Tres maneras de identificar los mejores casos de uso del cifrado
Una revisión del estado de la tecnología de cifrado, revisando temas como las técnicas criptográficas, el enmascaramiento de datos, las ramificaciones legales del cifrado de extremo a extremo y el impacto de la tecnología cuántica.
“¡Necesitamos encriptación! ¡Que sea de extremo a extremo! ¡Impleméntalo en todas partes!”. ¿Suena familiar? Estos son los mandatos que muchos CISO están recibiendo ahora mismo. Proceden de equipos de gestión ejecutiva alarmados por la creciente ola de ataques de ransomware, que luchan por hacer frente a las presiones sobre la privacidad de clientes y reguladores, y que buscan una solución fácil y a prueba de fallos.
Como casi siempre ocurre en ciberseguridad, los CISO saben que ninguna solución es completamente infalible. Sin embargo, el cifrado puede ser una ventaja. Bien utilizado, puede ser la mejor defensa de una empresa contra la entrada no autorizada en las redes corporativas, y el robo de datos de empresas y clientes.
Además, el cifrado nunca ha sido tan fácil ni tan rentable de implantar. Muchos de los productos tecnológicos en los que invierten nuestras empresas ya vienen con la configuración de cifrado incluida por defecto. Los ingenieros de software internos también incorporan a menudo funciones de cifrado cuando desarrollan nuevas aplicaciones y servicios, de acuerdo con los principios de “seguridad por diseño”.
En resumen, el cifrado es una característica de seguridad estándar de muchos productos de software nuevos, como los airbags en un coche nuevo.
Pero, ¿es fácil? ¿Es infalible? En absoluto. Los CISO son incómodamente conscientes de que, aplicado en exceso y con muy poca previsión, el cifrado puede hacer el trabajo de la seguridad informática mucho más difícil y, de hecho, introducir nuevos riesgos.
Cuando se aplica al azar, el cifrado puede reducir la visibilidad que necesitan los equipos de operaciones de seguridad cuando supervisan sistemas y datos. Esto crea puntos ciegos y rincones oscuros que los ciberdelincuentes utilizan para ocultar sus actividades maliciosas. Y estos atacantes no se quedan atrás a la hora de utilizar el cifrado. Por ejemplo, es una buena forma de camuflar el malware.
¿Cuál es la respuesta? ¿Cómo pueden los CISO ayudar estratégicamente a los equipos de gestión ejecutiva a navegar por las cuestiones relacionadas con el cifrado y dirigir sus empresas hacia un enfoque equilibrado que les permita obtener lo mejor de esta tecnología al tiempo que evitan los riesgos?
Flexione sus músculos de gestión de riesgos
Decidir cuándo y dónde cifrar (y descifrar) es una verdadera prueba de los procesos y prácticas de gestión de riesgos de una empresa. Desde el punto de vista de la seguridad informática, esto significa mejorar el modelado de las amenazas. Se requiere un profundo conocimiento del entorno informático y empresarial globales para identificar los objetivos más críticos para los atacantes o los intrusos malintencionados.
A esto se añade la necesidad de comprender el impacto potencial de la encriptación en el negocio, porque si se encripta de extremo a extremo, siempre existe el peligro de afectar las transformaciones de datos o los procesos de negocio posteriores. Algunos tipos de datos pueden ser candidatos obvios para el cifrado, otros no. Algunos pueden incluso acabar con un cifrado doble, en el que se cifran tanto el tráfico de red, como los elementos de datos individuales. Pero todo esto debe considerarse a la luz del proceso empresarial específico en cuestión, y los riesgos potenciales frente a la necesidad de rendimiento del sistema. A menudo hay que encontrar un delicado equilibrio a la hora de determinar qué funciona mejor para la empresa.
Gestionar la seguridad periférica
Con el cifrado llega la necesidad de prestar más atención a la seguridad de los dispositivos y servicios periféricos, principalmente los portátiles y dispositivos móviles corporativos. En la mayoría de las empresas, es probable que esto forme parte de un esfuerzo continuo más amplio, desencadenado por el cambio al trabajo remoto durante la pandemia del virus Covid-19, en el que el cifrado ha desempeñado un papel importante a la hora de proteger los bordes más alejados de la empresa.
Muchas empresas están adoptando tecnologías de navegadores corporativos gestionados para los dispositivos informáticos de los empleados, lo que permite a los equipos de seguridad informática configurar y gestionar las políticas, ajustes, aplicaciones y extensiones de los navegadores desde una ubicación centralizada, en múltiples sistemas operativos y dispositivos.
Algunos están adoptando tecnologías SASE (single access service edge), un modelo de arquitectura en la nube que agrupa tecnologías de seguridad nativas de la nube y de la red, y que suele incluir capacidades de cifrado y descifrado del tráfico en línea para inspeccionar el tráfico hacia y desde el perímetro de la empresa. Independientemente de la tecnología utilizada, un mayor cifrado significa que los equipos de seguridad se centran más en los sistemas de los usuarios finales, lo que a su vez puede repercutir en el rendimiento de los usuarios finales.
Pensar de forma diferente
Por encima de todo, los CISO y sus equipos deben pensar de forma diferente sobre cómo supervisan y protegen los sistemas corporativos en los que se ha implementado el cifrado. Es hora de ser creativos y reconocer que, a menudo, hay varias formas de lograr los mismos objetivos.
La creatividad también entra en juego cuando se trata de incorporar todos los requisitos –de riesgo, empresariales y de seguridad– y proponer opciones que los cumplan todos. Se necesita mucha experiencia, conocimientos interfuncionales e imaginación para reunir todo eso. Corresponde a los responsables de seguridad acompañar a sus equipos en este viaje, y asegurarse de que cuentan con los conocimientos necesarios para comprender que, cuando el cifrado reduce la visibilidad, suele haber otros lugares donde buscar la información que necesitan sobre problemas e incidentes de seguridad.
Los CISO también tienen un papel que desempeñar para ayudar a orientar a los desarrolladores internos sobre dónde deberían (y tal vez no deberían) considerar la incorporación del cifrado en las aplicaciones y servicios en los que están trabajando.
Así que, cuando se plantee el tema de la encriptación (y se hará), es hora de que el CISO dé un paso al frente y tome la iniciativa en algunas conversaciones bastante sólidas que ayudarán a sus empresas a implementar esta tecnología como la herramienta de precisión que debe ser, y no como un instrumento de fuerza o, peor aún, un arma de doble filo.