Encriptación: protege los datos de tu negocio y de tus clientes
Encriptación: protege los datos de tu negocio y de tus clientes
Índice de Contenido
Origen de la encriptación: La Criptografía
En paralelo a la evolución de la comunicación humana, ha ido evolucionando la necesidad de mantener el secreto de la misma, así como la de validar la autenticidad del remitente. En este sentido, el primer método de criptografía conocido, data del siglo V antes de Cristo. Los métodos antiguos de encriptación se basaban fundamentalmente en transponer y sustituir caracteres utilizando claves.
En la actualidad, y sin que seamos plenamente conscientes de ello, la criptografía moderna, desarrollada durante el siglo XX, está muy presente en nuestro día a día: nuestras conversaciones por teléfono móvil van cifradas, las consultas que hacemos a google, van cifradas, nuestro navegador valida que el destinatario de nuestras consultas a los sitios web profesionales son realmente las empresas que pensamos que son (se autentifican los web site mediante certificados digitales precargados en los navegadores). Nuestras compras en comercio electrónico van autenticadas y cifradas. Los chips de nuestras tarjetas de crédito, que utilizamos a diario, utilizan sofisticados métodos criptográficos.
A grandes rasgos, la criptografía satisface las necesidades de confidencialidad, integridad, autenticación y no rechazo de los datos generados en la actividad digital humana. Esto va mucho más allá de simplemente encriptar mensajes y se podría considerar la base matemática para los “notarios digitales” que nos proporcionan identidades digitales, autentican nuestras operaciones, y garantizan que nuestros mensajes electrónicos no son manipulados. Desde la irrupción a gran escala de Internet, las técnicas de la criptografía moderna han tenido un uso masivo y una evolución constante. La última aplicación a gran escala ha sido con las criptomonedas y blockchain, que usan las mismas técnicas.
Las necesidades a nivel empresarial son las mismas, todos necesitamos en nuestras empresas confidencialidad, integridad, autenticación y no rechazo para nuestra información y ciertas operaciones sobre ella. Esto es así tanto para poder trabajar en nuestro día a día, como para proteger nuestra propiedad intelectual, cumplir con regulaciones, ser eficientes en el registro de nuestras transacciones.
En los siguientes puntos analizaremos necesidades, casuísticas y buenas prácticas en materia de criptografía en el mundo empresarial.
La criptografía, elemento esencial en el mundo digital, día a día de las empresas y ciberseguridad
Las buenas prácticas en lo relativo a estas necesidades se describen en el dominio 10 (criptografía) del anexo A de la ISO27001, norma de referencia en gestión de Seguridad de la Información.
Adicionalmente, otra buena práctica, debido a la progresiva digitalización, es aplicar metodologías de “Gobierno de Datos” en nuestras empresas, para saber gestionar su ciclo de vida, clasificar los datos según su nivel de confidencialidad, y aplicar las medidas de seguridad correspondientes a la clasificación realizada.
Aplicando una gestión y medidas técnicas adecuadas, nos protegeremos contra los riesgos internos y externos en lo que respecta a nuestra información. En el caso de ciberataques, están a la orden del día las filtraciones de datos, antes de que los hackers los cifren, para disponer de una palanca adicional para el pago del ransomware por parte de las empresas: multa GDPR por parte del regulador por la brecha de datos. Una solución a estas brechas, es que nuestra información esté cifrada por nosotros, y le sea inútil a los hackers.
Agrupando de manera simplificada, las necesidades empresariales en lo que respecta a criptografía se podrían agrupar en dos: las relativas a encriptación, y las relativas a autenticación:
Encriptación: la encriptación o cifrado, es la manera más efectiva de proteger nuestra propiedad intelectual, garantizar que nuestros empleados no tienen acceso a información que no les corresponde conocer, que en caso de las tan frecuentes brechas de datos debidas a fallos de ciberseguridad, el impacto sea mínimo, así como cumplir con regulaciones en lo relacionado a privacidad de datos personales (GDPR,etc,…) tan vigentes hoy en dia.
Para determinar las técnicas de encriptación a utilizar, hay que tener en cuenta los tres estados en que se pueden encontrar los datos digitales:
- Datos almacenados: aquellos datos que están almacenados, en cualquier medio, o en cloud. Estos datos no están siendo transmitidos ni utilizados. Se pueden encriptar con ciertas aplicaciones de manera sencilla, carpetas enteras, y también se pueden encriptar individualmente, de manera más sencilla aún ficheros individuales. Por ejemplo en el caso de Microsoft Office, basta con aplicar una contraseña al documento para que este se encripte con un algoritmo robusto.
- Datos en tránsito: los datos que están siendo transmitidos desde nuestra red a otra red, como por ejemplo internet, red de un cliente o proveedor,etc. Se suelen encriptar con SSL en el caso de utilizar un navegador web o con VPN cuando se interconectan diversas redes.
- Datos en uso: son datos que están siendo procesados por aplicaciones, visualizadas por usuarios, … y cargados como copias en la memoria de ciertos dispositivos. Estos datos son los más difíciles de encriptar y son susceptibles a ataques sofisticados. ¿Sabías que aunque apagues el ordenador, la información permanece en la memoria durante un tiempo y que es posible recuperarla si es posible acceder físicamente a la memoria?. Estas técnicas son utilizadas con frecuencia por expertos tecnológicos de la Policía, por ejemplo.
Cuando se habla de encriptación, aparece la necesidad de gestionar las claves de encriptación. Hoy en día existen diferentes técnicas y herramientas para ello, y con la proliferación de diferentes claves, es un tema a formalizar y procedimentar en las empresas. Una solución eficaz es utilizar contenedores de claves, on premise o en cloud para almacenarlas, y gestionarlas, dando permisos de visualización y uso a los empleados que corresponda, etc, …
Una recomendación importante es la creación de “Data Vaults” o repositorios centralizados securizados con nuestra información más confidencial.
Autenticación: ¿quien no dispone hoy en día de identidades y certificados digitales?. La autenticación, firma digital, etc, … de las operaciones on line son efectuadas continuamente en nuestro día a día, sin que muchas veces tengamos una gestión empresarial adecuada al respecto: custodia de las identidades, los certificados y sus PIN, renovaciones y expiraciones, delegaciones de firma, … De manera similar a las claves, tenemos que hacer una gestión adecuada de nuestras identidades y certificados digitales. Numerosos accesos indebidos y brechas de datos son causadas por ausencia de gestión de estos aspectos tan importantes.
Mejora los usos de la criptografía en tu empresa
Cada vez hay más datos y más brechas de datos, suplantación de identidades…, bien por errores no malintencionados de empleados de las empresas o bien por acciones malintencionadas de empleados o hackers. También ha crecido mucho el espionaje industrial, y los requerimientos regulatorios, y por ello las empresas han de tener y aplicar políticas de encriptación de la información más relevante. Afortunadamente, la encriptación es una actividad “madura” y existen en el mercado numerosos servicios y soluciones técnicas que resuelven muy bien las diferentes necesidades en esta materia.
En primer lugar se recomienda incluir los datos como elemento estratégico dentro del gobierno de las empresas, establecer medidas organizativas, objetivos, políticas, responsables, etc., para su tratamiento y seguridad. Un error frecuente es considerar únicamente los aspectos técnicos.
En segundo lugar, se recomienda aplicar las medidas técnicas para la consecución de los objetivos establecidos.
Como medidas técnicas, las más habituales son:
- Segmentación de las redes y centralización de los datos más valiosos y copias de seguridad en redes aisladas y securizadas.
- Usar herramientas de cifrado fuera del sistema operativo para las carpetas más confidenciales.
- Utilizar contraseñas en los documentos ofimáticos importantes.
- Utilizar aplicaciones de gestión de claves, identidades y certificados digitales.
- Utilizar VPNs en las interconexiones de nuestras redes con las de proveedores o clientes.
- Garantizar el uso de SSL en todos los sitios visitados por los navegadores Web.