Cifrar o no cifrar, esa es la cuestión
Conozca el estado de la tecnología de cifrado, las técnicas criptográficas, el enmascaramiento de datos, las ramificaciones legales del cifrado de extremo a extremo y el impacto de la tecnología cuántica.
Cifrar o no cifrar, esa es la cuestión.
Bueno, por supuesto, usted debería cifrar datos en movimiento, especialmente cuando van a transportarse a través de una red de terceros, como internet o las redes operadas por almacenes de datos, donde los proveedores de servicios en la nube (CSP) ubican sus equipos.
Dado el trabajo remoto y el traslado de TI a la nube, donde sus servicios serán operados en un entorno de múltiples inquilinos, debería considerar seriamente cifrar los datos que fluyen entre sistemas, así como entre usuarios y sistemas.
Un ejemplo es cifrar el flujo de datos entre una aplicación de correo electrónico, como Outlook, y el servidor de correo electrónico como Microsoft Exchange. Esto se hace fácilmente a través de menús de configuración, y debe hacerse incluso si el canal de comunicaciones principal está encriptado.
Se recomienda cifrar entre sistemas, aunque deberá revisar las aplicaciones individuales para ver qué hay disponible; sin embargo, los servidores de Microsoft pueden cifrar de extremo a extremo utilizando la función de cifrado de bloque de mensajes del servidor (SMB).
Los sitios web, tanto internos como externos, deben utilizar HTTPS de forma predeterminada, y el acceso de servicio y mantenimiento a los sistemas también debe estar cifrado (SSH , HTTPS, propietario). Recuerde que los datos deben estar claros (descifrados) antes de que puedan procesarse. Faltan unos años para que las aplicaciones puedan procesar datos cifrados directamente de forma económica.
Mientras tanto, los datos en reposo también deben cifrarse, y la mayoría de los sistemas de bases de datos ofrecen cifrado seleccionable entre campos o registros. Algunos sistemas de archivos (tanto basados en hardware como en software) pueden ofrecer cifrado, por ejemplo Microsoft BitLocker en Windows 10 y posteriores (y Server 2008 y posteriores), aunque para Windows 11 existe el requisito de compatibilidad con TPM 2.0 (Módulo de Plataforma Segura).
Para Microsoft Server 2016, TPM no es un requisito, pero se recomienda; sin embargo, si se requieren los servicios de Host Guardian, entonces TPM 2.0 es un requisito definitivo.
Otros sistemas de cifrado de archivos incluyen APFS en macOS 10.3 y posteriores; Ext4 en el kernel de Linux 4.1 y Novel Storage Services. Consulte Wikipedia para obtener más ejemplos.
El cifrado de datos en reposo no es una panacea ni una solución milagrosa en lo que respecta a la protección de datos. Por ejemplo, no le protegerá si un grupo de ransomware accede a su almacén de datos, ¡ellos cifrarán felizmente sus datos cifrados! Como tal, es imprescindible contar con una infraestructura bien diseñada y organizada con especial atención a las configuraciones de seguridad.
Ponga en práctica el privilegio mínimo y, CISOs, si sus gerentes o la junta directiva se quejan, pídanles que firmen una declaración jurada formal en la que indiquen que comprenden los riesgos de no limitar el acceso a los archivos según una necesidad empresarial absoluta y que, por lo tanto, son totalmente responsables si algo sale mal.
¿Cuáles son los mejores estándares de cifrado?
Hemos hablado sobre la necesidad de cifrado y dónde, pero ¿a qué estándares deberíamos aspirar? Mis recomendaciones son:
- Algoritmo de cifrado AES de 192 bits, aunque para sistemas de alta seguridad se podrían considerar 256 bits (aquí hay una discusión sobre costo versus riesgo).
- Cuando los sistemas criptográficos de clave pública se utilizan demasiado para proteger los procesos de intercambio de claves AES (una clave simétrica compartida), deberíamos considerar el RSA de 2048 bits, aunque el RSA de 4096 bits está disponible y se puede utilizar con un pequeño impacto adicional en el rendimiento. Es discutible si ese pequeño impacto en el rendimiento se notará, dada la potencia de CPU disponible actualmente, y el uso de RSA de 4096 bits brindará cierta comodidad adicional. Nuevamente, se trata de un análisis de riesgo versus costo.
Recuerde que los datos en reposo abarcan no solo los datos de los servidores de archivos y bases de datos, sino que incluyen los sistemas de correo electrónico y las PC, portátiles, teléfonos inteligentes y dispositivos USB de las personas. Los datos en movimiento no solo viajan entre sistemas o sistemas y dispositivos de usuario, sino que también se envían a impresoras y sistemas de respaldo. No los olvide haga lo que haga. ¡Podrían ser la puerta trasera que ha olvidado cerrar!