Llegamos a ustedes gracias a:



Reportajes y análisis

Diez consejos de cifrado para la empresa

[18/10/2013] Ya sea que esté protegiendo los datos corporativos de fugas internas, hackers que buscan robarle su dinero y el de sus clientes, espías extranjeros, su propio gobierno, o empleados que dejan accidentalmente sus computadoras portátiles en un taxi, el cifrado es la herramienta más popular.
Pero un cifrado mal hecho puede ser peor que la falta de encriptación en absoluto, ya que le da una falsa sensación de seguridad. Estos son algunos consejos para hacer un cifrado correcto.
Consejo 1: Utilice el cifrado más potente que pueda
Si los datos tienen que ser protegidos a toda costa, utilice algoritmos conocidos y probados, además de las claves más largas que pueda gestionar en la práctica. Utilice cifrado basado en hardware para llevarlo a otro nivel. La NSA no es la única organización con supercomputadoras.
Intel es una de varias empresas que trabajan en la expansión de las tecnologías de cifrado basadas en hardware. Mover estos procesos a nivel de hardware puede aumentar las velocidades cuatro veces, señala Jason Kennedy, director de gestión de producto de Intel. "Al acelerar este proceso cuatro veces, está permitiendo que la gente sea capaz de implementar sus procesos corporativos de una manera mucho más eficaz".
Además, el cifrado completo de disco en las computadoras portátiles es menos molesto para los empleados, pues luego son menos propensos a apagarlo. "Estamos tratando de asegurarnos de que la seguridad no se interponga en su camino", asegura Kennedy.
Consejo 2: Mantenga sus claves seguras
Si la encriptación es tan fuerte que ni siquiera un gobierno extranjero con una supercomputadora puede romperlo, entonces se encontrará con un mundo de problemas si pierde las claves de cifrado.
"Mi primer consejo para cualquier persona que empieza a pensar en el cifrado es pensar acerca de las claves", señala Zión Gonen, experto en cifrado y director de estrategia de SafeNet. "Las claves primero, después el cifrado".
Eso significa planificar cómo se generarán las claves con anticipación, cómo se van a almacenar, a quién se le permitirá el acceso, con qué frecuencia serán sustituidas, y cuándo serán eliminadas.
Esto por lo general requiere el uso de la tecnología de gestión de claves, ya que muchas de estas tareas pueden ser difíciles de realizar manualmente, y los errores pueden ser fatales. Y, como ocurre con las contraseñas, no querrá utilizar las mismas claves en todas partes.
"Debe cambiar las claves cada dos años, bajo algunas recomendaciones", señala Mike Fleck, CEO de CipherPoint Software, una empresa de seguridad con sede en Denver. Y no es solo por la razón obvia de no permitir que los hackers le echen mano a la clave para tener acceso a todos sus datos.
"Cuanto mayor es el tamaño de la muestra de los datos cifrados, más oportunidades tendrá un hacker para encontrar patrones en los datos y forzar la clave", agrega.
Consejo 3: Borre claves para borrar datos en la nube de forma permanente
Si su empresa está utilizando la nube para compartir documentos sensibles o para hacer copias de seguridad convenientes, ¿está seguro de que los archivos se han ido realmente al moverlos a la papelera?.
"Uno de nuestros clientes es una empresa legal en línea y sus clientes ponen documentos legales en su servicio en la nube", señala Gonen de SafeNet. "Ellos se preguntaban: 'Si llegamos a eliminar un documento, ¿realmente se borra, o se hacen unas 10 copias de seguridad en algún lugar de la infraestructura de nube y todavía podría existir?' Una forma de demostrar que algo ha sido eliminado es eliminar la clave. Entonces no importa si todavía está en alguna parte".
Consejo 4: Utilice el cifrado para mantener los datos aislados en entornos compartidos
Ya sea que esté utilizando un sistema interno para almacenar datos que no pueden ser mezclados o combinados físicamente, o que comparta una nube pública con otros inquilinos, el cifrado le permite mantener los datos separados lógicamente.
"Si está utilizando la infraestructura compartida -por ejemplo, la banca de consumo y banca corporativa en una nube interna- ¿cómo se crea una separación en un asunto aislado? Puede hacer eso con el cifrado", señala Gonen de SafeNet.
Consejo 5: No guarde las claves junto a los datos
Almacenar las claves de cifrado justo al lado de los datos encriptados es como escribir su PIN en su tarjeta de cajero automático, o como dejar las llaves de la caja fuerte en la cerradura.
Y esto se aplica a los ambientes internos y a la nube. Si un hacker -o un usuario con privilegios, pero traidor- tiene acceso tanto a los datos cifrados como a las claves, entonces todos los esfuerzos han sido en vano. Si los datos se almacenan con un proveedor externo, entonces el riesgo de los piratas informáticos y los empleados desleales se agrava, pues una agencia externa obliga a que el vendedor entregue las claves y los datos. Si mantiene las claves en su poder, los agentes del gobierno todavía pueden presentarse con una orden judicial -pero van a llamar a su puerta, y sabrá qué están buscando.
Un problema es qué hacer cuando, por ejemplo, un administrador de base de datos o sistemas también se encarga del mantenimiento de las claves del sistema. La respuesta, sugiere Sol Cates, director de seguridad de la empresa de seguridad Vormetic, es hacer que un departamento diferente se haga responsable de las claves, las cuales se almacenan en un dispositivo seguro de Vormetric.
"Lo que nuestros clientes tradicionalmente hacen es llevar la gestión de claves a alguna parte de la organización de seguridad", señala Cates. "Y la gestión política está generalmente alineada entre la gestión de los recursos humanos y la seguridad, o la colaboración entre el propietario de la línea de negocio y la seguridad".
"Las claves son transportadas hacia el sistema y se quedan con los datos mientras son utilizadas, por lo que no tiene que volver al dispositivo todo el tiempo", agrega el ejecutivo. "Incluso con los sistemas de carga pesada como las bases de datos, aún puede cumplir con los estándares de rendimiento. Tenemos grandes clientes empresariales, con miles de sistemas que necesitan ser protegidos. Hemos separado y aislado la infraestructura de los datos".
Consejo 6: No renuncie a sus claves
Algunos clientes utilizan el dispositivo de gestión de claves Vormertric en conjunto con las aplicaciones que se ejecutan en las nubes, así, señala Cates. "Lo que ha hecho más atractiva a la nube para muchos de nuestros clientes". Los sistemas de menor escala también están disponibles para otros usos en las nubes públicas.
Si está utilizando la nube para almacenar datos, puede cifrar los datos cuando se apaga, y desencriptarlos cuando los cargue de nuevo. El proveedor de almacenamiento no tiene que ver las claves de cifrado.
Una VPN es otro ejemplo de este enfoque -crea un túnel encriptado entre dos empresas, o entre una empresa o sus empleados, con el cifrado y el descifrado teniendo lugar en los end points.
Consejo 7: La función de conservación de cifrado puede ser útil, pero puede tener un precio
Es posible cifrar los datos de tal manera que aún es capaz de ordenarlos o buscarlos sin descifrar todo primero. Esto puede ser un truco útil si, por ejemplo, está utilizando una aplicación basada en la nube como el correo electrónico alojado. Será capaz de encontrar los mensajes de correo electrónico que necesita sin tener que darle las claves al proveedor, mediante el cifrado y descifrado de forma local, a través de un proxy.
Sin embargo, hay dos posibles problemas con este enfoque. Uno de ellos es que mientras más funcionalidad conserve un método de cifrado, será menos seguro. El riesgo adicional puede ser menor, y puede estar bien para algunos tipos de datos, pero es inadecuado para la información realmente sensible.
El segundo problema es que no hay método de cifrado que conserve toda la funcionalidad. Por ejemplo, un corrector ortográfico no va a funcionar. Para abordar esta cuestión, los desarrolladores necesitan construir esa funcionalidad en el propio proxy. Esto significa que está perdiendo una de las ventajas de utilizar una aplicación basada en la nube -acceso fácil e instantáneo a las nuevas características. En cambio, cuando el proveedor de la nube lanza una nueva característica, los usuarios tienen que esperar a que la función se añada al proxy. Además, los proxis tienen que ser desarrolladas para cada aplicación individual por separado, lo que puede ser muy caro.
Como resultado, solo las aplicaciones en línea más populares, y más grandes -como Salesforce y el producto alojado de Microsoft, Exchange- tienen proxis disponibles en el mercado.
Vaultive, con sede en Nueva York, por ejemplo, permite que las empresas utilicen buzones de correo, calendarios, notas y tareas del componente en línea de Office 365 en Exchange, mientras mantiene las claves de cifrado en el local. Las empresas instalan y ejecutan software de proxy de Vaultive y todos los datos que suben a la nube pueden ser cifrados.
"Ellos pueden destruir toda su infraestructura de Exchange y ahorrar un montón de dinero", señala Ben Matzkel, co-fundador de la compañía y director de estrategia. "La aplicación remota podría desempeñar sus funciones contra el texto cifrado, y el resultado sería el mismo que cabría esperar si esa información no hubiera estado encriptada. Funciona para la indexación, la clasificación, la creación de informes, la combinación de datos de diferentes fuentes y su correlación".
Otra funcionalidad es manejada en el propio proxy, incluyendo e-discovery, retenciones legales, el filtrado y la prevención de pérdida de datos, señala el ejecutivo. A continuación, la compañía tiene previsto ponerse a trabajar en otras herramientas en línea disponibles en la nube de Microsoft.
Consejo 8: Considere la posibilidad de encriptar algo más que solo los datos
Si está utilizando una nube pública para ejecutar máquinas virtuales y un hacker obtiene acceso a ella, tendrá ventaja sobre irrumpir en sus datos.
"Si los Aliados no hubieran tenido acceso a la máquina Enigma de los alemanes durante la Segunda Guerra Mundial, nunca hubieran sido capaces de descifrar sus mensajes", señala Gonen de SafeNet. "Usted querrá darle a los hackers la menor cantidad de cosas como sea posible".
Consejo 9: Considere la protección de los empleados sobre la marcha
Incluso si su empresa ya cuenta con una VPN configurada para los usuarios que viajan, no hay que olvidar que los trabajadores también necesitan protección cuando acceden a los sitios personales en Internet. De lo contrario, cuando se está usando Wi-Fi público, los documentos confidenciales de la empresa ubicados en sus computadoras portátiles podrían haber estado expuestos. Varios proveedores ofrecen servicios que encriptan o cifran el tráfico de Internet cuando está en las ondas públicas, descifrarlo cuando alcanza sus servidores, y luego enviarlo de vuelta por los canales normales de Internet. Para mayor seguridad, asegúrese de que el vendedor no supervisa ni guarda el tráfico, y no puede vincular el tráfico con identidades de usuarios del mundo real.
Servicios similares se pueden usar para hacer llamadas Skype desde dispositivos móviles, no solo desde los puntos de acceso público, excepto dentro de los países en los que los gobiernos hostiles pueden estar escuchando las conversaciones locales.
Silent Circle, con sede en Washington, por ejemplo, ha visto un aumento de cinco veces en las ventas desde el comienzo de junio y las fugas de la NSA.
Cuando ambas partes suscriben el mismo servicio, la conversación está cifrada de extremo a extremo. Cuando uno de los puntos finales es un teléfono regular, la conversación se cifra todo el camino a un servidor de Silent Circle, y pasa el resto del camino como una llamada normal.
También hay empresas que encriptarán el tráfico regular de las llamadas de voz y mensajes de texto.
Consejo 10: Si tiene que almacenar las claves con los datos, bloquee las teclas que apretó
Muchas computadoras portátiles están diseñadas para ser autosuficientes. Después de todo, los empleados deben ser capaces de acceder a sus documentos, incluso cuando no tienen una conexión a Internet. Como resultado, las claves para descifrar los datos tienen que ser almacenadas en el propio dispositivo.
Puede hacer que los empleados lleven las claves de cifrado en un dispositivo independiente, como una memoria USB, que se puede utilizar para desbloquear sus computadoras portátiles. O bien, puede ocultar la clave en la propia computadora portátil, pero en un lugar seguro.
"Hay un chip en las computadoras portátiles que manejan el cifrado, pero la mayoría de las aplicaciones no toman ventaja de él", señala Richard Moulds, vicepresidente de estrategia de productos de Thales e-Security. Thales e-Security es una unidad de negocio de Thales Group, una importante compañía francesa aeroespacial de defensa y seguridad.
Microsoft BitLocker es una aplicación que hace uso de estos chips, agrega. "Los hackers, literalmente, tienen que entrar en el chip, y eso haría que obtener acceso a esa clave sería de varios niveles de magnitud más difícil".
Maria Korolov, Network World (EE.UU.)