Llegamos a ustedes gracias a:



Reportajes y análisis

¿Quién tiene las claves?

La encriptación no es a prueba de balas si las claves y los derechos digitales se quedan a la intemperie. Aquí le mostramos cómo bloquear los datos almacenados.

[26/03/2012] El cifrado puede compensar una larga lista de meteduras de pata de seguridad -desde un mal firewall a un hacker implacable o a una laptop perdida. Una vez que los datos están cifrados, los delincuentes no pueden usarlos o venderlos. Además, si los datos cifrados se pierden, las compañías están protegidas de los requisitos de divulgación en la mayoría de los estados. No es extraño que el 38% de las empresas encuestadas por Forrester Research ya hayan adoptado tecnologías de cifrado para todo el disco. Sin embargo, la protección de datos no se detiene allí. Las claves de cifrado y los derechos digitales también deben ser bien orquestados y asegurados, o la protección de encriptación saldrá por la ventana.
Por ejemplo, las claves de cifrado que se mantienen en un lugar predecible, son como las llaves de la casa dejadas bajo la alfombra de bienvenida: son presa fácil para los intrusos.
En diciembre, el grupo de hackers Anonymous irrumpió en SpecialForces.com, un proveedor de equipos de aplicación de la ley, y se robaron miles de datos de los clientes y números de tarjetas de crédito. Los datos estaban cifrados, por lo que la crisis parecía haber sido evitada. Pero los hackers no se detuvieron allí. Irrumpieron en los servidores de la empresa y se robaron las claves de cifrado. Posteriormente, el grupo filtró aproximadamente 14 mil contraseñas y ocho mil números de tarjetas de crédito de los clientes en su sitio web.
"La mayoría de los métodos de encriptación estandarizados o algoritmos especificados por el Instituto nacional de estándares y tecnología (National Institute of Standards and Technology) son buenos, solo se trata de ponerlos en práctica y cómo hacer la gestión de claves", señala John Kindervag, analista de Forrester Research.
Mientras que muchas compañías han implementado encriptación de disco completo para cumplir con las regulaciones, o para evitar los requisitos de divulgación pública bajo las leyes estatales de privacidad de datos si los datos se pierden o son robados, un número alarmante de las empresas aún no toma precauciones.
Más de la mitad de los 500 profesionales de TI encuestados por Ponemon Institute and Experian Information Solutions en enero, dijeron que sus datos perdidos o robados no estaban cifrados. Los datos perdidos con mayor frecuencia incluyen correo electrónico (citado por 70% de los encuestados), tarjeta de crédito o información bancaria de pagos (45%), y números de Seguro Social (33%). Si la organización fue capaz de determinar la causa de la violación, a menudo se trataba de negligencia de una persona con información privilegiada (34%). Un 19% dijo que los datos de outsourcing a una tercera parte tuvieron la culpa, y el 16% dijo que una persona maliciosa con información privilegiada fue la causa principal.
"Cualquier dispositivo que abandona la organización necesita ser protegido, y con algo más que una contraseña", señala el analista de Gartner, Eric Ouellet. "Sabemos que puede desbloquear estas cosas con mucha facilidad". Los datos en reposo se deben proteger también, añade. "Incluso la identificación incorrecta de una cinta (en almacenamiento), o no ser capaces de encontrarla es un evento preocupante", a menos que los datos estén cifrados.
El fabricante de equipos para la producción de semiconductores, Applied Materials, se enfrenta a estrictos requisitos legales para proteger la información. La compañía, que opera en 25 países, comenzó el despliegue de cifrado en todo el disco y los mensajes a finales del 2010 como parte de una actualización tecnológica de sus 13 mil computadoras portátiles. Hoy en día, el 78% de las computadoras portátiles están encriptadas, con solo unas cuantas que aún se resisten.
"El cambio ha sido positivo en todo el mundo", señala Matthew Archibald, que sirve como director de seguridad de la información y director de privacidad en la empresa con sede en Santa Clara, California. "En el lado de la ingeniería, creen que todo hace que el sistema sea más lento, así que tiene que demostrarles que no les afectará de ninguna manera".
En Intel, el 85% de las computadoras portátiles tienen encriptación de disco completo, pero el CISO, Malcolm Harkins, ya está evaluando la próxima gran cosa -auto encriptación de discos duros, que se ocupará de las lagunas de cifrado cuando las laptops están en espera o hibernación.
"A medida que se vaya a mudar hacia los productos que están siempre encendidos/ Instant On, si tiene una duración de la batería de nueve horas y está siempre a la espera, los datos no están cifrados", señala Harkins. "También quiero mejorar la experiencia del usuario", añade, refiriéndose al hecho de que la encriptación requiere normalmente que los usuarios introduzcan códigos de acceso y esperar a que los sistemas se reinicien. "Si puedo hacer eso, así como potencialmente reducir mi costo del control, la auto encriptación de los discos podría ser la respuesta."
Administración de claves
Mientras que de encriptación de datos es importante, las claves que controlan el cifrado y descifrado de los procesos son aún más importantes; porque, bueno, los datos son inútiles sin una clave. Y con tantos programas y dispositivos que requieren cifrado y gestión individual de claves, es fácil ver por qué las claves pueden ser mal administradas o por qué se toman atajos peligrosos para su gestión.
Hoy en día, la mayoría de los sistemas de encriptación tienen su propio sistema interno de administración de claves que también crean copias de seguridad", así por lo menos tiene un poco de coherencia", indica Ouellet. "El gestor de claves que viene con esas soluciones es lo suficientemente bueno". Sin embargo, la gestión de claves centralizada podría ser la respuesta para las empresas que se ven con un número creciente de herramientas de cifrado y claves.
Una cuarta parte de las empresas encuestadas por Forrester han adoptado la gestión de claves centralizada en alguna forma, añade, pero ese número crecerá a medida que los estándares de interoperabilidad se afiancen.
La empresa de normas abiertas Oasis ha desarrollado un protocolo de interoperabilidad de gestión de claves (KMIP) como un estándar dentro de los sistemas criptográficos. "Esta norma ha ido creciendo y está remplazando a las normas más antiguas", explica Ouellet. "La única trampa es que, si bien la mayoría de las organizaciones que proporcionan la criptografía quieren apoyar KMIP, lo harán como un medio para gestionar las claves de los demás. Ellos no están permitiendo que otros administren sus claves. Es como la cuestión del huevo y la gallina", lo que frenará la adopción "a menos que los vendedores comiencen a abrirse a sí mismos", agrega.
Qué hacer y qué no hacer
Los analistas dicen que hay que dejar la gestión de claves en manos de los profesionales. Kindervag aconseja a los departamentos de TI que implementen un programa de gestión de calidad de las claves empresariales que comprenda la administración de claves en sus empresas. "No trate de crear una propia", advierte. "No envíe claves por correo electrónico, y no aproveche cosas como Active Directory para almacenar las claves".
Mantenga la función de gestión de claves en un segmento de la red que sea completamente independiente de los datos cifrados, y protéjala con características tales como firewalls Layer 7, IPS y dispositivos fuertes de control de acceso, añade. Solo unas cuantas personas que han sido designadas para gestionar las claves deben tener acceso a ese segmento de la red, y se debe vigilar constantemente lo que está sucediendo en los servidores de gestión de claves, así como a quién busca acceso.
En un futuro próximo, la gestión de claves estará disponible en la nube con proveedores de servicios que se especialicen en la gestión de claves de la empresa. "Los proveedores tradicionales de PKI se están moviendo en esa dirección", agrega Kindervag, y los procesadores de pago con tarjeta de crédito son capaces de ampliar sus tecnologías de administración de claves a la propiedad intelectual y a las zonas de custodia de datos.
La gestión de claves en la nube también es "una gran tendencia en este momento" para las pequeñas organizaciones que no se sienten cómodas con la posesión y gestión de las claves, comenta Ouellet. Los proveedores de nube pueden crear entornos virtualizados privados para las pequeñas empresas y gestionar el lado de la tecnología.
El truco para las implementaciones exitosas de cifrado, gestión de claves y derechos digitales es hacer las cosas fáciles para los usuarios.
"Pase tiempo de calidad con la auto instalación de paquetes", señala Archibald de Applied Materials. "Tenemos la distribución automática del software, y es solo cuestión de tenerla habilitada para el usuario. Hay solo dos o tres cosas que una persona tiene que hacer -establecer su frase para pasar, sincronizarla con el inicio de sesión de Windows y reiniciar la máquina".
Stacy Collett, Computerworld (EE.UU).