10 recomendaciones vitales para una transmisión de datos segura

Confira neste artigo

Proteger los datos utilizados en las operaciones empresariales es un requisito esencial para la información confidencial de una organización.

Los usuarios malintencionados pueden interceptar o vigilar los datos en texto plano transmitidos por una red o a través de soportes extraíbles y dispositivos móviles sin cifrar.

Así obtienen accesos no autorizados, comprometiendo la confidencialidad de datos considerados sensibles y estratégicos. Por eso es tan importante la transmisión segura de datos.

Criptografia como solução de segurança

La protección en estos casos se realiza con algoritmos criptográficos que limitan el acceso a los datos sólo a quienes posean el recurso de cifrado adecuado y su respectivo descifrado.

Además, algunas herramientas criptográficas modernas también permiten condensar o comprimir los mensajes, ahorrando espacio de transmisión y almacenamiento.

Hemos hecho converger la necesidad de proteger las transmisiones de datos con los recursos tecnológicos existentes. Por ello, hemos separado 10 recomendaciones consideradas vitales para tener éxito en todo el proceso de envío y recepción de datos.

Los usuarios malintencionados pueden comprometer la confidencialidad de la información durante una transmisión de datos

Los datos considerados sensibles o restringidos en relación con la protección de datos deben cifrarse cuando se transmitan por cualquier red. Esto debe hacerse para proteger contra la interceptación del tráfico de red por usuarios no autorizados. Los ataques de este tipo también se conocen como Man-in-the-middle, haga clic aquí para obtener más información.

En los casos en los que los dispositivos de origen y destino se encuentran dentro de la misma subred protegida, la transmisión de datos debe seguir protegiéndose con cifrado debido al alto impacto negativo potencial de una violación y robo de datos. Además, los empleados tienden a preocuparse menos cuando se encuentran en un entorno “controlado”, creyéndose a salvo de ataques.

Los tipos de transmisión pueden incluir comunicación de cliente a servidor, así como de servidor a servidor. Esto puede incluir la transferencia de datos entre sistemas centrales, entre sistemas de terceros o la transmisión P2P dentro de una organización.

Además, cuando se utilicen para almacenar datos restringidos, los soportes extraíbles y los dispositivos móviles también deben utilizar adecuadamente el cifrado de datos sensibles, siguiendo las recomendaciones de seguridad. Los dispositivos móviles incluyen ordenadores portátiles, tabletas, tecnología para llevar puesta y teléfonos inteligentes.

Los correos electrónicos no se consideran seguros y, por defecto, no deben utilizarse para transmitir datos sensibles a menos que se utilicen herramientas adicionales de cifrado de datos de estos servicios.

Al intentar proteger los datos en tránsito, el profesional de la seguridad debe tener en cuenta las siguientes recomendaciones para diseñar una transmisión segura de la información:

Hybrid Infographic HSM
 

Las mejores recomendaciones

  1. Cuando el dispositivo (ya sea cliente o servidor) sea accesible a través de una interfaz web, el tráfico debe transmitirse a través de Secure Sockets Layer (SSL), utilizando únicamente protocolos de seguridad sólidos y seguridad de la capa de transporte;
  2. Los datos transmitidos por correo electrónico deben protegerse utilizando herramientas de cifrado de correo electrónico con un cifrado potente, como S/MIME . Como alternativa, antes de enviar un correo electrónico, los usuarios deben cifrar los datos utilizando herramientas compatibles de cifrado de datos de archivos y adjuntarlos al correo electrónico para su transmisión;
  3. El tráfico de datos no cubierto por el navegador web debe cifrarse mediante cifrado a nivel de aplicación;
  4. Si una base de datos de aplicaciones se encuentra fuera del servidor de aplicaciones, todas las conexiones entre la base de datos y la aplicación también deben utilizar cifrado con algoritmos criptográficos que cumplan las normas de seguridad y protección de datos recomendadas;
  5. Cuando el cifrado a nivel de aplicación no esté disponible para el tráfico de datos no cubierto por la Web, implemente el cifrado a nivel de red, como IPsec o encapsulación SSL;
  6. El cifrado debe aplicarse cuando se transmiten datos entre dispositivos en subredes protegidas con fuertes controles de cortafuegos;
  7. Desarrollar y probar un plan adecuado de recuperación de datos;
  8. Siga los requisitos recomendados para crear contraseñas seguras, que deben definirse en la policía de seguridad de la organización. Además, adopte alguna herramienta de gestión para almacenar los datos de acceso y las claves de recuperación;
  9. Una vez copiados los datos en un soporte extraíble o dispositivo móvil, comprueba que funciona siguiendo las instrucciones para leer datos mediante cifrado. Aproveche también para incluir en su plan de recuperación y contingencia pruebas de apertura de copias de seguridad que hayan sido cifradas;
  10. Cuando estén desatendidos, los soportes extraíbles (o el dispositivo móvil) deben guardarse en un lugar seguro con acceso limitado a los usuarios que lo necesiten. Y ten en cuenta las claves que se utilizaron para cifrar la copia de seguridad.

El apoyo y las políticas internas también son muy importantes

La última recomendación es disponer de la documentación justificativa adecuada para todo este proceso de transmisión de datos. Las políticas y procesos de seguridad deben validarse mediante pruebas frecuentes que garanticen la eficacia de todos los procedimientos que se lleven a cabo.

Por último, no olvide crear una política de sensibilización dirigida a los empleados de la empresa. Adoptar formación y campañas que demuestren la importancia de seguir las políticas y procesos de seguridad y protección de datos de la organización.

Herramientas de cifrado de datos para una transmisión segura

El cifrado de extremo a extremo suele realizarlo el usuario final dentro de una organización. Los datos se cifran al inicio del canal de comunicación, o antes a través de soportes extraíbles y dispositivos móviles. De este modo, permanecen encriptados hasta que se desencriptan en el extremo remoto.

Para ayudar en este proceso, el uso de herramientas de cifrado proporciona el soporte necesario para una transmisión de datos segura.

Existen varias herramientas para cifrar datos, pero es importante prestar especial atención a la gestión de claves. Porque si te descuidas y pierdes la clave, perderás también el contenido que estaba encriptado.

Por ello, siempre recomendamos el uso correcto de equipos y plataformas que gestionen las llaves, su ciclo de vida, así como el control de accesos. Al fin y al cabo, con un uso más amplio la gestión puede complicarse utilizando únicamente hojas de cálculo de Excel.

El reto de los datos de tráfico

Uno de los principales objetivos a lo largo de la historia, ha sido trasladar mensajes a través de diversos tipos de canales y medios. La intención siempre ha sido impedir que se revele el contenido del mensaje, aunque el propio mensaje fuera interceptado en tránsito.

Tanto si el mensaje se envía manualmente, por una red de voz o por Internet, el cifrado moderno proporciona métodos seguros y confidenciales para transmitir datos. También permite comprobar la integridad del mensaje, de modo que pueda detectarse cualquier cambio en el propio mensaje.

En resumen, la adopción de la criptografía debería ser una prioridad para todas las empresas, independientemente de su segmento de negocio o tamaño. Hoy en día, la protección de datos se ha convertido en un factor crítico para el éxito de cualquier empresa y, por tanto, no puede ser ignorada por ninguna organización.

Por último, lea más sobre protección de datos y privacidad en nuestro blog y aprenda a aplicar eficazmente la tecnología de cifrado en su empresa poniéndose en contacto con los expertos de EVAL. Estaremos encantados de responder a sus preguntas y ayudarle a definir las mejores formas de proteger su organización contra la fuga y el robo de datos.

Acerca de Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Sobre o(s) autor(es):

Autor