¡El cifrado en 5 ideas preconcebidas!

ABC del cifrado

El exceso de prejuicios en torno al cifrado impide a las empresas tomar acciónnes. Estas reservas pueden salir caras en caso de filtración y divulgación de datos sensibles. Cinco ideas preconcebidas persistentes…

1. El cifrado es demasiado complicado de implementar

Tarjetas inteligentes, pendrives, infraestructura de claves públicas (PKI), etc. Hasta hace unos años, la complejidad de los procedimientos de cifrado podía desalentar las mejores intenciones

Hoy en día, las soluciones incorporan de manera nativa la gestión de una estrategia de cifrado dentro del sistema de información. No requieren la adición de hardware o servidores, ni tampoco cambios en la organización de los espacios de almacenamiento.

Para proteger los puestos de trabajo, basta con implementar la solución de cifrado en todo el parque, tal como ocurre con otros dispositivos de ciberseguridad.

Esta implementación puede realizarse mediante masterización o utilizando un archivo MSI en el
marco de una estrategia de grupo de usuarios (GPO).

2. Si cifro mis datos, corro el riesgo de no recuperarlos

Otro temor recurrente es la pérdida de datos. Un acto malintencionado, el olvido de una contraseña o la simple salida de un empleado pueden imposibilitar el acceso a la información si no se ha previsto nada para este tipo de riesgos.

La recuperación de los archivos cifrados es, por tanto, una cuestión esencial de vigilancia. Forma parte de la estrategia de recuperación, es decir, el conjunto de medios que permiten acceder a los datos en caso de sucesos graves. Esta estrategia debe definirse de antemano. Los equipos encargados de la seguridad deben disponer de todos los medios de recuperación y de reparación en caso de pérdida de claves, de cambio de personal, de auditoría de cumplimiento o por petición de las autoridades judiciales.

Estas claves de recuperación están protegidas por un medio físico o lógico de pleno derecho y son objeto de un proceso formal.

¿En qué contexto, cómo y quién utiliza los accesos de recuperación?

Se puede colocar una clave de recuperación en la caja fuerte para que sólo determinadas personas puedan utilizarla.

También puede producirse una separación de las funciones. Por ejemplo, en el caso de los datos personales de salud, puede decidirse que la DSI sólo tenga acceso a los datos cifrados, mientras que el servicio médico disponga del código PIN de la tarjeta de recuperación y la dirección disponga de la propia tarjeta, pero sin el código.

3. El rendimiento de las estaciones de trabajo caerá en picado

Otra preocupación es la repercusión del cifrado en el rendimiento de una estación de trabajo (CPU, RAM). ¿Lo ralentizará sustancialmente??

De hecho, las operaciones de cifrado/descifrado de los datos son totalmente imperceptibles. Gracias a una solución de cifrado optimizada de inmediato, el usuario no nota ningún cambio en el rendimiento de su equipo.

4. eL CIFRADO TENDRá DEMASIADAS REPERCUSIONES EN LOS EQUIPOS TI Y LOS USARIOS

Otro prejuicio es que el cifrado supondría una carga de trabajo adicional para los equipos TI que supervisan los entornos de trabajo. Con sus herramientas habituales (GPO), pueden fácilmente establecer las reglas de cifrado de acuerdo con la política de seguridad definida por la empresa.

De hecho, nada cambia para la DSI. ¿La única diferencia? No tiene acceso a los datos en abierto, sólo puede hacerlo el usuario final que tiene la clave. Para este usuario, la solución de cifrado debe ser lo más transparente posible para evitar intentos de elusión.

En nuestro libro blanco « Cómo realizar su proyecto de cifrado: 6 claves para los DSI y los RSSI », insistimos en esta noción de transparencia como prueba de adhesión. Sin embargo, « es muy importante no confundir la transparencia con una posible falta de participación de los usuarios en la filosofía de seguridad. De lo contrario, corren el riesgo de eximirlos de responsabilidad. Por el contrario, se debe recordar que la información que se maneja es confidencial y que, por tanto, existe una responsabilidad de seguridad a nivel de cada persona».

5. No puedo cifrar mis datos sensibles porque no sé dónde están

Con el paso de los años, los datos se acumulan en capas que crean silos en el sistema de información. Si no se sabe exactamente dónde se encuentran los datos críticos, existe la posibilidad de cifrar todos los datos, independientemente de dónde estén guardados.

Después de decirle adiós a la clasificación de los datos sensibles, la empresa empieza con un perímetro restringido y luego amplía la protección a la totalidad de sus activos de información.

En un enfoque sistémico, una política de cifrado debe generalizarse en todo el sistema de información. Afecta el perímetro de la empresa – estaciones de trabajo, servidores, dispositivos extraíbles, etc.-, pero también los recursos en la nube y, especialmente, a los espacios de almacenamiento en línea

¿Y qué hay de esas ideas preconcebidas?

Acabar con los prejuicios sobre el cifrado no es tan difícil. Si todavía tiene dudas o preguntas, en esta infografía Nos enfocamos en los elementos indispensables de un proyecto de cifrado.