autoridad certificadora reconocida – en el caso de Brasil, las homologadas por el ITI dentro del ICP-Brasil.
Por último, debe garantizar una gestión eficaz de las claves de cifrado, asociada a políticas y procesos de seguridad que puedan certificar un uso productivo de la tecnología.
Para tener mayor confianza en su estrategia de gestión de claves de cifrado, las primeras preguntas que debe hacerse son las siguientes:
- ¿dónde se guardan las claves de cifrado?
- ¿a quién pertenecen?
Muchos servicios de gestión conservan claves privadas en la capa de servicio, por lo que sus datos pueden ser accesibles para los administradores de esta actividad. Esto es estupendo para la disponibilidad, pero no para la confidencialidad.
Así pues, como ocurre con cualquier tecnología, la eficacia del cifrado depende totalmente de su aplicación. Si no se hace correctamente o si los componentes utilizados no están debidamente protegidos, corre peligro, al igual que los datos.
|
De la creación de políticas a la gestión de claves criptográficas
Un enfoque común para proteger los datos de la empresa mediante la gestión de claves de cifrado consiste en hacer balance, comprender las amenazas y crear una política de seguridad.
Las empresas necesitan saber en qué dispositivos y aplicaciones se puede confiar y cómo se puede aplicar la política entre ellos y en la nube. Todo empieza por saber lo que tienes.
La mayoría de las organizaciones no saben cuántas claves tienen, dónde utilizan el cifrado y qué aplicaciones y dispositivos son realmente fiables. Esto caracteriza innegablemente una falta total de gestión de las claves de cifrado, de los datos y de su estructura.
Sin duda, la parte más importante de un sistema de cifrado es su gestión de claves, sobre todo cuando la organización necesita cifrar una gran cantidad de datos. Esto hace que la infraestructura sea más compleja y desafiante.
Normalizar el proceso es fundamental
La normalización de los productos es fundamental. Al fin y al cabo, incluso una encriptación correctamente implementada significa poco si un atacante entra en la máquina de alguien o si un empleado es deshonesto.
En algunos casos, por ejemplo, el cifrado puede habilitar a un atacante e inutilizar toda la inversión en seguridad, causando daños que van mucho más allá de las pérdidas financieras. Así pues, la normalización es vital para crear políticas y procesos útiles, reduciendo la posibilidad de lagunas que puedan dar lugar a ciberataques y robos de datos.
La encriptación crea realmente más oportunidades de negocio para distintos tipos de empresas, no sólo mitigando problemas como los ciberataques, sino creando un ciclo de acceso a los datos organizado, eficiente y estratégico.
Por último, en tiempos de transformación digital y de tantas disrupciones tecnológicas y de mercado, adoptar la gestión de claves de cifrado es vital para las empresas que buscan un crecimiento sostenible.
Ahora que ya sabe un poco más sobre la gestión de claves criptográficas, manténgase al día sobre este tema a través de nuestra página de LinkedIn.
Acerca de EVAL
EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.
Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y la Ley General de Protección de Datos (LGPD). En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.
Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.
Eval, la seguridad es un valor.