Hoy en día, el robo de datos y los requisitos de cumplimiento de la normativa han provocado un aumento espectacular del uso de claves de cifrado en las empresas. Esto también provocó una incidencia de pérdida de llaves debido a la mala gestión de estos activos.
Es muy habitual, por ejemplo, que una misma empresa utilice varias decenas de herramientas de cifrado diferentes. Posiblemente estas herramientas sean incompatibles, lo que da lugar a miles de claves de cifrado.
¿Cómo evitar la pérdida de llaves?
En un mundo perfecto, la gestión de claves criptográficas se encarga de la administración, protección, almacenamiento y copia de seguridad de las claves de cifrado.
Al fin y al cabo, todas las llaves deben almacenarse, protegerse y recuperarse de forma segura. Sin embargo, la realidad es otra y usted debe saber bien cómo acaba esta historia de la pérdida de llaves.
La importancia de almacenar y hacer copias de seguridad de las claves de cifrado
La gestión de claves significa proteger las claves de cifrado de pérdidas y accesos no autorizados.
Para controlar y gestionar las claves hay que recurrir a numerosos procesos. Esto incluye cambiar las llaves con regularidad, gestionar cómo se asignan las llaves y quién las recibe.
La experiencia nos demuestra que la pérdida de claves tiene un gran impacto en importantes procesos de negocio de las empresas. Esto provoca la pérdida de acceso a sistemas y datos, además de inutilizar por completo un sistema a menos que se formatee y se reinstale por completo.
Cabe señalar que, en la actualidad, es esencial que cualquier empresa cuente con más de una persona responsable de almacenar y realizar copias de seguridad de las claves de cifrado.
De este modo, nos dirigimos a diversas buenas prácticas del mercado. Por ejemplo, hemos definido las funciones de los responsables y creado una política eficaz de gestión de claves de cifrado accesible a todos.
Sin embargo, hay un gran reto por delante. Uno de los grandes problemas conocidos es la falta de herramientas unificadas para reducir la sobrecarga de gestión.
Un sistema de gestión de claves comprado a un proveedor no puede gestionar las claves de otro proveedor. Esto se debe a que cada uno aplica un mecanismo de gestión a su manera.
Probablemente esté recordando algunos hechos relacionados con la falta de almacenamiento eficiente. Incluidos los casos de pérdida de llaves y las repercusiones para la empresa.
La pérdida de claves expone datos de personas y empresas
La pérdida o exposición de claves de cifrado nunca será una buena experiencia. Imaginemos, por ejemplo, que un desarrollador almacena accidentalmente claves en un repositorio público.
Por desgracia, este escenario es probable, puede ocurrir fácilmente para cualquier tipo de claves de cifrado y en diferentes empresas.
Alguien podría enviar accidentalmente las claves en un código fuente o en cualquier envío de archivos o conjuntos de datos.
Ya sea en la nube o en centros de datos propios, las empresas necesitan crear una estrategia de gestión que evite la pérdida de claves y/o una exposición indebida.
Como hemos visto, las llaves deben guardarse de forma segura y con acceso limitado a quienes las necesiten para trabajar. Por eso algunas empresas utilizan aplicaciones de protección contra la pérdida de claves.
Sirven para comprobar el tráfico de red en busca de fugas de datos. Así como detectar la divulgación accidental o malintencionada de información confidencial o privada.
No sólo una mala gestión de las claves puede poner en peligro los servidores. Pero además, si se pierden las claves utilizadas para cifrar los datos, también se perderán los datos cifrados con esa clave.
Por lo tanto, no hay sustituto para la gestión de claves de cifrado.
Situaciones habituales que provocan la pérdida de claves criptográficas
Al tratarse de algo relativamente complejo para determinados empleados de las empresas, cabe imaginar que la pérdida de llaves no se produce con tanta frecuencia. Sin embargo, hay situaciones muy comunes en nuestras rutinas que nos llevan a escenarios de pérdida de llaves:
- El poseedor de la llave olvida la contraseña para acceder a ella;
- El empleado responsable de las llaves no recuerda dónde las guardó;
- El gestor tiene una enorme cantidad de llaves que gestionar;
- El responsable de las claves abandona la organización y quien se queda acaba teniendo un problema de gestión importante.
La importancia de las claves criptográficas es obvia para los profesionales de la seguridad de la información. Pero la complejidad de su gestión puede ser casi tan desalentadora como la de los propios algoritmos de cifrado.
|
|
|
Todo se reduce a lo importante que es para las empresas controlar las claves
En primer lugar, es importante ver qué es una firma digital y cómo funciona.
Una firma digital es el equivalente de una firma escrita. Su finalidad puede ser verificar la autenticidad de un documento o comprobar que el remitente es quien dice ser.
Esto nos muestra la importancia de las claves de cifrado en los procesos productivos, así como el impacto que genera la pérdida de claves en las rutinas de empresas de diferentes segmentos o tamaños.
El principal coste de la pérdida de claves es la gestión del riesgo. Esto se debe a que se centrará principalmente en convertir a las empresas en objetivo de sofisticados ataques virtuales, lo que provocará pérdidas no sólo económicas, sino también relacionadas con la imagen de la organización.
Una de las prácticas más recomendadas para reducir los incidentes relacionados con ciberataques es realizar auditorías. Esto se debe a que esta práctica ayuda a identificar si las teclas se están utilizando de forma correcta.
Este proceso consiste en auditar la criptografía de clave pública para identificar fuentes y dispositivos vulnerables, desde tokens hasta certificados TLS.
Las estrategias de mitigación disponibles de los proveedores pueden entonces revisarse y aplicarse según las prioridades basadas en el riesgo.
La solución a todos los problemas es…
No faltan orientaciones sobre cómo gestionar las identidades digitales y cómo identificar la mejor opción para su empresa, todo depende del entorno actual y de los recursos disponibles.
Aunque utilizar una política de gestión más estricta puede ser la opción más segura, también puede acarrear costes significativos. Las empresas deben centrarse en la mejora continua. Además, puede ayudarle a gestionar sus riesgos a un precio compatible con su realidad.
Las empresas deben evaluar críticamente cómo protegen sus sistemas. También deben considerar las causas profundas de los incidentes de seguridad en sus entornos como parte de una evaluación de riesgos.
Es frecuente, por ejemplo, que se produzcan varios incidentes de seguridad relacionados con cuentas comprometidas. Principalmente como consecuencia de la falta de gestión correcta de las claves de cifrado.
A medida que los sistemas se vuelven más seguros y las empresas adoptan medidas eficaces para gestionar sus procesos. Conviene recordar que iniciativas como la autenticación y la gestión de claves son cada vez más importantes.
Es importante asegurarse de que su empresa utiliza los procesos de autenticación y autorización adecuados. Esto requiere el uso de claves criptográficas basadas en la gestión de riesgos.
Al fin y al cabo, ya es el primer paso para reducir los riesgos de incidentes y garantizar la confidencialidad de los datos de clientes y empleados.
Aproveche el final de nuestro artículo y responda a la siguiente pregunta: ¿Cuál es la estrategia de gestión de claves de cifrado adoptada actualmente por su empresa?
Suscríbase a nuestro boletín y manténgase al día de las novedades y tecnologías de EVAL. Siga nuestro contenido en el blog y también en nuestro perfil de Linkedin.
Acerca de Eval
EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.
Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.
Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.
Eval, la seguridad es un valor.
