La protección de datos lleva a las empresas a implantar diversas soluciones de cifrado. En este sentido, un aspecto que no puede pasarse por alto es la necesidad de una gestión adecuada de las claves.
Esto se debe principalmente al uso generalizado del cifrado como resultado de los requisitos de gobernanza y cumplimiento de la normativa. Esto demuestra que hemos avanzado en materia de protección de datos, pero deja al descubierto el gran reto de la gestión de claves.
Al fin y al cabo, es habitual gestionar las claves en hojas de cálculo de Excel, lo que puede suponer un riesgo importante para las organizaciones, ya que la pérdida de control o incluso la pérdida de las claves criptográficas puede hacer que la empresa pierda sus datos.
Principales retos de una correcta gestión de claves
La gestión es vital para el uso eficaz del cifrado. La pérdida o corrupción de claves puede provocar la pérdida de acceso a los sistemas e inutilizarlos por completo.
La gestión adecuada de las claves es un reto que aumenta con el tamaño y la complejidad del entorno. Cuanto mayor sea su base de usuarios, más difícil será gestionarla eficazmente.
Algunos de los mayores retos son:
Formación y aceptación de los usuarios
A los usuarios no les gustan los cambios. Aunque en realidad no forman parte del proceso de gestión de claves, no aceptarlas puede ser un gran impedimento para el éxito de un proyecto.
Por lo tanto, es necesario mapear el impacto de la adopción y el uso de la criptografía en su ciclo de producción y las dificultades para recuperar o restablecer claves o contraseñas.
Escuchar las opiniones de los usuarios y desarrollar la formación adecuada para abordar sus preocupaciones o dificultades específicas. Desarrollar puntos de referencia del sistema para comprobar el rendimiento antes y después de implantar el producto.
En otras palabras, gestionar las expectativas de los usuarios.
Administración del sistema, mantenimiento y recuperación de claves
Estos problemas pueden tener un gran impacto en la organización y deben tratarse con el proveedor antes de comprarlos. A escala empresarial, la gestión manual de claves es sencillamente inviable.
Lo ideal sería que la gestión se integrara con la infraestructura existente, al tiempo que facilitara la administración, entrega y recuperación de claves seguras.
La recuperación es un proceso fundamental, especialmente en situaciones como la de un empleado que abandona la organización sin el debido retorno o cuando una llave está dañada y ya no puede utilizarse. También debería ser un proceso sencillo pero muy seguro.
|
|
En una correcta gestión de claves, el procedimiento de generación debe estar restringido a una sola persona. En la práctica, tenemos, por ejemplo, un proceso de producto que permite dividir una clave de recuperación en varias partes.
A partir de ahí, las partes individuales de la clave de recuperación pueden distribuirse a diferentes agentes de seguridad. Los propietarios deben estar presentes cuando se utilice. Este proceso es sencillo pero seguro, porque requiere que varias partes vuelvan a crear la clave.
Además, las contraseñas olvidadas pueden tener un impacto adicional en el equipo de asistencia. Así que el proceso no sólo debe ser sencillo, sino también flexible. Hay que tener en cuenta tanto a los empleados remotos y fuera de la red como a los internos. En este caso, la recuperación remota de claves es un recurso indispensable.
Buenas prácticas para una correcta gestión de claves
Cuando se enfrentan a problemas de gestión de claves, ¿a quién pueden pedir ayuda las organizaciones?
Los aspectos específicos de la gestión adecuada de claves se tratan en gran medida en el software criptográfico, donde las normas y las mejores prácticas están bien establecidas.
Además, como el Instituto Nacional de Normas y Tecnología (NIST) y la Infraestructura Brasileña de Clave Pública (ICP-Brasil), se desarrollan normas para organismos gubernamentales que pueden aplicarse en cualquier comunidad empresarial. Suele ser un buen punto de partida a la hora de hablar de productos encriptados con sus proveedores.
Mientras tanto, aquí tienes algunas buenas prácticas del sector para empezar:
- La facilidad de uso y la escalabilidad de una gestión adecuada de las claves corporativas deben ser el objetivo principal a la hora de analizar los productos. La capacidad de aprovechar los activos existentes debe desempeñar un papel importante en la toma de decisiones. La integración con un entorno de autenticación reducirá los costes y eliminará la necesidad de sistemas redundantes;
- La autenticación de dos factores es una medida de seguridad necesaria para las organizaciones financieras. Debido al aumento de la potencia de procesamiento y las capacidades de los ordenadores actuales, la solidez de las contraseñas por sí sola ya no es suficiente.
Control y formación
La gestión significa proteger las claves de cifrado de pérdidas, corrupción y acceso no autorizado. Por eso, al final de los procedimientos y técnicas aplicados al proceso de gestión, hay que asegurarse:
- Que las llaves estén a buen recaudo;
- Que se sometan a procedimientos de cambio periódicos;
- Esa gestión incluye a quién se asignan las llaves.
Una vez controladas las claves existentes, hay que aplicar estrictamente las políticas y procesos de aprovisionamiento, supervisión, auditoría y cierre. Por eso, el uso de herramientas automatizadas puede aliviar enormemente la carga de responsabilidades.
Por último, los profesionales de la seguridad de la información, de las infraestructuras, de las bases de datos, desarrolladores y otros profesionales que necesiten utilizar claves de cifrado deben recibir formación, ya que la falta de concienciación sobre los riesgos de los fallos de protección es uno de los principales factores de los problemas.
Si no hay control sobre el acceso, no habrá seguridad.
Para obtener más consejos sobre la correcta gestión de claves y otros temas más estratégicos para la seguridad de la información y la protección de datos, suscríbase a nuestro boletín y manténgase al día.
Acerca de Eval
EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004, ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.
Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.
Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.
Eval, la seguridad es un valor.
