Los datos son uno de los activos más importantes de las empresas. Otros activos importantes, e intangibles, son cosas como las tarifas que manejamos o la propiedad intelectual de los desarrollos.
Existen muchos otros activos como los equipos, las oficinas o la maquinaria que, lógicamente, estarán asegurados ante cualquier tipo de incidencia. Si aseguramos los activos tangibles, ¿qué hacemos con los intangibles?
Tenemos información personal, datos de nuestros clientes, información financiera, de I+D, de negocio… si perdiéramos esto estaríamos perdiendo el negocio, por tanto, debemos proteger estos activos y asegurar la confidencialidad y su integridad. El cifrado es la solución —y las copias de seguridad—.
Antes de nada, hemos de elaborar las políticas de seguridad adecuadas para garantizar, al menos:
- Que tenemos localizada y clasificada la información crítica.
- Que tenemos el control del acceso a la información (quién accede y a qué información).
- Proteger los sistemas y dispositivos.
- Establecer qué mecanismos de seguridad vamos a emplear para el cifrado y su almacenamiento.
Por ejemplo, podemos decidir la estrategia de copias de seguridad en la nube, qué datos alojar en qué servidores, etcétera. Ahora bien, ¿qué información deberíamos cifrar?
- Información almacenada en cualquier tipo de soporte, como discos duros y externos, ordenadores, portátiles, dispositivos móviles, cualquier tipo de memoria externa… Las copias de seguridad que subamos a la nube, todos los datos personales sensibles o la información confidencial.
- La información en tránsito, es decir, todas las comunicaciones que entran o salen de la empresa y, por supuesto, todo el tráfico web, sobre todo las transacciones.
La finalidad del cifrado es transformar la información «en claro» en información ofuscada. Es decir, reorganizar la información de manera que no tenga sentido alguno a quien la examine sin autorización. Esto se puede conseguir de muchas formas, pero para entender la necesidad del cifrado es bueno conocer los fundamentos de la criptografía asimétrica.
Se conoce como cifrado de clave pública, o cifrado asimétrico, y en él existe un par de claves, la pública y la privada. La clave pública se entrega a quienquiera que quiera comunicarse en privado con la otra parte. Dicha parte dispone de la clave privada, asociada a la clave pública, pero que no se compartirá jamás.
Cuando una persona quiere enviar un mensaje cifrado a otra, utilizará la clave pública del destinatario para cifrar dicho mensaje. Esa otra persona, al recibir el mensaje cifrado, lo descifrará con su clave privada. Solo el destinatario legítimo podrá descifrar el mensaje porque es el único que debe conocer la clave.
El cifrado es importante para mantener la información a salvo, pero no es lo único que debemos hacer para proteger este activo tan importante. Entre otras cosas, debemos procurar disponer de claves de descifrado lo suficientemente robustas, proteger dicha clave y no perderla —ya que, si la perdemos, se perderá la información sin remedio—, y tener en cuenta que si la información está en un solo lugar —un disco, por ejemplo— y este se destruye, la información desaparecerá.
Deja tu comentario sobre "¿Cuáles son las razones para cifrar la información sensible?"