Tengo que cifrar la información sensible?

[av_hr class='full' height='50' shadow='no-shadow' position='center' av_uid='av-13ejscu']

Cuando hablamos de activos de empresa, tendemos a considerar únicamente como tales los bienes tangibles, como mobiliario, maquinaria, servidores, etc. Pero no debemos olvidar que también son activos, en este caso intangibles, la cartera de clientes, nuestras tarifas, la propiedad intelectual o incluso la identidad de la empresa. Toda esta información personal, financiera, legal, de I+D, comercial y estratégica, junto con el software para manejarla, son nuestro principal activo. Sin ella no podríamos prestar nuestros servicios ni vender nuestro producto. Por eso es necesario preservar su integridad, confidencialidad y seguridad.

Para poder llevar a la práctica esta protección, deberemos poner en marcha una serie de políticas de seguridad para, entre otras cosas, localizar y clasificar la información crítica, controlar quién tiene acceso a la información ya qué información, proteger nuestros sistemas y también permitirnos utilizar los mecanismos necesarios para poder cifrar esa información especialmente sensible o confidencial, como por ejemplo: copias de seguridad que vamos a almacenar en la nube, datos personales sensibles, planes estratégicos, etc.

Entre la información que necesitaremos cifrar se encuentra:

  • La información almacenada (discos, ordenadores, portátiles, dispositivos móviles, memorias externas):
    • backups  que vamos a subir a la nube;
    • datos personales sensibles, si trabajamos por ejemplo con datos de salud; y
    • información confidencial como planes estratégicos.
  • Las comunicaciones o información en tráfico, como correos electrónicos o transacciones a través de la web.

¿Cuál es la finalidad del cifrado?

El cifrado tiene como finalidad esconder la información mediante técnicas criptográficas para evitar que los datos sean legibles para aquellos que no conozcan la clave de descifrado. Este tipo de técnicas son una solución eficaz para el almacenamiento y transmisión de información sensible, especialmente a través de soportes y dispositivos móviles, ya que:

  • permiten controlar el acceso a la información;
  • limitan la difusión no autorizada en caso de pérdida o robo de estos soportes.

Por otro lado, no debemos dejar de lado otro tipo de aspectos complementarios, como los siguientes:

  • la clave de descifrado deberá ser lo suficientemente robusta para que impida accesos no autorizados a la información que se protege;
  • si pierdes la llave, no podrás acceder a la información;
  • frente a un fallo del dispositivo de almacenamiento físico, sería muy complicado recuperar la información, se encuentre cifrada o no.

En algunas ocasiones, para el intercambio de documentos será necesario utilizar una infraestructura de claves públicas de cifrado (PKI por sus siglas en inglés Public Key Infrastructure), proporcionadas por Autoridades de Certificación (AC o CA, según las siglas de Certification Authority). Por ejemplo, para el envío de documentos como facturas o notificaciones a las AAPP, será necesario utilizar la firma electrónica.

[av_one_full first min_height=” vertical_alignment='av-align-top' space=” margin='0px' margin_sync='true' row_boxshadow_color=” row_boxshadow_width='10' link=” linktarget=” link_ho' padding_sync='true' highlight_size='1.1′ border=” border_color=” radius='0px' radius_sync='true' column_boxshadow_color=” column_boxshadow_width='10' background='bg_color' background_color='2 background_gradient_direction='vertical' src=” attachment=” attachment_size=” background_position='top left' background_repeat='no-repeat' animation=” mobile_breaking=” mobile_display=” av_uid='av-jtidy1yt']

¿Quieres estar al día de todas las amenazas y evitar el desastre? Suscríbete a la lista de concienciación Infordisa








[/av_one_full]


Las herramientas criptográficas

Para cifrar la información, utilizaremos herramientas criptográficas. Su objetivo es convertir las datos en legibles para todos aquellos que no dispongan de la calve de descifrado. Al cifrar se garantiza la integridad de lo cifrado y su confidencialidad. Es decir, se podrá comprobar que la información no ha sido alterada y que nadie que no conozca la clave ha podido verla. Además, existen técnicas que permiten firmar electrónicamente tanto documentos como correos electrónicos, por ejemplo facturas, contratos, o los que contienen información personal o de clientes, etc. Esto garantizará además su autenticidad y no repudio, es decir, que procede de quien lo firmó y que no puede decir que no lo envió. 

Elegir la herramienta correcta de cifrado dependerá de una serie de variables, como son las siguientes:

  • si queremos una herramienta transparente para el usuario o no;
  • si el descifrado de la información debe realizarse en cualquier lugar;
  • el perfil de usuario que va a utilizar la herramienta de cifrado.

Debemos tener en cuenta que para cifrar información no siempre será necesario utilizar herramientas específicas, ya que algunos programas de uso generalizado, como los paquetes ofimáticos o los compresores de archivos, ya las incorporan.

Por otra parte, tanto para el cifrado de la información como para el uso de la firma electrónica, es necesario realizar previamente un análisis exhaustivo que permita identificar qué información será susceptible de cifrado y cuál requerirá de firma electrónica.

Debemos recordarnos también de proteger la información en tráfico y utilizar protocolos seguros en nuestras comunicaciones con el exterior de nuestra red, ya sea con nuestros empleados, como con clientes, proveedores o usuarios de nuestros servicios. Para ello, en nuestra web, además de contar con mecanismos de autenticación si tenemos usuarios que se conecten a ella, contrataremos un certificado web que será de validación extendida si desde ella se pueden realizar transacciones económicas. Para accesos desde fuera de la red a nuestros servidores nuestros teletrabajadores y otros colaboradores pueden hacer uso de una VPN (por sus siglas en inglés Virtual Private Network, en español Red Privada Virtual), cuando sea necesario.

La información es el principal activo de cualquier organización. Garantizar su integridad y confidencialidad es una prioridad al hablar de ciberseguridad. Aquella que consideres más sensible o confidencial deberá estar cifrada con herramientas criptográficas. Que nadie ajeno acceda a los datos que se almacenan o circulan entre los diferentes dispositivos que conforman tu red, protege a tu empresa y protege tu información.

[av_notification title=” color='blue' border=” custom_bg='#444444′ custom_font='#ffffff' size='normal' icon_select='yes' icon='ue822′ fuente='entypo-fontello' av_uid='av- 2imkpa'] Si quieres leer el artículo completo de Incibe, puedes hacerlo en  aquí. [/av_notification]
Infordisa

Infordisa

Departamento de Marketing

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos requeridos están marcados *

Publicar comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.