Etiqueta: gestión de llaves

Gestión de claves criptográficas en la nube, conozca el DdP

Autor de la entrada Por Editorial Eval
Fecha de la entrada 4 de julio de 2022

Muchas organizaciones tienen dificultades para implantar un sistema eficaz de gestión de claves criptográficas. Esto se debe en parte a la complejidad del proceso y a las herramientas necesarias para implantar y mantener un sistema seguro. Aquí es cuando HSM en la nube marca la diferencia.

Para reducir la complejidad de la gestión de claves criptográficas, las empresas implantan soluciones demódulos de seguridad de hardware(HSM) que pueden desplegarse localmente o en la nube.

HSM en la nube supera el reto de la gestión de claves criptográficas

El HSM en la nube consiste básicamente en un dispositivo de hardware seguro gestionado por un proveedor en la nube.

La nube proporciona acceso a claves criptográficas para las aplicaciones empresariales que las necesitan, sin exponer las claves a los riesgos de seguridad asociados a Internet.

Las empresas están cada vez más interesadas en utilizar la nube para sus negocios por las ventajas que ofrece, como flexibilidad, escalabilidad y rentabilidad.

Al permitir que las claves se gestionen fuera de la red corporativa, la nube simplifica el proceso y lo hace más seguro.

Esto significa que ya no es necesario almacenar las llaves en un único lugar y que se puede acceder a ellas desde cualquier lugar del mundo, las 24 horas del día.

La gestión de claves criptográficas mediante HSM en la nube también ofrece más flexibilidad en términos de escalabilidad.

Las claves pueden crearse y gestionarse dinámicamente para satisfacer las necesidades de la empresa sin necesidad de una gran inversión inicial.

El HSM en la nube también permite compartir fácilmente claves entre distintos departamentos y geografías, lo que simplifica la colaboración y facilita el trabajo conjunto de los equipos.

Por último, la gestión de claves criptográficas mediante HSM en la nube ofrece un mayor control y trazabilidad. Las llaves pueden rastrearse y controlarse para garantizar que se utilizan de acuerdo con las políticas de la empresa.

¿Es la gestión de claves criptográficas en la nube tan segura como los HSM locales?

Cuando se trata de seguridad, la gente tiende a pensar que “lo local siempre es mejor”. Sin embargo, esto no siempre es cierto, especialmente cuando se trata de la gestión de claves criptográficas.

De hecho, muchas organizaciones están descubriendo que el uso de HSM en la nube puede ofrecer más seguridad que los módulos de seguridad locales.

Esto se debe a que los HSM en la nube suelen ser más seguros que los HSM locales. Al fin y al cabo, funcionan en un entorno seguro gestionado por equipos de seguridad muy experimentados.

Además, la gestión de claves criptográficas mediante HSM en la nube suele tener más funciones de seguridad que los módulos de seguridad locales, lo que significa que es menos probable que se pongan en peligro.

Sin embargo, es importante señalar que los HSM en la nube siguen siendo susceptibles de sufrir ataques.

Por lo tanto, las organizaciones deben tomar medidas para proteger sus módulos de seguridad, así como buscar proveedores que ofrezcan sólidas funciones de seguridad.

Thales Data Protection on Demand (DPoD): no sólo seguridad, protección de datos a la carta

Thales Data Protection on Demand es una plataforma basada en la nube que proporciona una amplia gama de servicios de gestión de claves criptográficas utilizando y HSM en la nube a través de un sencillo mercado en línea.

Con la protección de datos bajo demanda (DPoD), la seguridad es más sencilla, rentable y fácil de gestionar, ya que no hay que comprar, implantar ni mantener hardware.

Thales Data Protection on Demand está a un solo clic. Simplemente haga clic y despliegue la protección que su empresa necesita, aprovisione servicios, añada políticas de seguridad y obtenga informes de uso en cuestión de minutos.

Obtenga una seguridad de datos rápida y eficaz

Con Data Protection on Demand, tendrá acceso a una amplia gama de servicios de seguridad con sólo hacer clic e implantar lo que necesite para proteger docenas de aplicaciones y casos de uso.

Así de sencillo.

Inversión inicial cero y precios de pago por uso

No hay hardware ni software que comprar, mantener y actualizar, por lo que no hay gastos de capital.

Además, con los exclusivos precios de pago por crecimiento, tendrá la flexibilidad de adquirir servicios que se adapten a las cambiantes necesidades de su empresa.

Proteja los datos en cualquier lugar y cumpla las normativas

Con DPoD, puede proteger los datos confidenciales en cualquier entorno, en la nube, híbrido o local, para gestionar sus políticas de seguridad y cumplir los requisitos normativos y de conformidad. Proteja los datos que crea, almacena y analiza.

Habilite sus aplicaciones con criptografía: Blockchain, Nube e Internet de las Cosas.

Centralizar la gestión de claves criptográficas en todas las nubes

Data Protection on Demand es independiente de la nube, por lo que tanto si utiliza Salesforce.com, Amazon Web Services, Google, IBM y Microsoft Azure como una combinación de soluciones en la nube y locales, siempre tendrá el control de la gestión de las claves de cifrado.

Integración sencilla con sus servicios de nube, híbridos y de TI

Data Protection on Demand viene con API preconfiguradas que facilitan la integración de Luna Cloud HSM y los servicios de gestión de claves criptográficas para proteger sus aplicaciones y datos.

Con la migración de claves sin problemas entre los servicios Luna Cloud HSM y los dispositivos Luna HSM locales, Thales ayuda a los clientes a garantizar que sus datos y las claves de esos datos estén seguros.

Esto es válido independientemente de dónde resida su información. Además, la empresa admite la integración de HSM de terceros, compatibilidad con SDK y API comunes y acceso de grupo de alta disponibilidad para dispositivos Luna locales y servicios DPoD.

Escalabilidad y elasticidad infinitas

Amplíe o reduzca los servicios de gestión de claves criptográficas y HSM a medida que cambien sus necesidades. Puede ampliar fácilmente las capacidades de gestión de claves y las funciones de cifrado de HSM híbrido y en la nube sin limitaciones.

Céntrese en su negocio

No en la gestión de hardware y software de seguridad. Descubra cómo la colaboración entre Eval y Thales puede ayudar a su empresa.

Utilice Data Protection on Demand y no tendrá que adquirir, aprovisionar, configurar y mantener hardware y software para sus necesidades de HSM y gestión de claves criptográficas.

Todo el hardware físico, el software y la infraestructura están gestionados por la asociación oficial existente entre Eval y Thales, incluido un SLA, para que usted pueda centrarse en su negocio.

Desplegamos y gestionamos servicios de módulos de gestión de claves criptográficas y seguridad de hardware, bajo demanda y en la nube.

Céntrese en los servicios, no en el hardware;
Implantes en minutos, no en días;
Compre sólo lo que necesite y reduzca costes;
Protege los datos en cualquier lugar;
Informes y visibilidad en tiempo real;
Se integra fácilmente con las aplicaciones, la infraestructura y los servicios informáticos existentes.

Data Protection on Demand (DPoD) ha ampliado sus capacidades de servicio para incluir servicios de seguridad dirigidos por socios, ampliando el valor de la amplia gama de integraciones de Thales Luna HSM en todo el ecosistema de seguridad.

Con la protección de datos a la carta, Eval y Thales pueden ofrecer servicios de cifrado y gestión de claves de forma rápida y sencilla.

Eval Professional Services cuenta con un equipo de profesionales especializados con las mejores prácticas del mercado

Benefíciese de nuestros años de experiencia y conocimientos en materia de seguridad de la información y cumplimiento de la Ley General de Protección de Datos (LGPD).

Seremos su socio para la realización de proyectos de digitalización respetando las normas de seguridad y protección de datos.

Compartimos nuestra experiencia en todos los flujos empresariales de las instituciones sanitarias para ayudarle a minimizar los riesgos, maximizar el rendimiento y garantizar la protección de datos que esperan sus pacientes y socios.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004, ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas DPoD, Gestión de claves criptográficas, gestión de llaves, HSM en la nube, Protección de datos a petición de Thales

Protección de datos

Gestión de claves criptográficas: aprenda a protegerse

Autor de la entrada Por Editorial Eval
Fecha de la entrada 27 de noviembre de 2019

El módulo de seguridad de hardware (HSM) es básicamente un dispositivo físico que proporciona seguridad adicional para los datos sensibles. Este tipo de dispositivo se utiliza para encargarse de la gestión de claves criptográficas para funciones críticas como el cifrado, el descifrado y la autenticación para el uso de aplicaciones, identidades y bases de datos.

Las empresas pueden utilizar un HSM para proteger secretos comerciales de gran valor. Esto garantiza que sólo las personas autorizadas puedan acceder al dispositivo y utilizar la clave almacenada en él.

Responsable de la realización de operaciones criptográficas y de la gestión de claves criptográficas

Las soluciones HSM están diseñadas para cumplir las estrictas normas gubernamentales y reglamentarias, y suelen disponer de sólidos controles de acceso y modelos de privilegios basados en funciones.

Diseñado específicamente para operaciones criptográficas rápidas y resistente a la manipulación lógica y física, adoptar un HSM es la forma más segura de realizar la gestión de claves criptográficas. Sin embargo, su uso no es tan práctico y requiere software adicional.

El uso de HSM debería ser una práctica habitual para cualquier organización altamente regulada, evitando así que estas empresas pierdan negocio de clientes como los sistemas gubernamentales, financieros y sanitarios, que exigen fuertes controles de protección para todos los datos considerados sensibles en sus operaciones.

También es importante que las empresas adopten, como parte de sus estrategias, el cuidado de no correr riesgos por falta de la protección necesaria, lo que puede empañar la imagen de la organización.

Mejores prácticas y usos del HSM

El uso de HSM puede proporcionar un rendimiento criptográfico mejorado y dar lugar a una arquitectura más segura y eficiente para su empresa.

El HSM se convierte en un componente vital de una arquitectura de seguridad, que no sólo minimiza los riesgos empresariales, sino que también consigue un rendimiento de vanguardia en las operaciones criptográficas.

Algunas de las mejores prácticas y casos de uso de los HSM utilizados por los principales profesionales de la seguridad son los siguientes:

Almacenamiento de claves de autoridad de certificación

La seguridad de las claves de las autoridades de certificación (CA) es fundamental en una infraestructura de clave pública (PKI). Si una clave CA se ve comprometida, la seguridad de toda la infraestructura está en peligro.

Las claves CA se almacenan principalmente en HSM dedicados para proporcionar protección contra la manipulación y la divulgación frente a entidades no autorizadas. Esto puede hacerse incluso para las CA internas.

Almacenamiento y gestión de claves de aplicaciones

La criptografía, considerada esencial en muchas empresas, también se ve favorecida por el potente rendimiento de los HSM, que hacen un trabajo increíble para minimizar el impacto en el rendimiento del uso de criptografía asimétrica (criptografía de clave pública), ya que están optimizados para los algoritmos de cifrado.

Un ejemplo paradigmático es el cifrado de bases de datos, donde no se puede tolerar una alta latencia por transacción. Pero no olvides cifrar sólo lo necesario, para que tu solución no pierda tiempo con información no sensible.

Operaciones criptográficas

A veces, las operaciones de cifrado requieren mucho tiempo y pueden ralentizar las aplicaciones. Los HSM disponen de potentes procesadores criptográficos dedicados que pueden realizar simultáneamente miles de operaciones criptográficas.

Pueden utilizarse eficazmente descargando las operaciones criptográficas de los servidores de aplicaciones.

Auditoría completa, registro y autorización de usuarios

Los HSM deben llevar un registro de las operaciones criptográficas, como la gestión de claves, el cifrado, el descifrado, la firma digital y el hash, según la fecha y hora en que se realizó la operación. El proceso de registro de acontecimientos implica la autenticidad y protección de la fuente temporal.

La modificación de la interfaz de configuración de fecha y hora requiere una autenticación fuerte mediante una tarjeta inteligente o al menos dos personas que sancionen o autoricen esta tarea.

Destrucción de llaves en caso de ataques

Los HSM cumplen estrictos requisitos de seguridad. El contenido más importante para un HSM son las claves. En caso de ataque físico o lógico, restablecen o borran todas tus claves para que no caigan en malas manos.

El HSM debe “ponerse a cero”, borrando todos los datos sensibles si detecta cualquier manipulación indebida. Esto impide que un atacante que haya accedido al dispositivo pueda acceder a las claves protegidas.

El ciclo de vida completo de las llaves

El NIST, Instituto Nacional de Normas y Tecnología, organismo no reglamentario del Departamento de Comercio de Estados Unidos, define el ciclo de vida de las claves de cifrado en 4 etapas principales de funcionamiento: preoperativa, operativa, postoperativa y supresión, y exige que, entre otras cosas, se defina un periodo de cifrado operativo para cada clave. Para más detalles, pulse aquí y consulte de la página 84 a la 110.

Por lo tanto, un periodo criptográfico es el “intervalo de tiempo durante el cual se autoriza el uso de una clave específica”.

Además, el periodo criptográfico se determina combinando el tiempo estimado durante el cual se aplicará el cifrado a los datos, incluido el periodo de uso y el periodo en el que se descifrarán para su uso.

Cifrado a largo plazo

Pero al fin y al cabo, como es razonable que una organización quiera cifrar y descifrar los mismos datos durante años y años, pueden entrar en juego otros factores a la hora de considerar el periodo criptográfico:

Por ejemplo, puede limitarlo a:

Cantidad de información protegida por una clave determinada;
Cantidad de exposición si una sola clave se ve comprometida;
Tiempo disponible para intentos de acceso físico, procedimental y lógico;
Plazo en el que la información puede verse comprometida por divulgación involuntaria.

Esto puede resumirse en algunas preguntas clave:

¿Durante cuánto tiempo se utilizarán los datos?
¿Cómo se utilizan los datos?
¿Cuántos datos hay?
¿Cuál es la sensibilidad de los datos?
¿Cuánto daño se causará si se exponen los datos o se pierden las claves?

Por tanto, la regla general es: a medida que aumenta la sensibilidad de los datos protegidos, disminuye la vida útil de una clave de cifrado.

De esto se deduce que su clave de cifrado puede tener una vida activa más corta que el acceso de un usuario autorizado a los datos. Esto significa que tendrás que archivar las claves desactivadas y utilizarlas sólo para descifrar.

Una vez que los datos han sido descifrados por la clave antigua, serán cifrados por la clave nueva y, con el tiempo, la clave antigua dejará de utilizarse para cifrar/descifrar datos y podrá ser eliminada.

Gestión del ciclo de vida de las claves criptográficas mediante HSM

A menudo se ha dicho que la parte más difícil de la criptografía es la gestión de claves. Esto se debe a que la disciplina de la criptografía es una ciencia madura en la que se han abordado la mayoría de las cuestiones importantes.

Por otra parte, la gestión de claves se considera reciente, sujeta al diseño y las preferencias individuales más que a hechos objetivos.

Un excelente ejemplo de ello son los enfoques tan diversos que han adoptado los fabricantes de HSM para implantar su gestión de claves, que finalmente condujeron al desarrollo de otra línea de productos, Ciphertrust. Tiene muchas características de los HSM y otras que son únicas, como la anonimización y la autorización.

Sin embargo, ha habido muchos casos en los que los fabricantes de HSM han permitido que algunas prácticas inseguras pasaran desapercibidas, dando lugar a vulnerabilidades que han comprometido el ciclo de vida de las claves criptográficas.

Por lo tanto, a la hora de buscar un HSM para gestionar el ciclo de vida completo, seguro y de uso general, es esencial inspeccionar aquellos que cuenten con excelentes referencias de clientes, larga vida de implantación y certificaciones de calidad.

HSM en pocas palabras

En resumen, un HSM suele ser un servidor con distintos niveles de protección de seguridad o simplemente “protección” que evita infracciones o pérdidas. Podemos resumirlo así:

A prueba de manipulaciones: adición de revestimientos o precintos a prueba de manipulaciones en los cerrojos o pestillos de todas las tapas o puertas desmontables.
A prueba de manipulaciones: añadir un “circuito de detección/respuesta a manipulaciones” que borre todos los datos sensibles.
A prueba de manipulaciones: endurecimiento completo del módulo con tornillos y cerraduras a prueba de manipulaciones, junto con el “circuito de detección/respuesta a manipulaciones” de mayor sensibilidad que borra todos los datos sensibles.

Al trasladar muchas organizaciones parte o la totalidad de sus operaciones a la nube, también ha surgido la necesidad de trasladar su seguridad a esta arquitectura.

La buena noticia es que muchos de los principales fabricantes de HSM han desarrollado soluciones para instalar HSM tradicionales en entornos de nube.

Por lo tanto, se aplicarán los mismos niveles de “protección” que con un HSM tradicional en un entorno de nube.

Obtenga más información sobre el uso de HSM en la gestión de claves criptográficas en nuestro blog y descubra cómo aplicar eficazmente la tecnología de cifrado en su organización poniéndose en contacto con los expertos de Eval.

Estaremos encantados de responder a sus preguntas y ayudarle a definir las mejores formas de proteger su organización contra la fuga y el robo de datos.

Acerca de Eval

A Eval está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a Lei Geral de Proteção de Dados (LGPD). Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Etiquetas encriptación, gestión de llaves, HSM, Módulo de seguridad de hardware

Protección de datos

Cifrado y criptografía: 10 entradas que debe leer

Autor de la entrada Por Editorial Eval
Fecha de la entrada 26 de junio de 2019

Los conceptos que subyacen a la aparición de la criptografía son bastante sencillos. Sin embargo, saber aprovechar las ventajas de esta tecnología y evitar escollos en la gestión de su empresa son otras cuestiones.

La criptografía es una evolución y una alternativa a las técnicas y métodos contra los ciberataques y el robo de datos. Sigue evolucionando junto con los avances tecnológicos. Al fin y al cabo, están surgiendo nuevas soluciones y cada vez más empresas recurren al cifrado para garantizar la privacidad y la protección.

No hace mucho, la industria definía la criptografía como el método por el cual un texto plano, o cualquier otro tipo de datos, se convierte de un formato legible a una versión codificada que sólo puede ser descodificada por otra entidad que tenga acceso a una clave de descifrado.

Esta definición se ha ampliado y cambiado en los últimos años, ya que empresas como Eval han entrado en el mercado con productos que ofrecen avances en cifrado y soluciones prácticas.

Así, la innovación fue más allá de los objetivos principales de la encriptación. Como actualmente tiene varios beneficios. Entre ellas figuran, por ejemplo: la reducción de costes, el aumento de la productividad y la gestión estratégica para distintos tipos de empresas, independientemente de su tamaño o segmento.

Los artículos del blog de Eval presentan una serie de conceptos y prácticas que los lectores pueden utilizar en las distintas fases del ciclo de adquisición, implantación y gestión. Así podremos ayudarles a aprovechar al máximo las ventajas de la encriptación.

Implantar firmas digitales, adoptar un enfoque centrado en la gestión de documentos o invertir en políticas. Aquí encontrará información que sin duda ayudará a su empresa en su búsqueda de una protección de datos eficaz.

La protección de datos como prioridad

Antes de empezar nuestra lista, es importante destacar las consecuencias de la falta de inversión en seguridad y privacidad. Por eso vamos a mostrarle los problemas que causa la falta de protección de datos en su organización.

En este artículo, además de comprender la importancia de la protección de datos a través de nuestra lista de publicaciones, podrá hacerse una idea de los riesgos que corremos actualmente.

Lo cierto es que la protección de datos se ha convertido en una preocupación para instituciones como el Fondo Monetario Internacional (FMI), el propio Gobierno y otras organizaciones que tienen la seguridad de la información como prioridad.

Ahora, ¡vamos con nuestra lista!

La base para comprender la importancia de la criptografía

Básicamente, dividiremos nuestra lista en dos partes. El primero de ellos sirve para sentar las bases y enseñar buenas prácticas relacionadas con el cifrado y la gestión de claves criptográficas.

1. Acerca de la criptografía y la gestión de claves

En el artículo Cifrado de datos y gestión de claves, tratamos aspectos relevantes para la seguridad de la información relacionados con el cifrado.

El objetivo era presentar los fundamentos de la tecnología criptográfica, los servicios criptográficos y, por último, la gestión de claves criptográficas.

También mostramos la importancia de gestionar correctamente las claves criptográficas para programar servicios criptográficos.

2. ¿Por qué gestionar claves criptográficas?

Al fin y al cabo, ¿por qué gestionar claves criptográficas? En este artículo, le mostramos que la gestión significa proteger contra la pérdida, el robo, la corrupción y el acceso no autorizado.

Por lo tanto, la protección de datos no consiste sólo en adoptar el cifrado en los procesos empresariales, la gestión y el intercambio. Al fin y al cabo, hay que gestionar eficazmente todos los elementos relacionados con el uso de la tecnología.

3. ¿Y si se siguen perdiendo las claves de cifrado?

Para quienes no se hayan convencido de la importancia de gestionar las claves criptográficas, o no hayan comprendido el problema de una mala gestión, el artículo La verdad que nadie le contó nunca sobre la pérdida de claves muestra las consecuencias.

4. La búsqueda de la mejor forma de proteger los datos

Hasta ahora, has visto los conceptos, las ventajas de adoptar la criptografía en las empresas y las repercusiones de la gestión de claves criptográficas.

En el artículo “¿Es el cifrado nativo la mejor forma de proteger los datos?”, mostrábamos que las soluciones de gestión de claves empresariales (EKM) en las empresas se han convertido en imprescindibles para cumplir la normativa vigente en el mercado.

Este tipo de solución también permite acceder a otras importantes ventajas en materia de protección de datos para cualquier organización.

5. Datos importantes sobre la criptografía

Para completar la primera parte de nuestra lista, tenemos el artículo Lo que no sabías sobre el software de cifrado. Aclara dudas y muestra puntos importantes sobre este tema, que las empresas y los profesionales suelen desconocer.

Por lo tanto, concluimos esta etapa señalando las cuestiones que no pueden pasarse por alto en un proceso de adopción de tecnología.

El cifrado en la práctica

No tiene sentido la teoría sin la práctica, ¿verdad?

Estos son los casos de éxito que demuestran que el uso de la criptografía es una de las principales formas de garantizar la seguridad de la información y la protección de datos.

Por eso empezamos la segunda entrega de nuestra lista de artículos sobre encriptación.

6. Cuando se aplica el cifrado

En el artículo Lugares en los que usas criptografía y ni siquiera te das cuenta, te mostramos situaciones cotidianas en las que se aplica la tecnología y a menudo ni siquiera lo sabemos.

Un contenido interesante que muestra cómo se aplica con éxito la tecnología, garantizando la privacidad y la protección de datos.

7. La famosa relación entre la criptografía y el mercado financiero

La criptografía se ha dado a conocer por su aplicabilidad en el mercado financiero.

Por eso es justo que nuestra primera historia de éxito aparezca en el artículo ¿Cómo beneficia el cripto al mercado financiero?

8. El cifrado pasa por nuestra tarjeta de crédito

Uno de los puntos más críticos en lo que respecta al robo de datos es el uso indebido de tarjetas de crédito y otras formas de pago que forman parte de nuestra vida cotidiana.

Al final del artículo Cifrado de registros financieros y datos de pago, el lector comprenderá por qué esta tecnología se ha vuelto tan vital para nuestras transacciones financieras e información personal.

9. Sí, el cifrado también está en la comunicación

Este es otro caso que demuestra que la tecnología está en nuestra vida cotidiana y ni siquiera nos damos cuenta.

En el artículo Cifrado para aplicaciones de comunicación: sepa más, el lector se dará cuenta de que la privacidad y la protección de datos pasan por nuestros principales canales de conversación.

Las principales aplicaciones de mensajería ya han adoptado esta tecnología como su principal herramienta de seguridad de datos.

10. Nuestra información se mantiene confidencial mediante el uso de encriptación

Para finalizar nuestra lista de artículos, el contenido Secreto y verificación del origen mediante criptografía asimétrica muestra el caso de aplicación de esta técnica para averiguar la procedencia de un mensaje.

A pesar de ser conceptual, el artículo establece una analogía con una situación real: la importancia de la confidencialidad de la información que compartimos a diario.

¿Qué le ha parecido nuestra lista? ¿Le ha ayudado a comprender los conceptos y la importancia de la codificación en su vida profesional y personal? Siga nuestro blog para obtener más información sobre la tecnología y las novedades de E-VAL.

Acerca de Eval

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Etiquetas encriptación, gestión de llaves, protección de datos

Protección de datos

¿Por qué es importante la gestión de claves de cifrado?

Autor de la entrada Por Editorial Eval
Fecha de la entrada 16 de mayo de 2019

Las empresas mueven cada vez más datos sensibles por Internet y están migrando en gran medida su infraestructura a la nube, en diferentes tipos de modelos de servicio. A medida que esto ocurre, crece la necesidad de utilizar y gestionar claves de cifrado.

Ante esta realidad, los profesionales de la seguridad protegen activamente estos datos con técnicas probadas y contrastadas que se utilizan en diferentes fases del ciclo de productividad de las organizaciones, siempre con el objetivo de garantizar la privacidad.

Sin embargo, la garantía de protección y disponibilidad de los datos puede no ser posible únicamente mediante el uso del cifrado.

Por muy avanzada que sea la tecnología contra las filtraciones de datos, sin una gestión de las claves de cifrado, el riesgo de que la información se filtre o sea robada seguirá siendo alto.

¿Por qué es importante gestionar las claves criptográficas?

Gestión significa proteger las claves criptográficas contra pérdida, robo, corrupción y acceso no autorizado. Entre sus objetivos figuran:

asegurarse de que las llaves se guardan de forma segura;
cambiar las llaves con regularidad;
controlar cómo y a quién se asignan las llaves;
decidir la granularidad de las claves.

En la práctica, la gestión de claves de cifrado implica evaluar si una clave debe utilizarse para todas las cintas de copia de seguridad o si, por el contrario, cada una debe recibir la suya propia, por ejemplo.

Por lo tanto, es necesario garantizar que la clave criptográfica -y todo lo relacionado con ella- esté debidamente controlada y protegida. Así que no puedes dejar de pensar en la gestión.

Si todo no está debidamente protegido y gestionado, es como tener una cerradura de última generación en la puerta de casa pero dejar la llave debajo del felpudo.

Para aclarar la importancia de la gestión de claves criptográficas, basta con recordar los cuatro objetivos de la criptografía: confidencialidad, integridad, autenticación y no repudio. Esto significa que podemos proteger la información personal y los datos confidenciales de la empresa.

De hecho, no tiene sentido utilizar una tecnología que garantice la seguridad de los datos sin una gestión eficaz.

Gestionar las claves de cifrado es un reto, pero no imposible

De hecho, gestionar claves criptográficas no es tan sencillo como llamar a un cerrajero. Tampoco puedes escribir las claves en un papel. Hay que facilitar el acceso al menor número de personas posible y garantizar que sea restringido.

El éxito de la gestión criptográfica en el mundo empresarial requiere buenas prácticas en varios frentes.

En primer lugar, debes elegir el algoritmo de cifrado y el tamaño de clave adecuados para confiar en tu seguridad.

A continuación, debe garantizar que la aplicación de la estrategia de cifrado de la empresa cumple las normas establecidas para este algoritmo. Esto significa estar homologado por una autoridad certificadora reconocida – en el caso de Brasil, las homologadas por el ITI dentro del ICP-Brasil.

Por último, debe garantizar una gestión eficaz de las claves de cifrado, asociada a políticas y procesos de seguridad que puedan certificar un uso productivo de la tecnología.

Para tener mayor confianza en su estrategia de gestión de claves de cifrado, las primeras preguntas que debe hacerse son las siguientes:

¿dónde se guardan las claves de cifrado?
¿a quién pertenecen?

Muchos servicios de gestión conservan claves privadas en la capa de servicio, por lo que sus datos pueden ser accesibles para los administradores de esta actividad. Esto es estupendo para la disponibilidad, pero no para la confidencialidad.

Así pues, como ocurre con cualquier tecnología, la eficacia del cifrado depende totalmente de su aplicación. Si no se hace correctamente o si los componentes utilizados no están debidamente protegidos, corre peligro, al igual que los datos.

/td>

De la creación de políticas a la gestión de claves criptográficas

Un enfoque común para proteger los datos de la empresa mediante la gestión de claves de cifrado consiste en hacer balance, comprender las amenazas y crear una política de seguridad.

Las empresas necesitan saber en qué dispositivos y aplicaciones se puede confiar y cómo se puede aplicar la política entre ellos y en la nube. Todo empieza por saber lo que tienes.

La mayoría de las organizaciones no saben cuántas claves tienen, dónde utilizan el cifrado y qué aplicaciones y dispositivos son realmente fiables. Esto caracteriza innegablemente una falta total de gestión de las claves de cifrado, de los datos y de su estructura.

Sin duda, la parte más importante de un sistema de cifrado es su gestión de claves, sobre todo cuando la organización necesita cifrar una gran cantidad de datos. Esto hace que la infraestructura sea más compleja y desafiante.

Normalizar el proceso es fundamental

La normalización de los productos es fundamental. Al fin y al cabo, incluso una encriptación correctamente implementada significa poco si un atacante entra en la máquina de alguien o si un empleado es deshonesto.

En algunos casos, por ejemplo, el cifrado puede habilitar a un atacante e inutilizar toda la inversión en seguridad, causando daños que van mucho más allá de las pérdidas financieras. Así pues, la normalización es vital para crear políticas y procesos útiles, reduciendo la posibilidad de lagunas que puedan dar lugar a ciberataques y robos de datos.

La encriptación crea realmente más oportunidades de negocio para distintos tipos de empresas, no sólo mitigando problemas como los ciberataques, sino creando un ciclo de acceso a los datos organizado, eficiente y estratégico.

Por último, en tiempos de transformación digital y de tantas disrupciones tecnológicas y de mercado, adoptar la gestión de claves de cifrado es vital para las empresas que buscan un crecimiento sostenible.

Ahora que ya sabe un poco más sobre la gestión de claves criptográficas, manténgase al día sobre este tema a través de nuestra página de LinkedIn.

Acerca de EVAL

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y la Ley General de Protección de Datos (LGPD). En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas claves criptográficas, gestión de llaves

Protección de datos

Criptografía y gestión de claves – Conceptos importantes

Autor de la entrada Por Editorial Eval
Fecha de la entrada 16 de mayo de 2019

El uso de la criptografía y la gestión de claves, así como los servicios criptográficos, son vitales para proteger los datos en reposo o en soportes, una realidad para las empresas y los usuarios de servicios como el almacenamiento en la nube, la mensajería y muchos otros.

Sin embargo, a los responsables de estos servicios se les presentan muchas opciones de mecanismos criptográficos y, en consecuencia, hay que elegir entre muchas opciones.

Las decisiones inadecuadas pueden dar lugar a beneficios escasos o nulos, creando una falsa sensación de seguridad.

Por ejemplo: cifrar una base de datos y guardar la clave criptográfica en un archivo del servidor.

En este artículo pretendemos abordar algunos aspectos relevantes para la seguridad de la información relacionados con las claves criptográficas. Esto mostrará la importancia de su correcta gestión para la programación de servicios criptográficos.

Para facilitar la comprensión, dividiremos el artículo en tres partes. Empezando por los fundamentos de la criptografía, la gestión de claves y los servicios criptográficos.

Conceptos básicos de cifrado de datos

La criptografía es un conjunto de principios utilizados para garantizar la seguridad de la información.

Para ello, utiliza técnicas que transforman una información (cifrado) en otra (criptograma) que sólo pueden leer quienes conocen el secreto (clave secreta).

Al mantener este secreto a salvo, impedimos que personas no autorizadas accedan a la información original (descifrar).

Secreto

La seguridad de los servicios criptográficos se basa en el secreto de la clave criptográfica, que permite cifrar y descifrar, y no en el método de transformación de la información, es decir, el algoritmo utilizado, que debe ser público.

Claves simétricas y asimétricas

En criptografía y gestión de claves hay dos tipos básicos de algoritmos: simétricos y asimétricos. Los primeros utilizan una sola clave para cifrar y descifrar los datos, mientras que los segundos adoptan un par de claves, una para el cifrado y otra para el descifrado.

El siguiente diagrama muestra el uso de una clave simétrica para cifrar un mensaje. Podemos ver que la clave utilizada por John es la misma adoptada por Alice.

Criptografía y gestión de claves y servicios criptográficos - Claves simétricas y asimétricas. — Figura 2 – Algoritmo de clave simétrica

El siguiente diagrama muestra el uso de una clave asimétrica. La clave utilizada por Alice para cifrar es la clave pública de John, y éste utiliza su clave privada para descifrar.

Criptografía, gestión de claves y servicios criptográficos - Algoritmo de clave asimétrica — Figura 3 – Algoritmo de clave asimétrica

Un punto interesante sobre este tipo de algoritmo es que después de cifrar con la clave pública, sólo la clave privada puede descifrar.

Ejemplos de uso de estos algoritmos son una base de datos que utiliza el algoritmo AES (clave simétrica) para cifrar cierta información de la base de datos y la firma digital de documentos mediante el algoritmo RSA (clave asimétrica).

También nos gustaría destacar que el secreto en estos dos tipos de algoritmos reside en proteger la clave simétrica y la clave privada (en el caso de las claves asimétricas).

Por último, otro aspecto es que estos algoritmos son complementarios y sirven de base para programar servicios criptográficos.

Resumen criptográfico y firma digital

En lo que respecta a la criptografía y la gestión de claves, un compendio criptográfico es un valor que representa información. Se genera utilizando un algoritmo, como SHA256, para analizar los datos bit a bit y crea un valor que no puede falsificarse en la práctica.

Criptografía, gestión de claves y servicios criptográficos - Resumen criptográfico — Figura 4 – Resumen criptográfico

Sin embargo, el resumen criptográfico no puede utilizarse por sí solo, ya que aunque no puede falsificarse, sí puede sustituirse.

Así, para ser utilizado en la práctica, el resumen criptográfico se cifra con la clave privada (asimétrica), generando una firma digital.

De este modo, cualquiera que tenga la clave pública puede generar el resumen criptográfico y compararlo con el de la firma digital.

A continuación, puede comprobar si los datos son válidos. Acciones fundamentales en criptografía y gestión de claves.

Criptografía, gestión de claves y servicios criptográficos - Firma digital — Figura 5 – Firma digital

Tomemos como ejemplo SHA256 con RSA. Utiliza el algoritmo de resumen SHA256 y el algoritmo de cifrado RSA para generar la firma digital. Sin embargo, esto sigue sin ser suficiente, ya que no tenemos forma de identificar a quién pertenece una clave pública concreta.

Esto requiere un nuevo elemento: el certificado digital.

El certificado digital consiste básicamente en información textual que identifica a una entidad (persona, empresa o servidor), una clave pública y un propósito de uso. Tiene una firma digital.

Es importante tener en cuenta que el certificado digital debe estar firmado por un tercero de confianza (autoridad de certificación digital).

Así que introdujimos el concepto de relación de confianza. Según él, si confiamos en la entidad A y ésta confía en la entidad B, entonces nosotros también confiamos en B.

Con esto concluyen los conceptos básicos de la criptografía. En la siguiente sección, hablaremos de los servicios criptográficos que pueden crearse a partir de ellos.

Servicios criptográficos

Como parte del ciclo de vida de la criptografía y la gestión de claves, se utilizan mecanismos criptográficos básicos como el cifrado simétrico y el resumen criptográfico para respaldar los servicios de confidencialidad, integridad, autorización e irrecuperabilidad o no repudio.

Esto significa que un mecanismo criptográfico puede utilizarse para dar soporte a varios servicios. También es importante que los servicios criptográficos se utilicen conjuntamente para garantizar la seguridad.

A continuación describiremos brevemente los servicios criptográficos básicos:

Confidencialidad

Este servicio garantiza la confidencialidad de los datos mediante el cifrado y la gestión de claves. También garantiza que la información no pueda ser vista por terceros y que sólo tengan acceso a ella las personas autorizadas. Fundamentos de la criptografía y la gestión de claves.

Algunos ejemplos son el cifrado de archivos, sistemas de archivos y bases de datos con claves simétricas. También tenemos información cifrada con la clave pública del certificado, de modo que sólo pueden abrir la información quienes tengan la clave privada correspondiente.

Integridad

El servicio de integridad debe garantizar que una determinada información no se modifica de forma no autorizada tras su creación, durante su transmisión o almacenamiento.

Tanto si el cambio es accidental como intencionado, la inserción, eliminación o sustitución de datos debe detectarse. Mecanismos criptográficos como el resumen criptográfico, también conocido como hash, y la firma digital proporcionan el soporte para este servicio.

Autenticación

El servicio de autenticación verifica la identidad de un usuario o sistema que solicita autorización para acceder a la información.

La firma digital es un mecanismo criptográfico generalmente utilizado para dar soporte a este servicio, ya que la identificación de la persona ya ha sido validada antes de la emisión del certificado digital, bien por una Autoridad de Certificación ICP-Brasil de confianza o por otra en la que confíe la organización, como una Autoridad de Certificación Interna.

En las Autoridades Certificadoras ICP-Brasil, es en el proceso de emisión del certificado digital que la persona necesita asistir a una validación presencial, con documentos originales que comprueben la identidad del solicitante.

Irretractabilidad

El servicio de irretractabilidad proporciona los medios para garantizar que quien haya creado la información no pueda negar su autenticidad.

En este sentido, está vinculada a la firma digital, en la que el propietario de la clave privada no puede negar que la ha tenido para un fin determinado.

Con esto concluye la descripción de los servicios criptográficos. En la siguiente sección, presentaremos los principales factores a tener en cuenta en la gestión de claves: criptografía y gestión de claves.

Autorización

Además, tras la autenticación, es posible utilizar la información del usuario autenticado en el sistema para definir la autorización de la información. El servicio de autorización proporciona aprobación o permiso para la ejecución de una actividad.

A modo de ejemplo, el servicio de autorización puede emplearse para definir los permisos de uso de una clave criptográfica que, en consecuencia, permitiría acceder a una determinada información.

Gestión de claves criptográficas

Las claves criptográficas son la base de la criptografía y la gestión de claves, y en ellas reside la seguridad de los datos cifrados. Las brechas pueden llevar a comprometer las claves y, en consecuencia, a la filtración de información sensible.

El aumento del uso de la encriptación para la protección de datos, debido principalmente a las normativas gubernamentales, hace que las empresas tengan que lidiar con múltiples soluciones de encriptación.

Debido a la diversidad de proveedores, las organizaciones también necesitan definir diversos procedimientos para gestionar las claves criptográficas, y éstos no siempre son adecuados.

La gestión de claves criptográficas consiste en almacenar, proteger, organizar y garantizar el uso adecuado de las claves criptográficas, gestionar su ciclo de vida y mantener copias de seguridad de forma segura y coherente.

A la hora de gestionar las claves, debemos tener en cuenta algunos puntos, que describiremos a continuación:

Almacenamiento seguro de llaves

Las claves deben almacenarse de forma segura, es decir, cifradas y con acceso controlado.

El cifrado debe realizarse preferentemente mediante claves (KEK) protegidas en hardware criptográfico.

Identificación de las llaves

Debe ser posible identificar una llave, su tipo, su finalidad, quién está autorizado a utilizarla y el periodo de uso.

Autenticación y autorización de usuarios

El uso de claves criptográficas sólo debe permitirse una vez identificado el usuario.

Por lo tanto, para gestionar correctamente las claves, el sistema debe proporcionar mecanismos de autenticación y autorización o permitir la integración con los sistemas existentes, como Active Directory de Microsoft.

Ciclo de vida de las claves criptográficas

El ciclo de vida de las claves criptográficas debe controlarse para que se utilicen correctamente durante su periodo de validez, es decir, que sólo las personas o sistemas autorizados puedan utilizarlas durante un periodo de tiempo predefinido y con mecanismos seguros para que no se vean comprometidas.

Describiremos el ciclo de vida de las claves, según la recomendación del NIST.

El ciclo de vida de una clave comienza con su generación y termina con su destrucción, pasando por uno o varios de los estados que se describen a continuación:

Generación: momento en que se crea la clave y aún no está lista para su uso;
Preactivación: la clave se ha generado, pero aún no está lista para su uso porque se está a la espera del periodo de uso o de la emisión de un certificado;
Activada: la llave está disponible para su uso;
Suspendido: el uso de la clave se suspende temporalmente. En este estado, ya no puede realizar operaciones de cifrado o firma, pero puede utilizarse para la recuperación de datos o la verificación de firmas realizadas previamente.
Inactivada: la clave ya no puede utilizarse para el cifrado o la firma digital, pero se conserva para procesar los datos cifrados o firmados antes de la inactivación.
Comprometida: indica que la clave ha visto afectada su seguridad y ya no puede utilizarse en operaciones criptográficas (cifrado y gestión de claves). En algunos casos, como las claves simétricas, puede utilizarse para recuperar los datos cifrados para cifrarlos posteriormente con otra clave.
Destruida: este estado indica que una clave ya no es necesaria. La destrucción de la clave es la etapa final y puede lograrse debido al fin del ciclo de uso de la clave o al compromiso de su seguridad.

Copia de seguridad de claves criptográficas

La función principal de las copias de seguridad es garantizar la recuperación de las claves y, en consecuencia, de los datos cifrados en caso de pérdida o fallo.

Al igual que las llaves, que deben guardarse de forma segura durante su uso, las copias de seguridad también deben protegerse.

Pueden almacenarse en archivos cifrados o en equipos criptográficos adecuados para este fin, que deben guardarse en lugares seguros.

Acerca de Eval

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y la Ley General de Protección de Datos (LGPD). En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel. Eval, la seguridad es un valor.

Etiquetas encriptación, encriptación de datos, gestión de llaves

Protección de datos

Gestión de claves con criptografía, ¿cómo proteger los datos?

Autor de la entrada Por Editorial Eval
Fecha de la entrada 28 de enero de 2019

En los últimos años, los proveedores del mercado de almacenamiento de datos han empezado a prestar más atención al uso del Protocolo de Interoperabilidad de Gestión de Claves (KMIP) en sus soluciones de integración con gestores de claves de cifrado.

Hay dos razones principales para ello. La necesidad de cumplir la normativa de protección de datos es una razón importante.

Las soluciones de gestión de claves empresariales (EKM) también aportan ventajas a las empresas.

Averigüe cuáles son estos beneficios a lo largo del artículo.

Aplicación de buenas prácticas en seguridad de la información

La definición de lo que es adecuado o suficiente para cumplir las exigencias normativas sobre protección de datos varía mucho de una empresa a otra.

Muchas soluciones ofrecen asistencia interna para la gestión de claves con cifrado. Dependiendo del contexto, esto puede ser suficiente.

Sin embargo, la adopción de este modelo podría poner en peligro la seguridad de los datos. Al fin y al cabo, hay que tener en cuenta que la clave de cifrado encargada de protegerlos está integrada en la propia solución de almacenamiento.

Es más, es habitual encontrar escenarios con diferentes proveedores de soluciones de almacenamiento, en los que cada uno programa sus propios modelos de gestión de claves con cifrado.

Esto puede dar lugar a errores humanos y poner en peligro la disponibilidad de los datos en caso de una operación de cifrado fallida.

El uso de una solución externa de gestión de claves proporciona una adecuada segregación de funciones. También ofrece un modelo normalizado para todos los procesos de encriptación.

Además, estas soluciones suelen ofrecer certificaciones internacionales para la aplicación de algoritmos de cifrado. Esto impide, por ejemplo, el uso de algoritmos o tamaños de clave considerados débiles.

En la web de Owasp puedes encontrar una guía de criptografía muy interesante, en la que se desaconseja el uso de los algoritmos hash MD-5, SHA-0, SHA-1 y el algoritmo de criptografía simétrica DES.

Además, las soluciones de gestión de claves con cifrado pueden acoplarse a equipos diseñados para ofrecer protección con un alto nivel de seguridad.

Por ejemplo, los módulos seguros de hardware (HSM) y la gestión de claves empresariales(EKM). La protección se centraliza así para todos los sistemas de almacenamiento de datos de la organización.

Gestión eficiente de claves con criptografía

Normalmente, las soluciones que ofrecen funciones de cifrado no se preocupan por el ciclo de vida de una clave. Por tanto, ignoran, por ejemplo, la validez, la activación, la desactivación, el intercambio con conservación de procesos ya encriptados y la destrucción.

Utilizar la misma clave de cifrado durante mucho tiempo es inadecuado. Al fin y al cabo, esto pone en peligro la seguridad en caso de fuga de datos.

Una solución de gestión no sólo proporciona los requisitos necesarios para todo el ciclo de vida de la llave. Al fin y al cabo, también presenta estas funciones en una interfaz fácil de usar desde una consola centralizada.

Incluso define perfiles de acceso basados en la integración con una base de datos LDAP (Lightweight Directory Access Protocol).

Flexibilidad de implementación y Gestión de claves con criptografía

La decisión de mantener las aplicaciones en su propia infraestructura o migrar a un centro de datos externo depende de varios factores.

Si la solución de gestión de claves con cifrado está acoplada al sistema de almacenamiento, la decisión de mantenerlo internamente o migrar a la nube debe tenerlo en cuenta.

Posibilidad de generar informes de auditoría durante la gestión de claves con cifrado

Para estos casos, es necesario ofrecer información con un alto nivel de confianza y acceso a las claves. De este modo, deberá detallar quién accedió, la hora del suceso y el éxito o fracaso de la operación.

Además, los mecanismos de alerta pueden notificar al personal si surgen problemas con el equipo de gestión de llaves u otros dispositivos que se comunican con el administrador.

Una de las principales ventajas de una solución externa de gestión de claves es su capacidad para mejorar los informes de auditoría.

Intentar demostrar a un auditor de cumplimiento externo que las claves están a salvo, son seguras y tienen fuertes controles de acceso sería mucho más difícil con el almacenamiento nativo, especialmente si hay más de una solución. Esto también requería que todos los sistemas fueran auditados individualmente.

Segregación de perfiles

Los sistemas externos de gestión de claves pueden definir permisos para los administradores y usuarios que utilizarán las claves.

Un ejemplo común de esto es la posibilidad de permitir a un administrador crear una clave, pero no poder utilizarla para cifrar o descifrar utilizando atributos de usuario LDAP o Active Directory (AD).

Normalmente, la criptografía propia de los sistemas no tiene este nivel de granularidad en las funciones administrativas. En consecuencia, el administrador del almacenamiento también es responsable de la clave.

Variedad de sistemas en los que pueden almacenarse datos sensibles

Desde CRMs, Sistemas de Archivos, Máquinas Virtuales, bases de datos estructuradas o no estructuradas, existe la posibilidad de que haya información que necesite ser encriptada para evitar su exposición en caso de una brecha de seguridad.

La gestión de claves cifradas, con capacidad para integrarse con protocolos abiertos, ofrece los recursos necesarios para atender a una amplia gama de entornos.

Existen al menos cuatro perspectivas que pueden abordarse en relación con la ubicación de los datos que deben protegerse: sistema de archivos, sistema operativo, base de datos y memoria.

El esfuerzo para aplicar el cifrado aumenta en este orden y supera la complejidad, teniendo en cuenta la variedad de entornos y sistemas en el flujo de extremo a extremo de los datos que hay que proteger.

Como te habrás dado cuenta, el cifrado nativo no es necesariamente la mejor forma de proteger los datos. Si aún tienes preguntas al respecto, déjalas en los comentarios. Estaremos encantados de responder a sus preguntas.

Sobre a Eval

Eval lleva más de 18 años desarrollando proyectos en los segmentos financiero, sanitario, educativo e industrial. Desde 2004, ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Las soluciones y servicios de Eval cumplen las normas reglamentarias más exigentes de organismos públicos y privados, como SBIS, ITI, PCI DSS y la Ley General de Protección de Datos (LGPD). En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas EKM, encriptación de datos, encriptación nativa, gestión de llaves, HSM

Protección de datos

¿Es realmente un reto gestionar adecuadamente las claves?

Autor de la entrada Por Editorial Eval
Fecha de la entrada 28 de enero de 2019

La protección de datos lleva a las empresas a implantar diversas soluciones de cifrado. En este sentido, un aspecto que no puede pasarse por alto es la necesidad de una gestión adecuada de las claves.

Esto se debe principalmente al uso generalizado del cifrado como resultado de los requisitos de gobernanza y cumplimiento de la normativa. Esto demuestra que hemos avanzado en materia de protección de datos, pero deja al descubierto el gran reto de la gestión de claves.

Al fin y al cabo, es habitual gestionar las claves en hojas de cálculo de Excel, lo que puede suponer un riesgo importante para las organizaciones, ya que la pérdida de control o incluso la pérdida de las claves criptográficas puede hacer que la empresa pierda sus datos.

Principales retos de una correcta gestión de claves

La gestión es vital para el uso eficaz del cifrado. La pérdida o corrupción de claves puede provocar la pérdida de acceso a los sistemas e inutilizarlos por completo.

La gestión adecuada de las claves es un reto que aumenta con el tamaño y la complejidad del entorno. Cuanto mayor sea su base de usuarios, más difícil será gestionarla eficazmente.

Algunos de los mayores retos son:

Formación y aceptación de los usuarios

A los usuarios no les gustan los cambios. Aunque en realidad no forman parte del proceso de gestión de claves, no aceptarlas puede ser un gran impedimento para el éxito de un proyecto.

Por lo tanto, es necesario mapear el impacto de la adopción y el uso de la criptografía en su ciclo de producción y las dificultades para recuperar o restablecer claves o contraseñas.

Escuchar las opiniones de los usuarios y desarrollar la formación adecuada para abordar sus preocupaciones o dificultades específicas. Desarrollar puntos de referencia del sistema para comprobar el rendimiento antes y después de implantar el producto.

En otras palabras, gestionar las expectativas de los usuarios.

Administración del sistema, mantenimiento y recuperación de claves

Estos problemas pueden tener un gran impacto en la organización y deben tratarse con el proveedor antes de comprarlos. A escala empresarial, la gestión manual de claves es sencillamente inviable.

Lo ideal sería que la gestión se integrara con la infraestructura existente, al tiempo que facilitara la administración, entrega y recuperación de claves seguras.

La recuperación es un proceso fundamental, especialmente en situaciones como la de un empleado que abandona la organización sin el debido retorno o cuando una llave está dañada y ya no puede utilizarse. También debería ser un proceso sencillo pero muy seguro.

En una correcta gestión de claves, el procedimiento de generación debe estar restringido a una sola persona. En la práctica, tenemos, por ejemplo, un proceso de producto que permite dividir una clave de recuperación en varias partes.

A partir de ahí, las partes individuales de la clave de recuperación pueden distribuirse a diferentes agentes de seguridad. Los propietarios deben estar presentes cuando se utilice. Este proceso es sencillo pero seguro, porque requiere que varias partes vuelvan a crear la clave.

Además, las contraseñas olvidadas pueden tener un impacto adicional en el equipo de asistencia. Así que el proceso no sólo debe ser sencillo, sino también flexible. Hay que tener en cuenta tanto a los empleados remotos y fuera de la red como a los internos. En este caso, la recuperación remota de claves es un recurso indispensable.

Buenas prácticas para una correcta gestión de claves

Cuando se enfrentan a problemas de gestión de claves, ¿a quién pueden pedir ayuda las organizaciones?

Los aspectos específicos de la gestión adecuada de claves se tratan en gran medida en el software criptográfico, donde las normas y las mejores prácticas están bien establecidas.

Además, como el Instituto Nacional de Normas y Tecnología (NIST) y la Infraestructura Brasileña de Clave Pública (ICP-Brasil), se desarrollan normas para organismos gubernamentales que pueden aplicarse en cualquier comunidad empresarial. Suele ser un buen punto de partida a la hora de hablar de productos encriptados con sus proveedores.

Mientras tanto, aquí tienes algunas buenas prácticas del sector para empezar:

La facilidad de uso y la escalabilidad de una gestión adecuada de las claves corporativas deben ser el objetivo principal a la hora de analizar los productos. La capacidad de aprovechar los activos existentes debe desempeñar un papel importante en la toma de decisiones. La integración con un entorno de autenticación reducirá los costes y eliminará la necesidad de sistemas redundantes;

La autenticación de dos factores es una medida de seguridad necesaria para las organizaciones financieras. Debido al aumento de la potencia de procesamiento y las capacidades de los ordenadores actuales, la solidez de las contraseñas por sí sola ya no es suficiente.

Control y formación

La gestión significa proteger las claves de cifrado de pérdidas, corrupción y acceso no autorizado. Por eso, al final de los procedimientos y técnicas aplicados al proceso de gestión, hay que asegurarse:

Que las llaves estén a buen recaudo;

Que se sometan a procedimientos de cambio periódicos;

Esa gestión incluye a quién se asignan las llaves.

Una vez controladas las claves existentes, hay que aplicar estrictamente las políticas y procesos de aprovisionamiento, supervisión, auditoría y cierre. Por eso, el uso de herramientas automatizadas puede aliviar enormemente la carga de responsabilidades.

Por último, los profesionales de la seguridad de la información, de las infraestructuras, de las bases de datos, desarrolladores y otros profesionales que necesiten utilizar claves de cifrado deben recibir formación, ya que la falta de concienciación sobre los riesgos de los fallos de protección es uno de los principales factores de los problemas.

Si no hay control sobre el acceso, no habrá seguridad.

Para obtener más consejos sobre la correcta gestión de claves y otros temas más estratégicos para la seguridad de la información y la protección de datos, suscríbase a nuestro boletín y manténgase al día.

Acerca de Eval

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas EKM, gestión de llaves, lgpd, Política de ciberseguridad, Política de gestión de claves, protección de datos

Protección de datos

Pérdida de llaves y la verdad que nadie te contó

Autor de la entrada Por Editorial Eval
Fecha de la entrada 1 de junio de 2018

Hoy en día, el robo de datos y los requisitos de cumplimiento de la normativa han provocado un aumento espectacular del uso de claves de cifrado en las empresas. Esto también provocó una incidencia de pérdida de llaves debido a la mala gestión de estos activos.

Es muy habitual, por ejemplo, que una misma empresa utilice varias decenas de herramientas de cifrado diferentes. Posiblemente estas herramientas sean incompatibles, lo que da lugar a miles de claves de cifrado.

¿Cómo evitar la pérdida de llaves?

En un mundo perfecto, la gestión de claves criptográficas se encarga de la administración, protección, almacenamiento y copia de seguridad de las claves de cifrado.

Al fin y al cabo, todas las llaves deben almacenarse, protegerse y recuperarse de forma segura. Sin embargo, la realidad es otra y usted debe saber bien cómo acaba esta historia de la pérdida de llaves.

La importancia de almacenar y hacer copias de seguridad de las claves de cifrado

La gestión de claves significa proteger las claves de cifrado de pérdidas y accesos no autorizados.

Para controlar y gestionar las claves hay que recurrir a numerosos procesos. Esto incluye cambiar las llaves con regularidad, gestionar cómo se asignan las llaves y quién las recibe.

La experiencia nos demuestra que la pérdida de claves tiene un gran impacto en importantes procesos de negocio de las empresas. Esto provoca la pérdida de acceso a sistemas y datos, además de inutilizar por completo un sistema a menos que se formatee y se reinstale por completo.

Cabe señalar que, en la actualidad, es esencial que cualquier empresa cuente con más de una persona responsable de almacenar y realizar copias de seguridad de las claves de cifrado.

De este modo, nos dirigimos a diversas buenas prácticas del mercado. Por ejemplo, hemos definido las funciones de los responsables y creado una política eficaz de gestión de claves de cifrado accesible a todos.

Sin embargo, hay un gran reto por delante. Uno de los grandes problemas conocidos es la falta de herramientas unificadas para reducir la sobrecarga de gestión.

Un sistema de gestión de claves comprado a un proveedor no puede gestionar las claves de otro proveedor. Esto se debe a que cada uno aplica un mecanismo de gestión a su manera.

Probablemente esté recordando algunos hechos relacionados con la falta de almacenamiento eficiente. Incluidos los casos de pérdida de llaves y las repercusiones para la empresa.

La pérdida de claves expone datos de personas y empresas

La pérdida o exposición de claves de cifrado nunca será una buena experiencia. Imaginemos, por ejemplo, que un desarrollador almacena accidentalmente claves en un repositorio público.

Por desgracia, este escenario es probable, puede ocurrir fácilmente para cualquier tipo de claves de cifrado y en diferentes empresas.

Alguien podría enviar accidentalmente las claves en un código fuente o en cualquier envío de archivos o conjuntos de datos.

Ya sea en la nube o en centros de datos propios, las empresas necesitan crear una estrategia de gestión que evite la pérdida de claves y/o una exposición indebida.

Como hemos visto, las llaves deben guardarse de forma segura y con acceso limitado a quienes las necesiten para trabajar. Por eso algunas empresas utilizan aplicaciones de protección contra la pérdida de claves.

Sirven para comprobar el tráfico de red en busca de fugas de datos. Así como detectar la divulgación accidental o malintencionada de información confidencial o privada.

No sólo una mala gestión de las claves puede poner en peligro los servidores. Pero además, si se pierden las claves utilizadas para cifrar los datos, también se perderán los datos cifrados con esa clave.

Por lo tanto, no hay sustituto para la gestión de claves de cifrado.

Situaciones habituales que provocan la pérdida de claves criptográficas

Al tratarse de algo relativamente complejo para determinados empleados de las empresas, cabe imaginar que la pérdida de llaves no se produce con tanta frecuencia. Sin embargo, hay situaciones muy comunes en nuestras rutinas que nos llevan a escenarios de pérdida de llaves:

El poseedor de la llave olvida la contraseña para acceder a ella;
El empleado responsable de las llaves no recuerda dónde las guardó;
El gestor tiene una enorme cantidad de llaves que gestionar;
El responsable de las claves abandona la organización y quien se queda acaba teniendo un problema de gestión importante.

La importancia de las claves criptográficas es obvia para los profesionales de la seguridad de la información. Pero la complejidad de su gestión puede ser casi tan desalentadora como la de los propios algoritmos de cifrado.

Todo se reduce a lo importante que es para las empresas controlar las claves

En primer lugar, es importante ver qué es una firma digital y cómo funciona.

Una firma digital es el equivalente de una firma escrita. Su finalidad puede ser verificar la autenticidad de un documento o comprobar que el remitente es quien dice ser.

Esto nos muestra la importancia de las claves de cifrado en los procesos productivos, así como el impacto que genera la pérdida de claves en las rutinas de empresas de diferentes segmentos o tamaños.

El principal coste de la pérdida de claves es la gestión del riesgo. Esto se debe a que se centrará principalmente en convertir a las empresas en objetivo de sofisticados ataques virtuales, lo que provocará pérdidas no sólo económicas, sino también relacionadas con la imagen de la organización.

Una de las prácticas más recomendadas para reducir los incidentes relacionados con ciberataques es realizar auditorías. Esto se debe a que esta práctica ayuda a identificar si las teclas se están utilizando de forma correcta.

Este proceso consiste en auditar la criptografía de clave pública para identificar fuentes y dispositivos vulnerables, desde tokens hasta certificados TLS.

Las estrategias de mitigación disponibles de los proveedores pueden entonces revisarse y aplicarse según las prioridades basadas en el riesgo.

La solución a todos los problemas es…

No faltan orientaciones sobre cómo gestionar las identidades digitales y cómo identificar la mejor opción para su empresa, todo depende del entorno actual y de los recursos disponibles.

Aunque utilizar una política de gestión más estricta puede ser la opción más segura, también puede acarrear costes significativos. Las empresas deben centrarse en la mejora continua. Además, puede ayudarle a gestionar sus riesgos a un precio compatible con su realidad.

Las empresas deben evaluar críticamente cómo protegen sus sistemas. También deben considerar las causas profundas de los incidentes de seguridad en sus entornos como parte de una evaluación de riesgos.

Es frecuente, por ejemplo, que se produzcan varios incidentes de seguridad relacionados con cuentas comprometidas. Principalmente como consecuencia de la falta de gestión correcta de las claves de cifrado.

A medida que los sistemas se vuelven más seguros y las empresas adoptan medidas eficaces para gestionar sus procesos. Conviene recordar que iniciativas como la autenticación y la gestión de claves son cada vez más importantes.

Es importante asegurarse de que su empresa utiliza los procesos de autenticación y autorización adecuados. Esto requiere el uso de claves criptográficas basadas en la gestión de riesgos.

Al fin y al cabo, ya es el primer paso para reducir los riesgos de incidentes y garantizar la confidencialidad de los datos de clientes y empleados.

Aproveche el final de nuestro artículo y responda a la siguiente pregunta: ¿Cuál es la estrategia de gestión de claves de cifrado adoptada actualmente por su empresa?

Suscríbase a nuestro boletín y manténgase al día de las novedades y tecnologías de EVAL. Siga nuestro contenido en el blog y también en nuestro perfil de Linkedin.

Acerca de Eval

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.

Etiquetas claves criptográficas, encriptación, gestión de llaves

Protección de datos

Chief Data Officers: ¿por qué son vitales para las empresas?

Autor de la entrada Por Editorial Eval
Fecha de la entrada 30 de enero de 2018

Con la creciente importancia de la gestión de datos, la protección de datos y la competencia analítica, los directores generales están probando distintos métodos para ayudar a sus empresas a afrontar los retos. Es entonces cuando los Chief Data Officers marcan la diferencia.

Un enfoque común es añadir un nuevo puesto, el de Director de Datos (CDO), capaz de abordar los retos de la gestión, integración y utilización de datos.

Qué es y por qué el puesto de Director de Datos?

Hay que retroceder en el tiempo para comprender de dónde surgió la necesidad de la CDO. Con la llegada de Internet, todo el mundo tenía información sobre todo, y la información creció exponencialmente.

Aunque la información ofrece muchas ventajas, hay que crear la infraestructura adecuada para captar los datos. Hay que poder acceder a los datos, extraerlos y convertirlos en información.

Así nació el Chief Data Officer como un intento de crear un puente entre los líderes funcionales que necesitan información en tiempo real y el departamento de TI.

En un mundo perfecto, los responsables funcionales de la empresa(operaciones de ventas, RRHH, marketing) serían los “propietarios” de su información. El CDO investigaría las plataformas y la seguridad, y luego crearía un entorno que permitiera a cada usuario funcional acceder a la información que necesitara.

Los Chief Data Officers son más eficaces cuando existe un sistema informático que permite al usuario final realizar análisis fuera del sistema. El papel consiste entonces en encontrar la plataforma de BI adecuada.

Así podrá transformar los datos en información, con el objetivo de democratizar los “datos”.

Estos profesionales explotan el análisis de datos para apoyar mejoras operativas en TI, marketing, gestión de riesgos, cumplimiento, producción y finanzas, así como para apoyar la generación de ingresos digitales.

¿Para qué empresas son los CDO?

Las primeras empresas que adoptaron la figura del Chief Data Officer fueron las del segmento B2C, debido a la enorme cantidad de datos que gestionaban.

En consecuencia, este tipo de función existe sobre todo en empresas de la lista Fortune 1000 o en empresas nuevas que son más progresistas. Las entidades más grandes suelen poder absorber el gasto adicional que supone contratar una CDO.

Teniendo en cuenta que el Chief Data Officer es un alto ejecutivo responsable de las estrategias de información de la empresa, la gobernanza, el control, el desarrollo de políticas y la explotación efectiva, tendrá por tanto una gran relevancia en las organizaciones contemporáneas.

En resumen, la función del CDO combinará la responsabilidad de la protección y privacidad de la información, la gobernanza de la información, la calidad de los datos y la gestión del ciclo de vida de los datos, junto con la explotación de los activos de datos para crear valor empresarial.

¿Existe rivalidad entre el CDO y el CIO?

La pregunta es muy común, pero la rivalidad no debería existir, teniendo en cuenta que realizan actividades diferentes.

El Director de Datos desempeña las funciones de gestión de riesgos, cumplimiento, gestión de políticas y función empresarial. De este modo, dirige la estrategia de información y análisis, sirviendo a un propósito comercial.

Por otro lado, los CIO deben gestionar los recursos y las organizaciones de TI, las infraestructuras, las aplicaciones y las personas implicadas en el área.

En esencia, el CDO es como un “pegamento” entre la estrategia de datos y las métricas.

Profesional en la práctica: caso de éxito

Mark Gambill, CMO de MicroStrategy, habla de una empresa B2C del Medio Oeste de Estados Unidos que tenía problemas para gestionar datos en ubicaciones remotas.

Querían asegurarse de que los datos estuvieran disponibles en lugares remotos porque eso les daba más control. Sin embargo, la organización se enfrentó a algunos problemas importantes:

Três armazéns diferentes;
Grupos usando diferentes ferramentas de automação;
Diferentes bancos de dados que abrigavam diferentes dados;
Direitos diferentes aos dados.

El Director de Datos vino y lo mezcló todo para garantizar la eficacia del sistema. Unificaron los datos y crearon las normas y la gobernanza adecuadas.

Esto ha dado lugar a un entorno más controlado para gestionar y compartir información crítica, como los indicadores clave de rendimiento. Con este sistema, el CDO se aseguró de que las personas adecuadas tuvieran acceso a los datos correctos en sus propios ordenadores, sin necesidad de pedir al equipo informático que los obtuviera.

Acerca de Eval

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Etiquetas CDO, Director de Datos, gestión de llaves, protección de datos

Posts recentes

Comentários

Arquivos

Categorias

Dónde estamos

Rua Paulistânia, nº 381, 2º andar,
Sumarezinho
São Paulo - SP,
CÓDIGO POSTAL:05440-000

Contacte con

(11) 3670 - 3825
(11) 3865 - 1124
[email protected]

Copyright © 2022, EVAL TECNOLOGIA EM INFORMÁTICA. Todos los derechos reservados - CNPJ 05.278.889/0001-97