¿Qué es el cifrado y cómo podemos usarlo para proteger los datos corporativos?

Últimamente ha habido muchos comentarios en los medios de comunicación sobre el cifrado.

Se oye hablar sobre quién usa el cifrado y quién no (hay muchas empresas que aún no lo usan, con el perjuicio que supone para ellas).

Y se oye hablar sobre quién puede querer saltarse el cifrado (la imposición de algunas leyes y seguridad nacional en agencias) y quién no (Google, Apple, defensores de la privacidad, etc.)

El debate sobre el cifrado es importante, pero desgraciadamente, el cifrado es un tema complejo y la discusión no debería ser difícil de seguir para aquellas personas que están fuera de la comunidad de la seguridad.

Las empresas normalmente no se dan cuenta de por qué el cifrado es importante, y de cómo usarlo para proteger sus datos.

En este artículo explicaremos las respuestas de las preguntas más comunes sobre el cifrado, cubriendo dos áreas: 1) una explicación sobre el cifrado y, 2) un par de los casos más comunes de los que los negocios necesitan tener consciencia.

¿Qué es el cifrado?

El cifrado es un método para codificar mensajes en un formato que es imposible de leer para los usuarios no autorizados. Es el mejor modo de mantener loa datos de las empresas protegidos de los espías, ladrones, o de la exposición accidental (no debemos confundirlo con la esteganografía, que es esconder mensajes, en vez de hacerlos imposibles de leer).

La criptografía es el arte y la ciencia que hay detrás del cifrado; el uso de algoritmos para conseguir que los datos que se pueden leer (texto plano) se conviertan en no-leíbles (texto cifrado).

Sin entrar mucho en detalles, es útil pensar sobre el cifrado que: cuando cifras tus datos los estas guardando como haces con el dinero en una caja de seguridad, necesitas una llave para abrir la caja de seguridad y sacar el dinero (pedimos disculpas si algún experto está leyendo esto, por lo simple del ejemplo)

Si queréis aprender más os recomendamos leer a Paul Ducklin, escritor de Naked Security, con su gran explicación sobre el cifrado de clave pública y el cifrado de clave privada.

Existen numerosas formas de usar el cifrado, pero para preocupación de las empresas sobre la pérdida de datos, hay dos áreas muy importantes que deben entender: cifrado completo de disco y cifrado de ficheros.

Cifrado completo de disco VS. Cifrado de ficheros

El cifrado puede ser usado de varias maneras.

Digamos que un empleado accidentalmente ha perdido un USB en el tren, con datos muy importantes, o que le han robado su ordenador portátil cuando lo dejó solo en una cafetería mientras iba al servicio (estas cosas ocurren).

El equipo físico puede reemplazarse, pero los datos podrían acabar en manos erróneas y causar graves daños en la empresa – tendrá que enfrentarse a problemas financieros (dependiendo de las leyes locales y las regulaciones de la industria).

O quizá podría perder clientes cuando se enteren de que ha habido una fuga de sus datos personales. Está obligado legalmente a informarles. Por supuesto, moralmente, explicárselo es lo que se debe hacer, dejando a un lado lo legal.

Sin embargo, si el ordenador portátil o el USB estaban fuertemente cifrados, los datos y la información no los puede leer cualquier persona que no tenga la clave, y no tendrá problemas legales de los que preocuparse.

Los ordenadores portátiles, los USB, e incluso los smartphones, pueden ser cifrados por lo que es comúnmente conocido como cifrado completo de disco. Esto significa que todo el disco duro del dispositivo y todo lo que hay en él, se protege con cifrado, desde el sistema operativo pasando por los archivos de programa y hasta los archivos temporales.

El cifrado completo de disco es relativamente fácil de implementar, los ordenadores portátiles y los smartphones ahora tienen esa capacidad, que se llama cifrado nativo.

Pero el cifrado completo de disco sólo puede proteger tus datos y archivos cuando están en el dispositivo. En el segundo en el que cualquier información sale del dispositivo cifrado, se descifra y cualquiera lo puede leer. Esto tiene implicaciones importantes para las copias de seguridad y los archivos que has subido a la nube o adjuntado en un correo electrónico.

Volviendo al ejemplo del dinero en la caja de seguridad, el cifrado de disco es la caja de seguridad y los datos son el dinero. Una vez que sacas el dinero de la caja de seguridad deja de estar protegido.

Por el contrario, si utilizas el cifrado de ficheros, todos los archivos tienen un “candado”.
Con el cifrado de ficheros los datos están protegidos cuando están en tránsito o cuando están almacenados en la nube.

Pero hay un inconveniente: el cifrado de ficheros es más complicado de gestionar que el cifrado completo de disco, porque cuando quieras acceder a tus datos, necesitarás una clave. Y como querrás acceder desde cualquier dispositivo y desde cualquier lugar, esto requiere el cuidado de la gestión de la clave.

¿Cuándo y cómo debería usar el cifrado?

El cifrado de disco completo apenas afecta a la actuación del sistema, pero si intentas cifrar todo a nivel de fichero se volverá imposible de gestionar.

Hay que pensar más en qué datos se quieren cifrar y por qué. Quizá prefieras centrarte en cifrar ficheros para los datos sensibles y/o datos que copies en otros lugares, por ejemplo documentos a los que acceder desde el móvil o desde el despacho, o desde un servicio como es Dropbox.

Es importante entender que el cifrado de archivos no reemplaza al cifrado completo de disco. Se complementan. Si sólo cifras archivos y no el disco completo, es fácil que se pierda algo.

Muchas empresas querrán que el departamento de TI se encargue de cifrar en varios dispositivos. Sin esta gestión central, los datos podrían perderse fácilmente si un empleado deja la empresa o pierde su clave para descifrar. A diferencia de las claves que se usan para el acceso, las contraseñas que se usan para el cifrado las puede resetear un administrador de sistemas si se olvidan.

Una compañía inteligente se asegurará de que las claves para descifrar archivos estén muy bien protegidas. Incluso las empresas más inteligentes se asegurarán de que ni siquiera una persona tiene acceso total a la clave más importante. Una forma de hacer esto es mediante el diseño de un sistema en el que dos o más personas necesitan colaborar para el proceso de descifrado (para evitar dudas).

Un buen software de cifrado tendrá la capacidad de hacer la gestión de claves y segregación de dudas relativamente sencillas.

7 Pecados capitales de TI

Los archivos sin cifrar son uno de los siete pecados capitales de TI de Sophos.

Encuentra información, incluyendo vídeos y monográficos sobre los pecados más comunes de seguridad en nuestra web.

Más información de interés

Existe un desconocimiento acerca de la obligación legal de cifrar la información en las organizaciones actuales. Quién está obligado a cifrar y qué datos está obligado a proteger son dos incógnitas que aún hoy cuesta despejar de forma contundente. Descárguese este monográfico en el que conocer las claves sobre la necesidad de cifrar la información.

¿Cumple su empresa con el nuevo Reglamento de protección de datos de la Unión Europea? Compruébelo en este breve test en sesenta segundos.

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: