Quan parlem d’actius d’empresa, tendim a considerar únicament com a tals els béns tangibles, com per exemple mobiliari, maquinària, els servidors, etc. Però no hem d’oblidar que també són actius, en aquest cas intangibles, la cartera de clients, les nostres tarifes, la propietat intel·lectual o fins i tot la identitat de l’empresa. Tota aquesta informació personal, financera, legal, d’I+D, comercial i estratègica, juntament amb el software per a manejar-la, són el nostre principal actiu. Sense ella no podríem prestar els nostres serveis ni vendre el nostre producte. Per això és necessari preservar la seva integritat, confidencialitat i seguretat.

Per a poder portar a la pràctica aquesta protecció, haurem de posar en marxa una sèrie de polítiques de seguretat per a, entre altres coses, localitzar i classificar la informació crítica, controlar qui té accés a la informació i a quina informació, protegir els nostres sistemes i també permetre’ns utilitzar els mecanismes necessaris per a poder xifrar aquella informació especialment sensible o confidencial, com per exemple: còpies de seguretat que anem a emmagatzemar en el núvol, dades personals sensibles, plans estratègics, etc.

Entre la informació que necessitarem xifrar es troba:

  • La informació emmagatzemada (discos, ordinadors, portàtils, dispositius mòbils, memòries externes):
    • backups  que anem a pujar al núvol;
    • dades personals sensibles, si treballem per exemple amb dades de salut; i
    • informació confidencial com a plans estratègics.
  • Les comunicacions o informació en trànsit, com a correus electrònics o transaccions a través de la web.

Quina és la finalitat del xifrat?

El xifrat té com a finalitat amagar la informació mitjançant tècniques criptogràfiques per a així evitar que les dades siguin llegibles per a aquells que no coneguin la clau de desxifrat. Aquest tipus de tècniques són una solució eficaç per a l’emmagatzematge i transmissió d’informació sensible, especialment a través de suports i dispositius mòbils, ja que:

  • permeten controlar l’accés a la informació;
  • limiten la difusió no autoritzada en cas de pèrdua o robatori d’aquests suports.

Per altre costat, no hem de deixar de costat altre tipus d’aspectes complementaris, com els següents:

  • la clau de desxifrat haurà de ser prou robusta perquè impedeixi accessos no autoritzats a la informació que es protegeix;
  • si perds la clau, no podràs accedir a la informació;
  • davant una fallada del dispositiu d’emmagatzematge físic, seria molt complicat recuperar la informació, es trobi xifrada o no.

En algunes ocasions, per a l’intercanvi de documents caldrà utilitzar una infraestructura de claus públiques de xifrat (PKI per les seves sigles en anglès Public Key Infrastructure), proporcionades per Autoritats de Certificació (AC o CA, segons les sigles de Certification Authority). Per exemple, per a l’enviament de documents com a factures o notificacions a les AAPP, caldrà utilitzar la signatura electrònica.

Vols estar al dia de totes les amenaces i evitar el desastre? Subscriu-te a la llista de conscienciació Infordisa




Les eines criptogràfiques

Para cifrar la información, utilizaremos herramientas criptográficas. Su objetivo es convertir los datos en ilegibles para todos aquellos que no dispongan de la calve de descifrado. Al cifrar se garantiza la integridad de lo cifrado y su confidencialidad. Es decir, se podrá comprobar que la información no ha sido alterada y que nadie que no conozca la clave ha podido verla. Además, hay técnicas que permiten firmar electrónicamente tanto documentos como correos electrónicos, por ejemplo facturas, contratos, o los que contienen información personal o de clientes, etc. Esto garantizará además su autenticidad y no repudio, es decir, que procede de quien lo firmó y que no puede decir que no lo envió. 

Elegir la herramienta correcta de cifrado dependerá de una serie de variables, como son las siguientes:

  • si queremos una herramienta transparente para el usuario o no;
  • si el descifrado de la información debe realizarse en cualquier lugar;
  • el perfil de usuario que va a utilizar la herramienta de cifrado.

Hem de tenir en compte que per a xifrar informació no sempre serà necessari utilitzar eines específiques, ja que alguns programes d’ús generalitzat, com els paquets ofimàtics o els compressors de fitxers, ja les incorporen.

D’altra banda, tant per al xifrat de la informació com per a l’ús de la signatura electrònica, és necessari realitzar prèviament una anàlisi exhaustiva que permeti identificar quina informació serà susceptible de xifrat i quin requerirà de signatura electrònica.

Hem de recordar-nos també de protegir la informació en trànsit i utilitzar protocols segurs en les nostres comunicacions amb l’exterior de la nostra xarxa, ja sigui amb els nostres empleats, com amb clients, proveïdors o usuaris dels nostres serveis. Per a això, en la nostra web, a més de comptar amb mecanismes d’autenticació si tenim usuaris que es connectin a ella, contractarem un certificat web que serà de validació estesa si des d’ella es poden fer transaccions econòmiques. Per a accessos des de fora de la xarxa als nostres servidors nostres teletreballadors i altres col·laboradors poden fer ús d’una VPN (per les seves sigles en anglès Virtual Private Network, en espanyol Xarxa Privada Virtual), quan sigui necessari.

La informació és el principal actiu de qualsevol organització. Garantir la seva integritat i confidencialitat és una prioritat quan parlem de ciberseguretat. Aquella que consideris més sensible o confidencial haurà d’estar xifrada amb eines criptogràfiques. Que ningú aliè accedeixi a les dades que s’emmagatzemen o circulen entre els diferents dispositius que conformen la teva xarxa, protegeix la teva empresa i protegeix la teva informació.

Si vols llegir l’article complet de Incibe, pots fer-ho a  aquí.