Llegamos a ustedes gracias a:



Reportajes y análisis

Nuevos estándares de encriptación de discos

¿Complicarán la recuperación de datos?

[02/02/2009] Cuando los mayores fabricantes de disco del mundo se reunieron la semana pasada para anunciar un único estándar para la encriptación de unidades de disco, los usuarios se plantearon algunas preguntas acerca de cómo trabajarían con el cifrado de disco completo, dado que es inherente a una computadora de escritorio o a una portátil.

Por ejemplo, ¿qué ocurriría si un usuario pierde su contraseña, dejando una unidad llena de data que ya no podrá ser descifrada? O ¿qué sucedería si una unidad se corrompe o se daña y los datos deben ser recuperados por un tercero, y además, si la contraseña está en dicha unidad?
"Entonces acaba de ahorcarse a sí mismo", señaló Dave Hill, analista de la firma de investigación de la Mesabi Group.
El Grupo de Computación Confiable (Trusted Computing Group, TCG), conformado por proveedores de hardware y de software de discos, publicó la semana pasada tres especificaciones de codificación para cubrir los dispositivos de almacenamiento en computadoras portátiles y en las computadoras de escritorio, así como las unidades de clase empresarial utilizadas en servidores y arrays de almacenamiento en disco.
Algunos observadores de la industria creen que en un plazo de cinco años, todos los fabricantes de discos duros ofrecerán unidades, tanto de disco duro como de disco de estado sólido, que utilizarán las especificaciones para la encriptación en base a firmware.
Mientras que las compañías utilizan drives con encriptación completa del disco, como el modelo Momentus 5400.2 de Seagate, los usuarios de equipos de computadoras o portátiles con unidades se enfrentan a un escenario más difícil. Necesitarán una copia de seguridad de sus datos y su contraseña, o perderán la unidad y los datos.
Robert Thibadeau, jefe técnico de Seagate Technology y presidente de la TCG, señaló que las actuales especificaciones de encriptación del disco permiten a los usuarios crear más de una contraseña para acceder a los datos, de modo que si un usuario pierde una, todavía le es posible acceder a su disco duro con una copia de seguridad de la contraseña.
"Además, con algunos ajustes a la contraseña, se puede proporcionar una contraseña que permite formatear, de manera que la unidad esté de nuevo en uso, pero los datos ya no estarán", señaló Thibadeau.
Si una unidad se corrompiera o el hardware se dañara, y se necesite una empresa o especialista en recuperación de datos, para recobrar la data de un disco del usuario, Thibadeau acotó que la empresa podría utilizar la recuperación de la contraseña para recobrar los datos desde el hardware dañado. El TCG también está trabajando con empresas de recuperación de datos para crear una técnica que les permita la recuperación de datos cifrados en las unidades, utilizando las normas, sin necesidad de una contraseña de usuario.
Actualmente, sin embargo, si un usuario pierde su contraseña y una unidad se daña o se corrompe, los datos no son recuperables, admite Thibadeau.
David Virkler, CIO de AdaptaSoft Inc., empresa desarrolladora de software de planillas y servicios, señaló que la administración de las unidades con cifrado basado en hardware es fácil y que no ha visto ninguna desaceleración en las actividades de I/O. Virkler instaló la unidad de auto-encriptación de Seagate 2.5-in. Momentus 5400.2 en octubre del 2007 en las portátiles Dell su empresa, con el fin de proteger la data financiera de sus clientes con la que su compañía trabaja. Él pagó una prima de 40 dólares por cada auto-encriptación de la unidad, gastando un aproximado de 120 dólares para cada unidad de 80 GB.
Si bien la instalación fue fácil, admite que si una empresa no tiene políticas, y un servidor de dominio y directorio activo, entonces sería "dolorosa" su implementación. "Tendría entonces que gestionar cada portátil por separado", acotó.
En AdaptaSoft, Virkler estableció una política al momento de la implantación, que advertía a los trabajadores de no mantener sus datos críticos en sus portátiles, sino que les exhortó a que siempre usaran las unidades de red de la compañía en cuanto a la información con la más alta prioridad, en caso de fallas en la unidad. "Si la portátil se bloquea, no gastaré mucha energía para tenerla de vuelta. Me imagino también que las opciones de recuperación de los datos serían casi imposibles", mencionó
Virkler manifestó que ahora él está interesado en el uso de auto-encriptación de unidades en su centro de datos, pero no estaba del todo seguro de cómo trabajarían, ya que también corre software de Citrix y de virtualización.
Más preocupaciones
Ken Waring, Director de TI en CBI Health en Toronto, señaló que su organización necesita encriptación en sus unidades para proteger la información del paciente, pero también está preocupado por las nuevas tecnologías, incluida la normalización de la encriptación de disco completo y los problemas que podría crear.
Pero, como Waring mencionó, "es todavía un millón de veces mucho mejor que no tener nada. Y, como negocio, solo puedes tomar lo que está disponible para mi."
Dave Hill, un analista de Mesabi Group, manifiesta su conformidad al decir que no solo los datos del disco encriptado están seguros si el equipo es robado o se pierde, sino que la tecnología también ayuda a la empresa a adecuarse a las leyes estatales, como por ejemplo el mandato de California, sobre la notificación de violación de datos. Esta ley exige a las empresas notificar al público cuando las unidades sin encriptar se pierden o son robadas
CBI Health es una red nacional de más de 135 comunidades y sedes hospitalarias médicas de rehabilitación y de atención de salud. Hace tres años, Waring cambió las portátiles Lenovo por Dell para obtener el cifrado basado en hardware, en sustitución de un producto basado en el cifrado basado en software que encontró difícil de administrar y no confiable. A Waring le pareció que las unidades encriptadas con el software a veces se auto-desencriptaban,- dejando la data susceptible a robos. Y "hemos experimentado cinco fallas debido a la encriptación de software, pero ninguna falla debido a la de hardware", señaló.
Hoy en día, 90 de las 200 computadoras portátiles de CBI Health usan las unidades con el cifrado de disco completo original de Momentus de Seagate. Los demás usuarios migrarán a las unidades de Seagate cuando sean reemplazadas al final de su ciclo de vida, señaló el ejecutivo. CBI Health utiliza la interface de administración de encriptación Embassy Suite de Wave Systems para monitorear sus unidades encriptadas, incluyendo el almacenamiento de contraseñas.
Waring comprende las preocupaciones acerca de perder contraseñas o unidades dañadas, pero menciona que el software de Wave permite a CBI Health mantener una única contraseña para acceder a las unidades encriptadas, en caso de que un usuario pierda su contraseña. Además, Waring conserva una copia de seguridad de todas las unidades, de modo que si una se daña, los datos no se pierden.
"Nuestra empresa, en su conjunto, está tratando de fortalecer cada elemento de su arquitectura. Pensamos que era prudente empezar por donde éramos más vulnerables: los dispositivos móviles que la gente deja en sus automóviles o en sus hogares", señaló.
Lucas Mearian, Computerworld USA