Es posible que sienta que ha escuchado estos imperativos un millón de veces: "Necesita cifrar sus datos."" Su información no es segura a menos que la cifre."" Necesitas comer tus frutas y verduras."
Pero si eres como mucha gente, pones los ojos en blanco porque tienes la buena intención de cuidarlos más tarde.El problema es que ignorar este consejo o hacerlo con medias medidas puede causar daños irreversibles.En los asuntos de cifrado de datos, el daño puede ser por la reputación de su empresa, la confianza del cliente y el resultado final financiero.También puede causar estragos con los controles de privacidad y hacer que se esté enfrentando a los reguladores y auditores.
The problem with such an important security measure becoming trite is that it’s in danger of becoming a simple “check box" item.Las organizaciones con una comprensión inmadura de la seguridad pueden pensar que las capacidades básicas de cifrado proporcionadas por sus dispositivos de almacenamiento o por los proveedores de servicios en la nube son suficientes para mantener sus datos protegidos y que ir más allá es simplemente caer por el miedo, la incertidumbre y la duda (FUD) avivado porlos medios de comunicación y los proveedores que se beneficiarán.La tecnología de la información (TI) y los equipos de seguridad generalmente tienen personal corto y sobrecargan, por lo que con demasiada frecuencia es la actitud de "marcar la casilla, pasar a la siguiente tarea."
Pero la realidad es más compleja que eso.El cifrado de datos es esencial para proteger la información confidencial y la privacidad, para cumplir con el cumplimiento de las regulaciones y auditorías, y para garantizar la gobernanza de datos adecuada.Toda la inversión de TI en aplicaciones móviles, experiencia del cliente y ventaja competitiva se puede desperdiciar en una violación de datos imprevisto.
¿Cómo funciona el cifrado de datos?
La información sin cifrar, como esta publicación de blog que está leyendo actualmente, está escrita en "Teñir texto." At its most basic, data encryption involves using an encryption algorithm to scramble or disguise plaintext, rendering it in what’s known as “ciphertext," which appears as alphanumeric gibberish to a human.Un algoritmo de cifrado utiliza una información crucial, conocida como clave de cifrado, para codificar o decodificar los datos.Sin la clave de cifrado, el algoritmo está incompleto y no puede convertir texto sin formato en texto cifrado y viceversa.
La mayoría de los algoritmos de cifrado se conocen públicamente, solo hay muchas formas efectivas de oscurecer los datos confidenciales, por lo que el elemento crucial de una estrategia de cifrado de datos es la gestión y el control de la clave de cifrado.De hecho, la clave es esencial.Los datos cifrados se pueden volver inútiles simplemente por eliminación de la clave.
Learn more — register for the webinarTipos de cifrado
El cifrado asimétrico, también conocido como cifrado de clave pública o criptografía de clave pública, utiliza la combinación de una clave pública y una clave privada para crear y decodificar texto cifrado.Los tipos más comunes de cifrado asimétrico son:
- RSA, named after seminal computer scientists Ron Rivest, Adi Shamir, and Leonard Adleman. It uses a public key to encrypt data and a private key to decrypt it.
- Public-key infrastructure, PKI, uses digital certificates to govern the keys.
El cifrado simétrico utiliza una única clave secreta compartida entre las partes antes del cifrado.Se considera más rápido y más económico que el cifrado asimétrico, pero para estar seguro requiere encriptar la clave en sí, lo que puede causar una dependencia terminal de otra clave.Los tipos populares de cifrado simétrico incluyen estándares de cifrado de datos (DE), triple des, estándar de cifrado avanzado (AES) y twofish.
Cifrar datos en REST versus datos en tránsito
Cuando los datos se almacenan en un disco duro o en un servidor, se considera datos en reposo.Cuando se envían datos para tareas como correo electrónico o sobre aplicaciones de mensajería instantánea, se convierte en datos en tránsito o datos en movimiento.Históricamente, los datos en reposo eran el objetivo de las infracciones, por lo que las técnicas como el cifrado de disco completo y el cifrado a nivel de archivo se usaron para proteger los datos en el equivalente de una fortaleza, a menudo con la protección de un firewall.
Los datos en tránsito continúan creciendo en paralelo con la explosión de dispositivos móviles, Internet de las cosas (IoT), redes 5G y entornos híbridos de multicloud.Como resultado, ha sido un objetivo creciente de los ciberdelincuentes y plantea mayores desafíos para asegurarlo, especialmente cuando lo hace puede afectar negativamente el rendimiento de las tareas diarias o transacciones financieras y financieramente sensibles como el comercio o el comercio electrónico.Las técnicas comunes para proteger los datos en tránsito implican el uso de protocolos de red seguros como HTTPS, capas de enchufe seguras (SSL), FTP y protocolos inalámbricos como WPA2.
Los conceptos básicos de la gestión clave del ciclo de vida
Al igual que una combinación olvidada a una contraseña segura o perdida a una cuenta de criptomonedas, perder una clave de cifrado puede significar perder acceso a lo que fue diseñado para proteger.Se desarrolló la gestión clave del ciclo de vida (KLM) para evitar perder llaves o robarlas.Un principio fundador de KLM es que las claves deben administrarse por separado de los datos que están protegiendo.
Un ciclo de vida de gestión clave típico incluirá los siguientes pasos:
Cifrado de datos para empresas
Si bien tanto el valor de los datos como la actividad criminal asistente continúan creciendo a tasas impresionantes, existen prácticas bien establecidas para proteger los datos que han evolucionado para enfrentar los desafíos de hoy..Estos son algunos de los métodos y herramientas de protección de datos empleados por equipos de seguridad empresariales más allá del cifrado básico de nivel completo y a nivel de archivo:
Independientemente de la forma en que lo haga, el cifrado es fundamental para proteger el activo más preciado de su organización: sus datos.Y a medida que los estándares de privacidad de datos, gobernanza de datos y cumplimiento se vuelven cada vez más importantes, también lo harán las claves que tienen el poder de asegurar esos datos.
¿Interesado en aprender más?Regístrese para el seminario web, “Lucha contra la doble extorsión y el ransomware con seguridad de datos modernos."
