Loading...
  • Susana Gonzalez Derecho Digital y Tecnológico

    Susana Gonzalez

Cifrado y seguridad en el entorno empresarial

Cifrado y seguridad en el entorno empresarial

Cifrado de seguridad para proteger la información

Cifrado y seguridad

Una de las mayores preocupaciones de toda empresa, si no la más importante, es mantener a salvo su información. Tanto la propia, para evitar ser espiados por la competencia, como la de sus clientes, para no incurrir en sanciones derivadas de la falta de la debida protección de la misma.

De hecho, leía esta mañana que el 74% de los CIO y CSO dicen que la seguridad es una prioridad mucho mayor ahora en comparación con 2016.

Es este escenario el que favorece la aparición de sistemas para proteger la información, siendo uno de los más recomendados el cifrado de los datos.

¿En qué consiste el cifrado?

El cifrado es el proceso por el que una información “en plano”, es decir, legible o entendible, se transforma, mediante la aplicación de un algoritmo (cifra o clave), en información ilegible o no entendible. De este modo, puede ser enviada a cualquier destinatario con más seguridad pues, aunque fuera interceptada, es difícil que pueda ser descifrada si no se posee la clave.

Una vez la información ha llegado al destinatario, a través de la clave de cifrado, la vuelve a convertir en información legible.

El cifrado puede ser simétrico, en el que emisor y receptor utilizan la misma clave para el cifrado/descrifrado, asimétrico, en el que existen dos claves: una pública, conocida, y otra privada o híbrida, en el que se combinan ambos tipos para aligerar las comunicaciones manteniendo la seguridad de los datos enviados (como es el caso del certificado SSL).

El cifrado no garantiza de manera automática que una empresa se vaya a mantener a salvo de ataques. Estos ocurren cada día y deberemos implementar el resto de medidas de protección y concienciación para mantener los datos a salvo.

Haciendo una analogía, el cifrado es como el airbag en los coches: salva muchas vidas, pero solo en conjunción con el resto de medidas de seguridad, especialmente el cinturón. De manera aislada, difícilmente puede salvarnos la vida.

Lo que es evidente es que, cuando suframos un a ataque o un intento de intrusión (no lo pongo en condicional porque los sufrimos todos todos los días, cuestión distinta es que no todo el mundo monitoriza los intentos de ataque sufridos), si los ciberdelincuentes comprueban que se ha aplicado el cifrado en toda la empresa, es mucho menos probable que continúen el ataque.

¿Qué opciones de cifrado tenemos?

Existen muchas opciones y posibilidades a la hora de cifrar y/o proteger la información almacenada por cualquier empresa. De entre todas ellas, podemos repasar las más importantes de cara a implementar la que mejor se adapte a nuestra situación, partiendo de la base, siempre, de dos premisas:

Cifrado/protección con contraseña

Es el primer nivel de protección y, como tal, no ofrece máxima seguridad, pero es el mínimo imprescindible. No nos protegen de un ataque “profesional” (cualquier contraseña es descifrable en un tiempo más o menos razonable por un usuario con conocimientos avanzados) pero es el primer eslabón que debemos implementar en la empresa.

Equipos, dispositivos, archivos enviados y/o almacenados,… todos ellos deberían estar protegidos con contraseña (al margen de tener otras medidas de seguridad). Deberemos tener desarrollada e implementada una Política de Uso de Contraseñas dentro del Documento de Seguridad de LOPD y/o de la Política de  Seguridad de la Información de la empresa (si tenemos implementado un sistema de gestión adecuado) que especifique claramente, al menos, cómo utilizarlas, cómo almacenarlas, cada cuanto se deben cambiar. Es vital que estas políticas estén debidamente comunicadas a todos los trabajadores y se gestione su estricto cumplimiento de forma sistemática.

Una medida en este sentido que debe considerarse como fundamental es que el almacén de contraseñas (allá donde se guardan las contraseñas de toda la organización) esté especialmente protegido y cifrado.

A  modo de anécdota os cuento que (aunque preocupante) a menudo diagnosticamos y auditamos este punto en el diseño de sistemas de gestión de seguridad de la información y nos encontramos con empresas que:

a) Tienen una adecuada política de gestión de contraseñas debidamente comunicada y controlada por un responsable (tenía que ponerlo, es una realidad aunque porcentualmente muy muy escasa de los casos analizados).

b) No  tienen una política definida de gestión de contraseñas y nadie en la empresa conoce siquiera cómo se ejecutan las contraseñas por los diversos usuarios (control cero).

c) Sí tienen una política de gestión de contraseñas alineada con sus auditorías de LOPD (generalmente provienen más de cumplir un requisito que se considera “formal” que de una verdadera decisión preventiva en materia de seguridad) pero que no tienen un responsable designado que gestione sistemáticamente el control debido de su cumplimiento (control ineficaz).

d) Y ya, el caso más paradigmático es el de la empresa con director de seguridad desingado con tales funciones en su DPT que dice no tener política implementada de gestión de contraseñas y desconocer cómo se gestionan y, sin embargo, existir claramente dicha política en el documento de seguridad LOPD y… alguien la contrató a un tercero experto en protección de datos y la metió en un cajón sin comunicar al director de seguridad que no debió  implicarse en su confección, y sin por supuesto comunicar y sensibilizar a todos los trabajadores de la empresa (control absurdo).

Cifrado de base de datos y servidor

El objetivo y gran tesoro para cualquier ciberdelincuente es el lugar donde se almacenan todos los datos de la empresa: las bases de datos y los servidores. Si dicha información se guarda en texto, plano, sin formato, cualquiera que sea capaz de infiltrarse dentro del sistema, podrá hacerse con ella y utilizarla en su beneficio (o en nuestro perjuicio): robándola o cifrándola y extorsionándonos para que paguemos un rescate por ella.

Sin embargo, si ciframos los servidores y bases de datos, estaremos garantizando que la información está protegida.

No debemos caer en la tentación de pensar que, teniendo una política de contraseñas potente y el almacén de contraseñas, bases de datos y servidor cifrados estamos completamente a salvo. Aún existen otros muchos puntos críticos susceptibles de convertirse en brecha de seguridad de la información: por ejemplo en cualquier transferencia de información, incluida la información enviada desde el navegador al servidor, la información enviada por correo electrónico o la información almacenada en los dispositivos, todo lo cual también es susceptible de ser cifrado.

Cifrado SSL

Se hace necesario proteger los datos que empleados y clientes envían desde sus navegadores al sitio web de la empresa, bien sea a través de los formularios de captura de datos (en el caso de los clientes), bien por el uso de aplicaciones y programas de gestión utilizados por los empleados.

Para ello se debería utilizar cifrado Secure Sockets Layer (SSL) en todas las aplicaciones susceptibles de utilizar la web de la empresa como medio de comunicación.

Debemos tener en cuenta, no obstante, que el cifrado SSL sólo protege la transferencia de datos desde navegador al servidor de la empresa. Es decir, se protege contra la interceptación de esa trasmisión de datos, pero éstos, una vez recibidos en el servidor, se almacenan en plano si no tenemos implementado ningún sistema de cifrado de los comentados anteriormente.

Cifrado de Identidad de Correo Electrónico

Debido al ingente incremento de ataques de phishing en los últimos dos años, cada vez es más frecuente y necesario, tener implementado un sistema de cifrado que garantice la identidad de los remitentes de los correos electrónicos.

Los cibercriminales han ido refinando sus técnicas de phishing y spear phishing de manera que, en muchas ocasiones, se hace difícil poder diferenciar un correo legítimo de uno falso (en un primer vistazo). De este modo crean falsas direcciones de correo electrónico corporativo, se hacen pasar por ejecutivos de la empresa suplantando  su identidad y envían correos electrónicos aparentemente oficiales a los empleados pidiendo contraseñas, datos financieros, o cualquier dato susceptible de ser utilizado en contra de la empresa.

Con el cifrado de identidad de correo electrónico, todos los empleados reciben una clave compleja (Pretty Good Privacy, PGP) que dan a todos sus destinatarios de correo electrónico. Si el destinatario recibe un correo electrónico que afirma ser del CEO de la empresa, pero el correo electrónico no contiene el mensaje de descifrado, entonces debe ser ignorado.

Cifrado de dispositivos

La movilidad y el uso cada vez más frecuente de dispositivos particulares en el trabajo, hace que estos se hayan convertido en una de las principales brechas de seguridad en cualquier empresa.

Una adecuada Política BYOD (evolucionada también en BYOC (Bring Your Own Cloud) y BYOA (Bring Your Own App)) deberá garantizar la seguridad de los dispositivos desde los que se maneje información corporativa.

El eslabón más débil de una organización marca la seguridad de toda la organización. De nada nos servirá que tengamos implementadas unas altísimas y estrictas medidas de seguridad en la empresa si permitimos que un empleado con acceso a información sensible desde su dispositivo se conecte a WiFi públicas sin proteger suficientemente sus dispositivos, o que utilice apps no descargadas de los markets oficiales, por poner solo dos ejemplos.

Al margen de tener recogidos los usos permitidos y unas mínimas políticas de uso responsable de los activos de información y de software (que dicho sea de paso es vital tener inventariados), el cifrado obligatorio, que proteja la información que contienen todos los dispositivos móviles, ante un hipotético ataque o pérdida, debería estar en cualquier Plan de Seguridad empresarial.

Cifrado de extremo a extremo

Es la versión más completa y segura del cifrado y codifica todos los datos de la organización antes de que lleguen a su punto final. Esto incluye todo, desde contraseñas de inicio de sesión y contraseñas de acceso a dispositivos hasta la información contenida en las aplicaciones y archivos.

Con el cifrado de extremo a extremo, los únicos con acceso a la clave para descifrar los datos es el equipo de IT. En la mayoría de ocasiones ni siquiera la empresa de software con la que trabaja para cifrar los datos, conoce las claves de descifrado.

Finalmente, si bien no puede considerarse un medio de cifrado en un sentido estricto, la tokenización se está imponiendo, especialmente en los pagos online, pero no solo para ellos, como el sistema de seguridad por excelencia para las transacciones y la identificación online.

La seguridad del pago es un problema fundamental para los negocios online. Sus clientes necesitan la completa seguridad de que sus datos están a salvo y que nadie será capaz de robar sus datos de la operación, tarjeta de débito o tarjeta de crédito. Para ello, los ecommerce deben cumplir con las normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS), seguido  como estándar en materia de protección de los datos confidenciales utilizados en los pagos.

La tokenización es una tecnología que proporciona un proceso de pago sin vulnerabilidades y mediante el cual, los titulares de ecommerce no tienen que almacenar datos confidenciales en sus servidores.

¿Qué es la tokenización?

La “tokenización” es el uso de (tokens) valores únicos asociados a datos confidenciales que son empleados en sustitución de estos, con la característica de que el token no permite relacionarlo con el dato confidencial que lo origina, minimizando el riesgo de almacenamiento inseguro y la necesidad de implementar otro tipo de controles, ya que el token en sí no es un dato confidencial.

El ámbito de uso de este sistema es muy amplio: protección de información de carácter personal (requerida por LOPD y ahora por el GDPR), datos de seguridad social, información clínica, patentes y datos de tarjetas de pago, entre otros.

La tokenización reduce el riesgo de una violación de datos. Incluso si alguien roba el token, este no tendrá sentido para ellos pues está diseñado para que sea válido en un entorno limitado.

Contamos con múltiples opciones de protección en la empresa. Tú que diriges la tuya, ¿no crees que va siendo hora de tomarse en serio los perjuicios de una eventual brecha de seguridad? Cuenta con que a partir de mayo de 2018 además vamos a tener que reportar las brechas de seguridad sufridas, siendo vital para ello no sólo poder minimizar su ocurrencia, sino también detectarlas. Y para eso, nada mejor que conocer de primera mano cómo está la situación de seguridad de tu empresa mediante la contratación de un ataque controlado y autorizado a tus sistemas de información.

¿Nos lo ponemos como objetivo para 2017?

By | 2017-04-17T20:20:08+00:00 enero 14th, 2017|Blog, ciberseguridad, Seguridad IT|0 Comments

About the Author:

Abogado especialista en Derecho Digital y Tecnológico, seguridad de la información, Auditora jefe ISO 27000, protección de datos y Ciberseguridad, innovación, estrategia digital, marketing y comunicación #AlwaysON©

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.