¿Qué es el cifrado de datos?
El cifrado de datos codifica los datos en "texto cifrado" para que resulte ilegible para cualquiera que no tenga la clave o contraseña de descifrado correctas. Las soluciones de cifrado potentes, combinadas con una gestión de claves eficaz, protegen los datos confidenciales del acceso, la modificación, la divulgación o el robo no autorizados y, por tanto, son un componente fundamental de todo programa de seguridad. El cifrado de datos se puede emplear tanto para los datos almacenados ("en reposo") como para los datos que se transmiten o transportan ("en movimiento").
Existen dos tipos principales de cifrado de datos:
- Cifrado simétrico: con los algoritmos de clave simétrica, se utiliza la misma clave para cifrar y descifrar los datos. Esto permite un cifrado rápido y eficiente y una generación y gestión de claves más sencillas, pero es fundamental que la clave única solo esté disponible para los usuarios autorizados, ya que permite que alguien acceda a los datos, y que los modifique y vuelva a cifrar sin detección.
- Cifrado asimétrico: los algoritmos de clave asimétrica utilizan dos claves relacionadas matemáticamente, una clave pública y una clave privada. La clave pública se utiliza para cifrar los datos, mientras que se requiere una clave privada correspondiente pero independiente para descifrar los datos. Una de las ventajas del cifrado asimétrico es que se puede utilizar una clave pública más conocida para cifrar los datos, pero solo aquellos con la clave privada pueden descifrar los datos y acceder a ellos.
¿Qué son las soluciones de cifrado de datos?
Una solución de cifrado de datos es un sistema de software que emplea algoritmos de cifrado de datos para proteger los datos confidenciales, combinados con herramientas de gestión para desplegar y supervisar el cifrado de datos en una organización. Las soluciones de cifrado también pueden proporcionar herramientas para la gestión de claves a fin de garantizar que las claves, las contraseñas y otra información necesaria para cifrar o acceder a los datos estén disponibles solo para los usuarios autorizados y se modifiquen o revoquen según las directivas definidas.
La mayoría de las organizaciones protegen su información con productos de seguridad tradicionales, como firewalls, prevención de intrusiones y aplicaciones de control de acceso basadas en roles. Todos ellos ayudan a prevenir las violaciones de datos. Sin embargo, cuando los atacantes se infiltran con éxito en una red (y es inevitable que lo hagan), el software de cifrado de datos es la última defensa crítica contra el robo y la exposición de datos confidenciales
La mayoría de las normativas gubernamentales y del sector, como las que protegen la privacidad y los datos financieros de los consumidores, exigen que las organizaciones utilicen herramientas de cifrado de datos. El incumplimiento puede acarrear duras sanciones. Por el contrario, el uso de una solución de cifrado de datos potente puede proteger a una organización si se produce una violación de datos o se roba un portátil.
Funciones clave de una solución de cifrado de datos
Dos aspectos importantes de las herramientas de cifrado de datos son la facilidad de uso y la escalabilidad. El software de cifrado de datos debe ser cómodo de usar para los empleados (o no lo usarán) y escalable para adaptarse al crecimiento de la organización y a evolución de las necesidades de seguridad.
A continuación se presentan funciones adicionales importantes a tener en cuenta al evaluar una solución de cifrado de datos.
Estándares de cifrado estrictos. Las agencias gubernamentales y las organizaciones públicas y privadas de todo el mundo utilizan el estándar del sector para el cifrado: el Advanced Encryption Standard (AES)-256. AES sustituye al antiguo estándar de cifrado de datos (DES), que se había vuelto vulnerable a los ataques por fuerza bruta, que se producen cuando un atacante intenta varias combinaciones de un cifrado hasta que uno de ellos funciona. Los dos procesos de certificación conocidos para productos o implementaciones de cifrado son:
- El estándar federal de procesamiento de información (FIPS) 140-2 del National Institute of Standards and Technology (NIST), que es un estándar de seguridad informática del gobierno de EE. UU.
- Los criterios comunes (CC) para la evaluación de la seguridad de la tecnología de la información, que es un estándar y un programa de certificación con respaldo internacional
Cifrado de datos estáticos y dinámicos. Los datos estáticos o en reposo se guardan en servidores, equipos de escritorio, portátiles, etc. Los datos estáticos son cifrados por archivo, carpeta o toda la unidad.
Los datos dinámicos, o datos en movimiento, viajan a través de una red o Internet. El correo electrónico es el ejemplo más común. Los datos dinámicos se pueden proteger de dos formas:
- Cifrar la transmisión mediante protocolos de cifrado de red, como la seguridad del protocolo de Internet (IPsec) y la seguridad de la capa de transporte (TLS), para establecer una conexión segura entre los endpoints.
- Cifrar el mensaje y su carga útil, lo que garantiza que solo un destinatario autorizado pueda acceder a él
Cifrado granular. Si bien es posible cifrar todos los datos, esto puede afectar a los recursos de TI. En cambio, la mayoría de las organizaciones cifran solo los datos más confidenciales, como la propiedad intelectual y la información de identificación personal, como los números los documentos nacionales de identidad y la información de cuentas bancarias.
Las herramientas de cifrado de datos ofrecen distintos niveles de granularidad y flexibilidad. Las opciones comunes incluyen el cifrado de carpetas, tipos de archivos o aplicaciones específicos, así como el cifrado de toda la unidad y el cifrado de medios extraíbles. El cifrado de disco completo se utiliza con frecuencia en portátiles que se pueden perder o robar. El cifrado de portátiles, tablets y soportes extraíbles puede proteger a una organización frente a responsabilidades si se roba el dispositivo.
Gestión de claves. El software de cifrado de datos tiene funciones de gestión de claves, que incluyen la creación, distribución, destrucción, almacenamiento y copia de seguridad de las claves. Un administrador de claves robusto y automatizado es importante para el cifrado y descifrado rápidos y sin problemas, lo que a su vez es fundamental para el buen funcionamiento de las aplicaciones y los flujos de trabajo de la organización.
Implementación de directivas de cifrado. Las directivas de cifrado definen cómo y cuándo se cifran los datos. Una solución de cifrado de datos con funciones de gestión de directivas permite al departamento de TI crear e implementar directivas de cifrado. Por ejemplo, considere el caso de un empleado que intenta guardar un archivo confidencial en una unidad USB extraíble para usarlo y trabajar desde casa. El software de cifrado envía al empleado una alerta de que esta acción infringe una directiva de seguridad de datos y evita que el empleado copie el archivo hasta que se cifre. La implementación automatizada puede garantizar que se respeten las directivas de seguridad de los datos.
Cifrado siempre activo Una función útil para garantizar que los archivos confidenciales permanezcan cifrados es el cifrado "siempre activo", que sigue al archivo dondequiera que vaya. Los archivos se cifran cuando se crean y permanecen cifrados cuando se copian, envían por correo electrónico o actualizan.
Gestión de cifrado unificada. Los departamentos de TI a menudo deben enfrentarse a tecnologías de cifrado preexistentes en sus organizaciones. Por ejemplo, una unidad de negocio recién adquirida puede utilizar su propia tecnología de cifrado, o un departamento puede utilizar el cifrado nativo que forma parte de los productos de Apple y Microsoft, como FileVault en macOS o BitLocker en Windows. Por este motivo, algunas soluciones de cifrado de datos admiten la gestión unificada de varias tecnologías.
Una consola de gestión unificada proporciona además visibilidad de todos los endpoints, incluido un registro del uso de cifrado de cada dispositivo. Esto puede evitar las sanciones por incumplimiento en caso de pérdida o robo de un portátil.
¿Cifrado local o basado en la nube?
Una organización no puede asumir que un proveedor de nube proporcionará automáticamente cifrado como parte de una aplicación en la nube o un servicio de infraestructura. El cifrado utiliza ancho de banda y recursos de CPU adicionales, lo que aumenta los costes de un proveedor de nube, por lo que la mayoría de los proveedores no incluyen cifrado u ofrecen solo cifrado parcial. En general, el cifrado de los datos es responsabilidad del cliente.
La mejor estrategia de cifrado en la nube incluye el cifrado de extremo a extremo de la conexión y de cualquier dato que se cargue en la nube. En estos modelos, los proveedores de almacenamiento en la nube cifran los datos una vez recibidos y pasan claves de cifrado a los clientes para que los datos se puedan descifrar de forma segura cuando sea necesario. Las organizaciones pueden pagar por un servicio de cifrado de extremo a extremo o cifrar los datos localmente antes de que se carguen en la nube.
El software de cifrado de datos es una de las formas más efectivas de seguridad de los datos cuando se acompaña de las prácticas recomendadas para la gestión segura de claves de cifrado y la prevención de la fuga de datos. Las herramientas de cifrado de datos ofrecen un cifrado potente de endpoints corporativos y de usuario, así como de servicios compartidos, lo que protege los valiosos datos corporativos y proporciona una gestión centralizada de las directivas de cifrado.