//
you're reading...
Seguridad de la información

El tratamiento de datos en la empresa: cifrando información


La implantación de la medidas de seguridad para salvaguardar la integridad, disponibilidad y confidencialidad de la información, no solo es una obligación legal impuesta por el artículo 9 de la LOPD, sino que también debe ser un objetivo estratégico de toda organización.

Así, dentro del conjunto de medidas de seguridad, el cifrado de la información ocupa un papel destacado que no se debe dejar atrás. ¿Por qué llevarlo a cabo? ¿Cómo hacerlo? y otras preguntas se pueden contestar en la lectura del siguiente artículo publicado por Inteco y que reproducimos íntegramente para vosotros.

El cifrado de información se ha convertido en una herramienta indispensable para las empresas. Aporta mayor seguridad en muchos escenarios y aplicaciones.

En general, desde el punto de vista de la información que ciframos, podemos hablar de dos escenarios o usos principales del cifrado:

  • Cifrado de información en tránsito. Se refiere al cifrado de información que se desplaza, generalmente a través de una red de comunicaciones.
  • Cifrado de información almacenada. Se refiere al cifrado de información que se encuentra almacenada en algún tipo de soporte físico (discos duros, soportes ópticos, etc.).

A lo largo de los siguientes apartados, se dará a conocer distintos usos en relación con el cifrado de información en tránsito y con el cifrado de información almacenada.

Cifrado de información en tránsito

Como ya se ha comentado el cifrado de información en tránsito permite el cifrado de aquella información que viaja a través de una red de comunicaciones. Cuando enviamos y recibimos información a través de Internet, si esta no se encuentra cifrada, corremos el riesgo de que la información sea interceptada, poniendo en riesgo la confidencialidad de la comunicación.

Una forma de que la información viaje cifrada es mediante el uso del protocolo HTTPS, que cifra la comunicación entre un navegador y un servidor web, de hecho cada vez que un usuario accede a su banco a través de Internet, la conexión exhibe el conocido “https” o el candado en el navegador, que indica que se está accediendo a través de un protocolo seguro, de forma que la conexión entre el navegador y el servidor web del banco, está cifrada.

Este es uno de los escenarios más habituales en los cuales sin que el usuario sea consciente, se hace uso del cifrado de información. Pero existen otros casos en los que se usa el cifrado de información en tránsito, por ejemplo, en el caso de una empresa que cuente con varias sedes en distintas ubicaciones geográficas, de forma que se usa Internet para unir las distintas oficinas a través de una tecnología denominada VPN (Virtual Private Network) que permite crear una extensión de una red de área local a través de Internet, interconectando las distintas sedes a mediante un canal de comunicación cifrado.

Las VPN son muy utilizadas también para acceder desde dispositivos portátiles o dispositivos móviles a la red corporativa de una organización, de forma que es posible acceder a los servicios de esa red, como si nos encontráramos en la misma organización.

En general, para cualquier escenario en el que lleve a cabo el envío y recepción de información confidencial o sensible, es recomendable el uso de tecnologías de cifrado.

Cifrado de información almacenada

Como contrapunto a lo anterior, también se dispone de la tecnología de cifrado que permite proteger información que se encuentra almacenada en todo tipo de soportes de almacenamiento, como es el caso de los discos duros, discos CD/DVD, memorias USB, etc. o en dispositivos, como teléfonos móviles, tabletas, ordenadores portátiles, etc. El abanico de tecnologías de cifrado para información almacenada es muy amplio. A continuación vemos algunos ejemplos:

  • Cifrado de información para archivo final. Se trata de sistemas de cifrado orientados a proteger información que es almacenada, pero que no va a ser accedida de forma inmediata, como pueden ser archivos o repositorios de información, que actúan como almacén final. En este tipo de tecnologías, la velocidad de acceso a la información no es el factor a tener en cuenta, sino, la seguridad del cifrado. Un ejemplo del uso de este tipo de cifrado se utiliza en sistemas de custodia de datos, que son similares a bancos, pero para guardar información con un alto nivel de seguridad.
  • Caja fuerte virtual. Son herramientas que proporcionan una zona de almacenamiento seguro en un ordenador o teléfono móvil. Este tipo de soluciones permiten almacenar información sensible en una zona especialmente habilitada (caja fuerte virtual) para esta función, que se abre mediante una contraseña o fichero llave. Mientras esa zona está abierta, es posible trabajar en ella como si se tratara de una unidad de disco más. Cuando está cerrada, no es posible acceder a ella. Este tipo de solución de cifrado se puede encontrar tanto para ordenadores, ya sean de sobre mesa o portátiles, como para dispositivos móviles.
  • Cifrado completo de discos duros. Son soluciones, hardware o software que permiten el cifrado completo del disco duro de un ordenador, de forma que mientras el usuario trabaja con el ordenador, puede acceder a todo el contenido del disco duro de forma transparente, pero si el ordenador es robado o se intenta acceder a su contenido, este se encuentra cifrado y por tanto inaccesible.
  • Memorias USB cifradas. Son dispositivos USB que incorporan algún tipo de software o tecnología hardware que permite el cifrado de toda o parte de la información que contienen. Por lo general, hay una zona que es accesible (de solo lectura) y que contiene las herramientas necesarias para acceder a la zona protegida. Existen distintos niveles de de seguridad y tipos, en función de los requerimientos de seguridad requeridos.

Además de estos tipos, existen otros escenarios en los que el uso del cifrado de datos es altamente recomendado, como es el caso de los servicios de almacenamiento en la nube. Estos servicios utilizan su propio cifrado, con el objetivo de garantizar la confidencialidad de los contenidos que son almacenados. Pero en ocasiones, es conveniente subir los contenidos cifrados previamente a ser almacenados, como una medida de protección adiciona. En cualquier caso, siempre que utilicemos un servicio de almacenamiento en la nube, será necesario conocer la política de seguridad y el nivel de cifrado.

Como se ha visto, el cifrado de datos es una herramienta tremendamente útil para las empresas y su uso es muy recomendable cualquier escenario en el que sea necesario proteger información de miradas indiscretas, o donde exista riesgo de pérdida o robo de dispositivos y por tanto de la información que contienen. Desde INTECO-CERT recomendamos su uso, como una medida de seguridad muy efectiva y que ofrece un alto grado de confidencialidad.

 Fuente: Inteco

Comentarios

Aún no hay comentarios.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Estadística del blog

  • 165.822 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A <span>%d</span> blogueros les gusta esto: