Uso de técnicas criptográficas

Uso de técnicas criptográficas

Uso de técnicas criptográficas

Antecedentes

La información sensible y confidencial que manejamos en la empresa:

    • bases de datos, registros de usuarios, correos electrónicos confidenciales; 

    • información sujeta a protección legal; 

    • backups; 

    • información confidencial en dispositivos extraíbles y móviles; 

    • credenciales de acceso y para pagos online, etc. 

por su trascendencia para nuestro negocio debe estar especialmente protegida tanto en

tránsito como cuando está almacenada.

Para proteger esta información, además de controlar el acceso [15] a la misma y proteger los sistemas [16] con los que la manejamos, utilizaremos herramientas criptográficas que cifren nuestros datos, haciéndolos ilegibles por aquellos que no dispongan de la clave de cifrado. De esta manera garantizaremos la confidencialidad e integridad de la información sensible cuando está almacenada.

Las técnicas criptográficas permiten también firmar digitalmente documentos y correos electrónicos relevantes [5] (como facturas, contratos, etc.), lo que garantiza además la autenticidad y no repudio de los mismos. Esto es muy útil en el caso de realizar ciertas gestiones online, como las realizadas con la administración [6].

Tanto para el cifrado de la información como para el uso de la firma digital, se debería realizar un análisis previo que determine claramente que datos de la empresa se deben cifrar y que situaciones o usuarios requieren de firma digital.

Asimismo, cabe destacar la importancia de utilizar protocolos seguros en nuestras comunicaciones, tanto para nuestros empleados como para los usuarios de nuestros servicios. En particular se aconseja el uso del certificados web de validación extendida para los servicios gestionados a través de la web [7] (sobre todo si conllevan transacciones económicas como en las tiendas online) o el uso de VPN [18] para el acceso de teletrabajadores.

Objetivos

Garantizar que se hace un uso adecuado y eficaz de las técnicas criptográficas para asegurar la confidencialidad, integridad, autenticidad y el no repudio de la información sensible manejada por la empresa, tanto almacenada como en tránsito. Por ejemplo: datos de carácter personal, información sensible o información confidencial, backups en la nube o en proveedores externos, datos en móviles o dispositivos extraíbles, contratos, facturas e intercambios comerciales o con las Administraciones Públicas, accesos remotos, etc.

Los puntos clave de esta política son:

  • Información susceptible de ser cifrada. La clasificación de la información nos ha de servir para saber qué información debe ser cifrada para garantizar su confidencialidad e integridad. Dicha información puede ser: 

    • información sensible, de carácter personal o confidencial; 

    • registros con credenciales de autenticación

    • información almacenada en dispositivos personales o de terceros (incluidos los servicios cloud) que carecen de los controles de seguridad adecuados; 

    • información transferida a través de redes de telecomunicación no confiables o en soportes de almacenamiento físicos no protegidos adecuadamente. 

  • Uso de firma electrónica. Haremos uso de la firma electrónica en aquellos escenarios en los que sea imprescindible garantizar la autenticidad y el no repudio de la información, como para realizar trámites con las Administraciones Públicas o emitir facturas. Tendremos que elegir qué tipo de certificado de representación legal queremos implantar: 

    • certificado de persona jurídica; 

    • certificado de pertenencia a empresa; 

    • certificado de representante;  

    • certificado de factura electrónica. 

Seleccionaremos el prestador de servicios que generará nuestros certificados. Además, controlaremos:

    • periodo de validez; 

    • posibilidad de revocación; 

    • cumplimiento con la legislación (prestadores cualificados); 

    • gestión de su almacenamiento. 

  • Certificados web para garantizar la seguridad de la información en nuestro sitio web, en especial si se trata de una tienda online adquiriremos un certificados web (SSL/TLS) : 

    • para un dominio, múltiples dominios y subdominios, wildcard; 

    • validación de dominio, de la organización y validación extendida (para tiendas online). 

  • Cifrado de datos sensibles cuando se contratan servicios externos. Si necesitamos contratar servicios externos que traten datos confidenciales o sensibles verificaremos que las trasferencias de datos son seguras, bien cifrando los datos antes de transferirlos o bien utilizando canales seguros. Estos son algunos ejemplos: 

    • si contratamos un servicio de gestión que incluya el tratamiento de datos personales (por ejemplo: nóminas, seguridad social,…) o confidenciales nos aseguraremos que las transferencias de datos se realizan con canales cifrados (por ejemplo vía VPN o cifrando los datos antes de enviarlos); 

    • si hacemos backup en la nube de ficheros que contengan datos confidenciales o datos personales de empleados o clientes, tendremos que cifrarlos; 

    • si contratamos pasarelas de pago para nuestra tienda online, siempre que sea posible, es preferible no almacenar datos de transacciones en nuestra web (cuentas, tarjetas,…), eligiendo proveedores que hagan toda la transacción cumpliendo el estándar PCI-DSS [11]

  • Cifrado de datos sensibles cuando se solicitan desarrollos de aplicaciones. Si vamos a contratar el desarrollo de un aplicativo web o una app para dispositivos móviles que ofrezca acceso a nuestros usuarios (login), las claves de acceso han de almacenarse cifradas. Todos los desarrollos que traten datos personales deben contemplar criterios de privacidad por defecto y por diseño. 

    • La privacidad por diseño es la que incorpora, desde que se concibe un servicio hasta en su despliegue y operación, las medidas tecnológicas para preservar la privacidad de los usuarios. 

    • La privacidad por defecto protege los datos del usuario en los ajustes por defecto. El diseñador de los servicios, bien por su construcción, o en los parámetros configurables por el usuario, elegirá los más respetuosos con la privacidad, no permitiendo funcionalidades extendidas por defecto que afecten a los datos de los usuarios, a no ser que este las elija explícitamente. 

  • Acceso desde el exterior con VPN. Si tenemos teletrabajadores o autorizamos el acceso desde el exterior a los servidores de nuestras instalaciones, tendremos que habilitar canales VPN [13 y 18] cifrados que garanticen la confidencialidad e integridad de las comunicaciones siguiendo la Política de uso de wifis y conexiones externas [19]. 

  • Algoritmos de cifrado autorizados. Para evitar el uso de sistemas de cifrado obsoletos debemos aplicar algoritmos de cifrado actuales comprobando que estén vigentes. Se tendrán en cuenta de forma prioritaria los algoritmos y sistemas de cifrado de carácter abierto y de especificación pública (conocidos y evaluados ampliamente). Se aconseja el uso de sistemas de cifrado asimétrico en detrimento de los sistemas de cifrado simétrico

  • Aplicaciones autorizadas para usos criptográficos. Conviene tener una lista de las aplicaciones autorizadas para fines criptográficos. Asimismo podemos detallar el uso concreto de cada una de ellas. 

    • cifrado del disco de arranque; 

    • cifrado de discos internos y extraíbles; 

    • cifrado de correo; 

    • cifrado de backups; 

    • cifrado de ficheros y directorios; 

    • cifrado de dispositivos móviles. 

  • Uso de protocolos seguros de comunicación. Tendremos que proporcionar a los empleados, si las necesitan para su actividad, formación y herramientas de comunicación que utilicen protocolos criptográficos actualizados. De esta forma podremos garantizar la confidencialidad al acceder a nuestros sistemas, tanto si se ubican en nuestras instalaciones como si se ubican en las instalaciones de proveedores. Entre otros se incluyen los siguientes protocolos: 

    • SSH para el acceso seguro remoto a la administración de equipos (no utilizar Telnet que no va cifrado); 

    • SFTP/FTPS para la transferencia segura de ficheros; 

    • HTTPS para la transferencia segura de datos en servicios web críticos (pagos online, descarga de información sensible, etc.).  

  • Cifrado de la wifi de la empresaConfiguras la wifi de la empresa con el estándar de cifrado más seguro, actualmente WPA2, y cambiaremos su clave de acceso por defecto. 

 

¡¡¡ NO TE LA JUEGUES !!!

La máxima seguridad es tu comprensión de la realidad

Suscríbase

¡No te pierdas nuestras futuras actualizaciones! ¡Suscríbase hoy!

©2024 DEFENSA DIGITAL.Todos los derechos reservados.