En los últimos años, los proveedores del mercado de almacenamiento de datos han empezado a prestar más atención al uso del Protocolo de Interoperabilidad de Gestión de Claves (KMIP) en sus soluciones de integración con gestores de claves de cifrado.
Hay dos razones principales para ello. La necesidad de cumplir la normativa de protección de datos es una razón importante.
Las soluciones de gestión de claves empresariales (EKM) también aportan ventajas a las empresas.
Averigüe cuáles son estos beneficios a lo largo del artículo.
Aplicación de buenas prácticas en seguridad de la información
La definición de lo que es adecuado o suficiente para cumplir las exigencias normativas sobre protección de datos varía mucho de una empresa a otra.
Muchas soluciones ofrecen asistencia interna para la gestión de claves con cifrado. Dependiendo del contexto, esto puede ser suficiente.
Sin embargo, la adopción de este modelo podría poner en peligro la seguridad de los datos. Al fin y al cabo, hay que tener en cuenta que la clave de cifrado encargada de protegerlos está integrada en la propia solución de almacenamiento.
Es más, es habitual encontrar escenarios con diferentes proveedores de soluciones de almacenamiento, en los que cada uno programa sus propios modelos de gestión de claves con cifrado.
Esto puede dar lugar a errores humanos y poner en peligro la disponibilidad de los datos en caso de una operación de cifrado fallida.
El uso de una solución externa de gestión de claves proporciona una adecuada segregación de funciones. También ofrece un modelo normalizado para todos los procesos de encriptación.
Además, estas soluciones suelen ofrecer certificaciones internacionales para la aplicación de algoritmos de cifrado. Esto impide, por ejemplo, el uso de algoritmos o tamaños de clave considerados débiles.
En la web de Owasp puedes encontrar una guía de criptografía muy interesante, en la que se desaconseja el uso de los algoritmos hash MD-5, SHA-0, SHA-1 y el algoritmo de criptografía simétrica DES.
Además, las soluciones de gestión de claves con cifrado pueden acoplarse a equipos diseñados para ofrecer protección con un alto nivel de seguridad.
Por ejemplo, los módulos seguros de hardware(HSM) y la gestión de claves empresariales(EKM). La protección se centraliza así para todos los sistemas de almacenamiento de datos de la organización.
Gestión eficiente de claves con criptografía
Normalmente, las soluciones que ofrecen funciones de cifrado no se preocupan por el ciclo de vida de una clave. Por tanto, ignoran, por ejemplo, la validez, la activación, la desactivación, el intercambio con conservación de procesos ya encriptados y la destrucción.
Utilizar la misma clave de cifrado durante mucho tiempo es inadecuado. Al fin y al cabo, esto pone en peligro la seguridad en caso de fuga de datos.
Una solución de gestión no sólo proporciona los requisitos necesarios para todo el ciclo de vida de la llave. Al fin y al cabo, también presenta estas funciones en una interfaz fácil de usar desde una consola centralizada.
Incluso define perfiles de acceso basados en la integración con una base de datos LDAP (Lightweight Directory Access Protocol).
Flexibilidad de implementación y Gestión de claves con criptografía
La decisión de mantener las aplicaciones en su propia infraestructura o migrar a un centro de datos externo depende de varios factores.
Si la solución de gestión de claves con cifrado está acoplada al sistema de almacenamiento, la decisión de mantenerlo internamente o migrar a la nube debe tenerlo en cuenta.
|
|
Posibilidad de generar informes de auditoría durante la gestión de claves con cifrado
Para estos casos, es necesario ofrecer información con un alto nivel de confianza y acceso a las claves. De este modo, deberá detallar quién accedió, la hora del suceso y el éxito o fracaso de la operación.
Además, los mecanismos de alerta pueden notificar al personal si surgen problemas con el equipo de gestión de llaves u otros dispositivos que se comunican con el administrador.
Una de las principales ventajas de una solución externa de gestión de claves es su capacidad para mejorar los informes de auditoría.
Intentar demostrar a un auditor de cumplimiento externo que las claves están a salvo, son seguras y tienen fuertes controles de acceso sería mucho más difícil con el almacenamiento nativo, especialmente si hay más de una solución. Esto también requería que todos los sistemas fueran auditados individualmente.
Segregación de perfiles
Los sistemas externos de gestión de claves pueden definir permisos para los administradores y usuarios que utilizarán las claves.
Un ejemplo común de esto es la posibilidad de permitir a un administrador crear una clave, pero no poder utilizarla para cifrar o descifrar utilizando atributos de usuario LDAP o Active Directory (AD).
Normalmente, la criptografía propia de los sistemas no tiene este nivel de granularidad en las funciones administrativas. En consecuencia, el administrador del almacenamiento también es responsable de la clave.
Variedad de sistemas en los que pueden almacenarse datos sensibles
Desde CRMs, Sistemas de Archivos, Máquinas Virtuales, bases de datos estructuradas o no estructuradas, existe la posibilidad de que haya información que necesite ser encriptada para evitar su exposición en caso de una brecha de seguridad.
La gestión de claves cifradas, con capacidad para integrarse con protocolos abiertos, ofrece los recursos necesarios para atender a una amplia gama de entornos.
Existen al menos cuatro perspectivas que pueden abordarse en relación con la ubicación de los datos que deben protegerse: sistema de archivos, sistema operativo, base de datos y memoria.
El esfuerzo para aplicar el cifrado aumenta en este orden y supera la complejidad, teniendo en cuenta la variedad de entornos y sistemas en el flujo de extremo a extremo de los datos que hay que proteger.
Como te habrás dado cuenta, el cifrado nativo no es necesariamente la mejor forma de proteger los datos. Si aún tienes preguntas al respecto, déjalas en los comentarios. Estaremos encantados de responder a sus preguntas.
Sobre a Eval
Eval lleva más de 18 años desarrollando proyectos en los segmentos financiero, sanitario, educativo e industrial. Desde 2004, ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.
Las soluciones y servicios de Eval cumplen las normas reglamentarias más exigentes de organismos públicos y privados, como SBIS, ITI, PCI DSS y la Ley General de Protección de Datos (LGPD). En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.
Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.
Eval, la seguridad es un valor.
