¿Cuáles son los beneficios del servicio de cifrado ‘Traiga su propia llave’?
Los servicios de ‘Traiga su propia llave’ permiten que los clientes mantengan sus claves de cifrado, ¿pero en realidad es más seguro?
¿Qué beneficios ofrece el servicio de cifrado “Traiga su propia llave”? ¿En qué situaciones sería mejor utilizar dicho producto/servicio en vez de permitir que un proveedor guarde las llaves?
Los servicios de cifrado Traiga su propia llave (BYOK, por sus siglas en inglés) permiten a las empresas mantener el control sobre el acceso a sus datos cifrados. Cuando las empresas tienen preocupaciones acerca de cómo se comparte su información, un servicio BYOK es una forma de mitigar el riesgo de exposición no intencional o desconocido.
Considere lo que puede suceder cuando un proveedor de almacenamiento en la nube gestiona las claves de cifrado: El proveedor es responsable de crear un sistema de gestión de claves para atender a todos sus clientes, dicho sistema está protegido por las medidas de seguridad que el proveedor tiene –esto incluye los procedimientos de seguimiento y auditoría.
Algunos clientes que utilizan el servicio pueden ser perfectamente felices con que el proveedor de almacenamiento gestione todos los aspectos de la encriptación. Las pequeñas empresas, por ejemplo, tal vez no tengan personal con experiencia o el tiempo necesario para dedicarse a la gestión de claves. En tales casos, depender de un proveedor de almacenamiento puede ser la mejor opción para mantener un nivel deseado de seguridad.
Organizaciones sujetas a regulaciones de la industria y gubernamentales o que tengan requisitos de acceso a datos especialmente estrictos pueden desear conservar un mayor control sobre sus datos y cifrado. En tales casos, estas empresas no querrán que un proveedor de almacenamiento guarde la llave que podría abrir sus datos.
Considere este escenario hipotético: una compañía almacena documentos con un servicio de almacenamiento en la nube. Una agencia de la ley entrega una orden para que el proveedor de nube acceda a las copias de los documentos de la empresa. El proveedor, creyendo que tiene la obligación legal de cumplir con la orden, descifra los documentos y los libera. Bajo tal situación hipotética, si la organización del cliente conserva sus propias llaves, la agencia policial habría tenido que consultar con el cliente para descifrar los datos. Por supuesto, todas las partes involucradas tienen que seguir las leyes; utilizar un servicio BYOK no es una manera de eludir la ley. Sin embargo, puede haber casos en los que es importante para la parte que posee los datos conocer esas órdenes. Por ejemplo, imagínese si, sin conocimiento del proveedor de nube, los asesores legales del cliente reprimen con éxito la orden. ¿Deberían haber sido liberados los datos por el proveedor de nube? ¿Cuáles son las implicaciones de la liberación de los datos en virtud de una orden judicial que posteriormente fue considerada inválida? Estas son cuestiones legales que deben ser abordadas por profesionales del derecho.
Cuando las organizaciones necesitan o desean mantener el control sobre la divulgación de sus datos, usar un servicio de cifrado BYOK puede ayudar a mantener ese nivel de control. BYOK toca temas legales que van mucho más allá del alcance de la tecnología de la información y la seguridad y deben ser considerados por un asesor legal. No hace falta decir que nada en este artículo debe ser considerado como un consejo legal.