Los 5 factores clave del éxito de un proyecto de cifrado

ABC del cifrado

¿Cómo elegir una solución flexible y evolutiva que se adapte a su empresa?

Para ser eficaz, una estrategia de cifrado debe plantearse como un todo: Tan importante es protegerse contra las amenazas externas como dividir el sistema de información y garantizar la protección de los datos de extremo a extremo. 5 reglas sencillas permiten garantizar el éxito del despliegue.

Regla número 1: Definir el alcance inicial del proyecto y prepararse para el futuro

Como en cualquier proyecto de ciberseguridad, debe realizarse un análisis de necesidades y riesgos asociados.

El lema de una política de cifrado debería ser “Encrypt everything, everywhere, and always”.


Cifrarlo todo, dondequiera que se encuentren los datos y en todo momento es la única manera de protegerse de las consecuencias de una fuga de datos.

El cifrado global es el objetivo al que deben aspirar las empresas. No obstante, para lograrlo, hay que avanzar gradualmente y no precipitarse en las etapas.

Cuando se empieza a definir el alcance inicial del proyecto, inmediatamente se piensa en los datos almacenados en los servidores. Las infraestructuras internas contienen datos críticos, que son un activo muy importante tanto para usted como para sus enemigos…

Los puestos de trabajo más accesibles, fijos o móviles, también son un objetivo que no hay que descuidar. Lo mismo se aplica a todos los soportes extraíbles (memorias USB, discos duros) que se utilizan mucho en el teletrabajo.

Los nuevos usos de la informática obligan a los responsables de seguridad a prestar especial atención a los espacios de colaboración SaaS y los servicios de almacenamiento en la nube proponiendo soluciones preventivas fáciles de aplicar por los empleados.

El objetivo del cifrado evolucionará necesariamente con el tiempo, por lo que su solución debe ser flexible y adaptarse a los cambios de perímetro. El planteamiento debe seguir siendo pragmático: empezar con un perímetro restringido y luego ampliar gradualmente el cifrado a otros casos deuso.

Regla número 2: El segmentación de la información, regla básica del cifrado

En la era de la transformación digital se ha vuelto literalmente imposible restringir o incluso prohibir los intercambios. Los sistemas de información están cada vez más abiertos e interconectados, y esta apertura se ha convertido claramente en un motor competitivo.

Los socios y proveedores de servicios ajenos a la organización tienen ahora acceso a los recursos internos, que a su vez se utilizan y alojan externamente, sobre todo en la nube.

En este contexto, el cifrado es la única forma real de gestionar los derechos para entender un archivo, es decir, de gestionar los derechos de lectura y comprensión de la información en una infraestructura de destino que la empresa no controla en su totalidad. Esto es principalmente el caso de las infraestructuras del cloud público.

Sólo el cifrado de extremo a extremo puede garantizar la confidencialidad de los datos sensibles para la empresa.

El cifrado es también una herramienta de conformidad.

Esto puede implicar la obligación de protección de datos personales, tal y como establece el RGPD, pero también el respeto a todas las limitaciones vinculadas a la reglamentación de ciertos sectores o actividades (banca, sanidad, difusión restringida, etc.) El cifrado forma parte de las buenas prácticas recomendadas por la ANSSI (Agencia Nacional Francesa de Seguridad de los Sistemas de Información) para la protección de datos personales. Su aplicación debe llevarse a cabo en colaboración con el DPO.

Segmentar los datos Es necesario priorizar una solución que le aporte los medios para segmentar la información entre los diferentes usuarios, servicios e incluso con respecto a la estructura de TI interna o a posibles actores externos. La solución de cifrado elegida debe ser capaz de soportar una segmentación fina de la información para garantizar la confidencialidad al nivel más preciso posible.

Regla número 3: Elegir el sistema de gestión de claves que mejor se adapte a su empresa

Un criterio importante para la eficacia, pero también para la aceptabilidad del proyecto de cifrado que se vaya a implantar, es la solución de gestión de claves.

¿Hay que elegir una contraseña o un llavero de claves virtual o físico? Hay varios enfoques posibles para almacenar claves de cifrado, y cada una tiene sus ventajas e inconvenientes. Sea cual sea la elección inicial, hay que asegurarse de que la solución de cifrado pueda actualizarse fácilmente de un tipo de clave a otro, sin que ello constituya un riesgo de seguridad.

La tecnología debe permitir pasar de una contraseña a un llavero virtual o viceversa, optar por una clave doble USB, una tarjeta inteligente… o incluso mezclar y combinar sistemas según los grupos de usuarios, las unidades de negocio y las filiales.

Atención: La elección del soporte de la clave debe hacerse en consenso con los futuros usuarios. Esto facilita la aceptación del proyecto y evita cualquier intento de eludirlo.

Por último, es necesario configurar y almacenar lo que se conoce como claves de recuperación. Estas claves, cuyo acceso debe estar estrictamente reservado a unas pocas personas de confianza, sólo pueden utilizarse potencialmente en caso de emergencia. Las claves de recuperación permiten acceder a todos los contenidos encriptados, incluidos los archivos de un empleado que se ha marchado en malos términos o a petición de las autoridades.

En todos los casos, la solución informática adoptada debe permitir a la organización conservar la propiedad de sus datos y poder descifrarlos en cualquier momento. No hay que depender de los usuarios para poder acceder a los datos.

Regla número 4: Prestar atención al archivo de datos y a las copias de seguridad

El aumento de los ataques de cryptolocker, malware que cifra el contenido de los discos de sus víctimas, ha llevado a muchas empresas a reforzar sus sistemas de copia de seguridad de datos.

Se trata de una buena práctica absolutamente esencial, y no se debe permitir que la segmentación criptográfica frene los proyectos de copia de seguridad de datos o bloquee el software de copia de seguridad.

Además de estas copias de seguridad, todas las organizaciones disponen de sistemas de archivo de datos. Para todos estos datos “fríos”, hay dos enfoques posibles:

  • Si usted decide hacer una copia de seguridad no cifrada de sus datos, debe asegurarse de que la herramienta al uso es tan eficaz y segura como una solución de cifrado.
  • También puede elegir hacer una copia de seguridad de los datos que ya han sido cifrados. En este caso, para garantizar que las copias de seguridad puedan ser utilizadas a largo plazo, tendrá que ajustar determinados procesos de copia de seguridad. Las claves utilizadas para cifrar los datos deben conservarse durante mucho tiempo. Esto puede significar conservar el software de cifrado y una máquina con el sistema operativo adecuado para ejecutarlo.

Regla número 5: No descuidar la gestión del cambio

La aceptabilidad debe ser la preocupación número uno del jefe de proyecto que implanta una solución de cifrado. Hay que tener en cuenta las necesidades y limitaciones de los administradores informáticos y los futuros usuarios:

  • en la elaboración de la estrategia;
  • a la hora de elegir una solución;
  • en la selección del soporte de las claves.

En cada una de estas fases, es esencial implicar a los usuarios en el proceso de seguridad. Es imprescindible que los futuros usuarios no identifiquen el cifrado como una limitación o un obstáculo para su trabajo.

Algunas buenas prácticas para fomentar la participación:

  • Paralelamente al proyecto de encriptación debe llevarse a cabo una fase de gestión del cambio;
  • Los responsables deben explicar los requisitos en materia de securización y los riesgos que corre la empresa;
  • El proyecto debe contar con un alto nivel de liderazgo dentro de la organización;
  • El jefe de proyecto es responsable de guiar a los equipos en el uso de estas nuevas herramientas.

Tener en cuenta el know-how inicial es esencial para adaptar el alcance o las herramientas técnicas implementadas en el proyecto.

En este contexto, es importante no olvidar formar al personal de soporte IT en el uso de soluciones de cifrado, cómo gestionar la inevitable pérdida o rotura de las claves de acceso y el impacto global del cifrado en la infraestructura informática, que debe ser mínimo.

2 reglas adicionales 🙂

  1. Implantar una solución de cifrado significa comprobar previamente su compatibilidad con todas las demás soluciones de seguridad existentes en la organización: antivirus, soluciones de integridad de los puesto de trabajo, soluciones de copia de seguridad y recuperación de datos.
  2. La solución elegida debe satisfacer sus necesidades y adaptarse a sus especificaciones, ¡y no al revés! Uno de los principales criterios de selección es que la solución de cifrado sea lo suficientemente completa como para cubrir todas las necesidades de la empresa, sin dejar de ser fácil de usar.

En el contexto actual de inseguridad digital, el cifrado es el último bastión que protege sus datos, incluso en caso de intrusión o exfiltración de datos. Si implantar una solución de cifrado puede parecer un proyecto esencialmente técnico, debe desengañarse. Se trata de una tecnología madura, y gran parte de su esfuerzo debe centrarse en los aspectos organizativos y la gestión del cambio con los futuros usuarios. Contar con ellos es la condición sine qua non del éxito.