Professional Documents
Culture Documents
Gua
corporativa
La encriptacin de datos
en las empresas
1.
Introduccin
3
Gua corporativa de encriptacin de datos
1. Introduccin
La informacin es uno de los recursos ms importantes en una incluyen desde el malware y la explotacin de vulnerabilidades,
empresa, desde la ms pequea hasta la ms grande. Por ello, hasta el robo de dispositivos mviles. Adems, teniendo en
es indispensable protegerla ante todos los riesgos que existen. cuenta que el tema de la privacidad de las comunicaciones est
en pleno debate internacional, el concepto de cifrado de datos
De esta manera, manejar adecuadamente la informacin puede se populariz como una forma de mantener la informacin
hacer que la compaa no sufra de las consecuencias de un segura, tanto el mbito hogareo como en el corporativo.
ataque, principalmente en trminos de prestigio y confianza de
sus clientes. El objetivo de esta gua es profundizar en el tema de la
encriptacin de la informacin y, de ese modo, poder exponer y
Actualmente, las amenazas a la informacin corporativa explicar los beneficios que ofrece a las empresas.
4
2.
Qu es el cifrado
de datos?
Gua corporativa de encriptacin de datos
6
3.
Por qu es
necesario
cifrar los datos?
3 4
Gua corporativa de encriptacin de datos
*Fuente: http://blogs.eset-la.com/laboratorio/2011/10/07/
ataque-informatico-lleva-diginotar-quiebra/
8
4.
Beneficios
del cifrado
3 4
Gua corporativa de encriptacin de datos
B. Proteger la imagen y el prestigio de una organizacin: D. Proteger dispositivos mviles e inalmbricos: todos
existe cierta informacin que si es robada, puede daar aquellos dispositivos que salen de la empresa, como
la imagen corporativa. Un ejemplo notable, son los datos telfonos celulares, tablets o computadoras porttiles,
que se almacenan de los clientes; el robo de los mismos pueden ser extraviados y/o robados. Ante estas situaciones,
puede afectar considerablemente a la empresa, llevndola es importante asegurarse de que ningn tercero est
a prdidas irrecuperables. autorizado pueda acceder a la informacin.
10
5.
Qu rol juega
la clave
en el cifrado?
3 4
Gua corporativa de encriptacin de datos
*Fuente: http://blogs.eset-la.com/laboratorio/2013/02/18/burger-king-o-mcdonalds-o-como-
una-contrasena- debil-en-twitter-puede-danar-tu-imagen/
12
6.
Consideraciones
para definir
una clave
de cifrado
3 4
Gua corporativa de encriptacin de datos
C. Utilizar minsculas, maysculas, nmeros y caracteres D. No utilizar datos pblicos: si bien esto es muy comn, debe
especiales: al igual que en el punto anterior, el ataque de ser evitado. La direccin de la empresa, la fecha de aniversario,
fuerza bruta puede reducirse a travs de la variedad de el nombre, entre otros, son ejemplos tpicos.
caracteres, ya que implica ms pruebas de combinaciones.
E. Utilizar una solucin para el manejo seguro de las claves:
una buena idea es apoyarse en el uso de una herramienta
de gestin de claves. Este tipo de aplicaciones proveen
mecanismos para generar claves seguras y almacenarlas en un
depsito centralizado. En este caso slo es necesario recordar
una clave, la del acceso al depsito, la cual debera seguir los
lineamientos mencionados previamente.
14
7.
Qu tipo de
informacin
debe ser cifrada?
3 4
Gua corporativa de encriptacin de datos
La informacin sensible de una empresa porttiles, que solo son accedidas por
est presente en una gran variedad sus dueos, pero existe el riesgo de
de formas y se transmite o almacena sean robadas o extraviadas, motivo
en diversos dispositivos. A su vez, es por el cual la informacin debe estar
necesario tener en cuenta el criterio para debidamente protegida. De igual
cifrar los datos responde al valor que forma, la informacin que se encuentra
tienen para el negocio. almacenada en servidores de la
empresa podra ser accedida si no se
En primera instancia, la informacin que toman los recaudos necesarios.
se enva en una transmisin de datos
puede ser cifrada, ya que los canales a Por ltimo, vale la pena mencionar el
travs de los que viaja un mensaje no caso de los smartphones y tablets. Este
pertenecen a la empresa, y es posible tipo de dispositivos son cada vez ms
que alguien no deseado intercepte el comunes en el mbito corporativo,
mensaje. Por ello, la implementacin tanto para la transmisin de datos
del cifrado de los mensajes garantiza como para el almacenamiento de
que solo aquellos que posean la clave documentos de trabajo. Por lo tanto,
puedan descifrar el mensaje y acceder a deben ser tenidos en cuenta al
su contenido. momento de definir qu informacin se
va a cifrar.
Luego, existe informacin sumamente
importante que, si bien es almacenada Solo el 20% de las empresas de
en dispositivos de la empresa y no es Latinoamrica utilizan cifrado para
transmitida, tambin corre riesgo de proteger su informacin, de acuerdo
ser accedida por terceros. Un ejemplo con el ESET Security Report 2013.*
tpico es el de las computadoras
16
8.
Cifrado de las
comunicaciones
3 4
Gua corporativa de encriptacin de datos
Una forma de cifrar los mensajes de correo electrnico es sus contactos, para obtener y almacenar los certificados de
utilizando una clave privada. Este mtodo es el ms fcil de ellos. A partir de all, el proceso de cifrado ser prcticamente
implementar y consiste en cifrar el texto en cuestin para transparente para el usuario. En el caso en que se quiera
luego enviarlo dentro del correo; as, el destinatario debe enviar un mensaje cifrado y el destinatario no cuente con la
conocer la clave para poder obtener el mensaje original. Sin posibilidad de leerlo, se le dar la opcin al emisor de enviar el
embargo, cada vez que se quiera enviar un mensaje cifrado mensaje sin cifrar.
a alguien que no conozca la clave, se deber comunicar la
misma por algn medio seguro.
Ante la incertidumbre acerca de cmo transmitir la clave El caso PRISM y los programas de espionaje de agencias
de forma segura, surge la alternativa del cifrado con clave gubernamentales han puesto el tema de la privacidad en
pblica. Este sistema es ms robusto y se basa en la utilizacin Internet en el centro del debate, popularizando el cifrado
de certificados: tanto el emisor como el receptor tienen su de datos como una alternativa para la proteccin de los
propio certificado que pueden publicar sin comprometer su correos electrnicos y dems comunicaciones.
seguridad. As, cada vez que se quiera enviar un mensaje a
alguien, se cifrar el mismo con la clave pblica establecida en
el certificado del destinatario. En el otro extremo, al recibir un
mensaje cifrado se le aplicar una clave secreta que no conoce
nadie, para obtener el mensaje original. En resumen, la clave La forma ms conveniente de implementar el cifrado de
con la que se cifra es distinta a aquella con la que correos electrnicos es a travs de componentes o plugins
se descifra y, si bien estn relacionadas, no se puede obtener que se integren a los servicios de correo electrnico como
una conociendo la otra. Outlook.
Una vez que un usuario tiene su propio certificado vlido, As, el manejo de claves compartidas y el proceso de cifrado
deber intercambiar mensajes digitalmente firmados con sern transparentes al usuario.
18
Gua corporativa de encriptacin de datos
19
9.
Cifrado de
datos locales
3 4
Gua corporativa de encriptacin de datos
La informacin que no es transmitida los datos para los cuales tiene permiso. o archivos se reduce la utilidad que
tambin corre el riesgo de ser accedida Desafortunadamente, si existen obtiene el atacante.
por terceros; por ejemplo, ante el vulnerabilidades en los servidores de La informacin de los clientes es
extravo o robo de los equipos porttiles. la empresa, las mismas pueden ser sumamente importante y, de no poder
La contrasea de inicio de sesin no es explotadas dando acceso a los atacantes garantizar la seguridad de la misma,
suficiente para proteger los datos, y es all a informacin confidencial. Por ello, los clientes dejarn de confiar en la
donde el cifrado entra en juego. En este la medida de seguridad principal empresa. Un ejemplo de esto se da
sentido, puede cifrarse el disco entero, de consiste en evitar el acceso indebido, en el almacenamiento de los datos de
tal manera que cada vez que se encienda minimizando las vulnerabilidades. Sin autenticacin de los usuarios: si las
la computadora se deba ingresar la clave embargo, es igual de importante tener contraseas se almacenaran en una
para tener acceso a la misma. Este enfoque un plan de respuesta a incidentes, base sin cifrar, las cuentas de los clientes
suele ser el elegido en las empresas, en caso de que un atacante logre el se veran directamente comprometidas
aunque tambin existe la alternativa de acceso a datos confidenciales. En esta si un atacante lograse acceder a estos
cifrar slo algunas carpetas o archivos situacin, si se cifran ciertos datos registros.
especficos. Adems, cabe aclarar que esto
se puede extender a cualquier dispositivo
que transporte informacin delicada, En julio de 2012 Yahoo! sufri un ataque donde se robaron alrededor de
como memorias USB. 500 mil contraseas de sus usuarios.
Las mismas no se almacenaban cifradas, lo cual permiti el acceso
Otra situacin puede ser cuando se directo a las cuentas comprometidas.*
ponen datos o servicios a disposicin del
pblico. El escenario ideal es aquel en el
que cada usuario puede acceder slo a *Fuente: http://blogs.eset-la.com/laboratorio/2012/07/12/yahoo-nueva-brecha-seguridad-red/
21
10.
Cifrado de
dispositivos
mviles
3 4
Gua corporativa de encriptacin de datos
23
11.
Conclusin
3 4
Gua corporativa de encriptacin de datos
11. Conclusin
25
www.eset-la.com /esetla @esetla /company/eset-latinoamerica