En el presente, las amenazas comunes incluyen el extravío de dispositivos portátiles, robo de PCs, laptops, y servidores; también el robo de información cuando los discos se desechan. El riesgo y severidad del robo de datos está en aumento, debido a cuatro factores predominantes:
•El aumento del valor de la información almacenada en PCs.
•El aumento en el uso de laptops fuera de los perímetros de seguridad de la red.
•El aumento masivo de la cantidad de datos almacenados.
•Los esfuerzos progresivos y la pericia de los ladrones de información.
Estos factores, junto con el creciente número de abusos publicados, están motivando la creación de más regulaciones concernientes a la protección y privacidad de la información.
La mayoría de las soluciones de protección, se basan en la idea de proteger el perímetro. Sin embargo, proteger el perímetro no es suficiente, ya que no resuelve algunos casos específicos comunes, tales como:
•La información que se acarrea en dispositivos portátiles.
•Cuando el ataque viene desde adentro de la empresa.
De acuerdo a la CSI/FBI (Computer Cryme and Security Survey del FBI), el hurto de la información propietaria es una de las formas más costosas de delito informático y, día a día su incremento es en altos porcentajes, añadiéndole a esto, el daño continuo causado por los virus de computadora.
Otras investigaciones revelan que: 82% de los negocios creen que los dispositivos de almacenamiento móviles (tales como memorias USB) son una amenaza significativa de seguridad. Al mismo tiempo, los encuestados admiten que no pueden controlar o supervisar el uso de estos dispositivos.
Últimamente, los crackers utilizan una técnica de: “secuestro de información” de computadoras conectadas en Internet; lo que hacen, es llevarse toda la información almacenada en ellas, o la encriptan, y si el propietario desea recuperarla, tendrá que pagar cierta cantidad de dinero para que ésta le sea devuelta.
Por ejemplo: la mayoría de las empresas desarrolladoras de software en el mundo, hasta hoy sólo cuentan con sistemas de protección de sus productos para evitar la piratería usando candados en hardware, mejor conocidos como Sentinel Ultra Pro, pero podría atreverme a decir que, muy pocos llegan mas allá de eso y, a partir de aquí, se deriva la pregunta: ¿tienen protegida el alma del negocio, “los códigos fuente”?
La solución: criptografía
Para mantener la privacidad e integridad de la información, se recomienda una protección con un alto nivel de criptografía, la cual se considera como “la última línea de defensa” contra los accesos no autorizados a la información confidencial.
La criptografía es una técnica eficiente utilizada desde siglos atrás para proteger la información usada en un inicio, para fines bélicos; técnica que ha ido evolucionando con el paso de los años. La criptografía actual utiliza algoritmos matemáticos que se aplican al dato, impidiendo su lectura (en caso de no ser el propietario de la información), y utilizan llaves de encripción y decripción para tal efecto.
La criptografía proporciona a la información los siguientes elementos:
•Privacidad.
•Autenticidad.
•Integridad.
•No Repudio.
Características de una solución criptográfica
Una solución de cifrado debe ser capaz de:
•Proteger y ocultar la información.
•Impedir el acceso a usuarios no autorizados a los datos almacenados en un disco duro, un dispositivo móvil o cualquier medio de almacenamiento, o datos que viajan por una red pública o privada.
•Ofrecer una administración sencilla, centralizada cuando se trata de grandes ambientes y completamente transparente para el usuario.
Si adicionalmente a la encripción, se desea robustecer el acceso de los usuarios a la información, se pueden usar dispositivos de autenticación de doble o triple factor para estar seguros de que la persona que está ganando acceso a la información, sea quien debe ser.
Esquemas de criptografía
La solución ideal debe ser capaz de soportar los dos esquemas de criptografía más comunes: en Llave Simétrica y Llave Asimétrica.
La criptografía en Llave Simétrica usa una misma llave para encriptar y decriptar la información, aquí se puede aprovechar el algoritmo AES a 256 bits, que es el más fuerte en este esquema. Un beneficio adicional de este tipo de criptografía, es que se obtiene un buen rendimiento.
Pero cuando realmente el valor de la información a proteger es incalculable, debemos usar el esquema más robusto, que es el de Llave Asimétrica, mejor conocido como PKI (Infraestructura de Llave Pública). Este consiste de un par de llaves diferentes que se corresponden matemáticamente. En teoría no se puede deducir una de la otra.
•La Llave Pública: se usa para encriptar datos, se comparte con los usuarios con los que se intercambia información.
•La Llave Privada: se usa para decriptar la información, está ligada a una Llave Pública, sólo debe poseerla el propietario. Esta llave debemos guardarla preferentemente en un dispositivo de: “Autenticación de Doble o Triple Factor”, para no crear vulnerabilidad en la misma.
PKI ofrece encripción de datos a longitudes de llaves de 1024, 2048 y 4096 bits, usando diferentes algoritmos.
Ejemplos de soluciones
Existe un amplio rango de soluciones de criptografía, que varían dependiendo de las necesidades del usuario. Por ejemplo, hay soluciones de encripción de disco duro que colocan una barrera de protección llamada; Pre-boot, haciendo un arreglo al Master Boot Record, impidiendo el acceso total al disco cuando no se es el propietario del equipo. No se podrá ver el contenido del disco aun si éste es removido del equipo y se coloca como secundario en otra computadora. En ocasiones, únicamente se necesitará encriptar un archivo o el contenido de una carpeta compartida en un ambiente de red y no el disco duro por completo, para esto también hay soluciones disponibles.
La criptografía y las regulaciones
Debido al constante robo de información, en muchos países del mundo se han creado regulaciones que obligan a empresas privadas, sobre todo del sector financiero y, a instituciones de gobierno, a encriptar la información sensible, y a su vez, castigar severamente a quién comete este tipo de delitos.
Algunos ejemplos de regulaciones son: The Gramm-Leach-Bliley (Estados Unidos, sector financiero), HIPPA Australian Federal Privacy (Australia), y European Data Protection Act (Europa).
Pero, ¿por qué esperar a una imposición? ¿Si su organización maneja información sensible?, –y prácticamente cualquier organización lo hace–, entonces les recomiendo que seriamente consideren adoptar una solución de criptografía de información.
Elección de proveedores y productos
En realidad, no hay muchas alternativas en el mercado que nos puedan ofrecer soluciones de cifrado con altos niveles de encripción y desempeño, por lo cual, debemos ser cautelosos para tomar la decisión correcta. Como consejo a seguir para tener la garantía de que la solución a elegir sea confiable en todos los sentidos, les recomiendo verificar que la solución que estén considerando cuente con al menos una certificación en cualquier nivel que se otorga a este tipo de productos, como FIPS, EAL o CCEAL.
Conclusión
Sin duda, las tecnologías de información, la implementación de regulaciones y de políticas, y su ejecución, son elementos que permiten a los individuos, empresas y países, establecer fuertes eslabones para protegernos de ataques y disminuir riesgos de pérdidas.
Una de esas tecnologías es: la integración de esquemas de criptografía, que nos dan como resultado esa “última línea de defensa” para proteger la información confidencial.
Acerca del autor
Roberto González Coronel es Gerente de Desarrollo de Negocios en México y Latinoamérica para SafeNet, una empresa líder a nivel mundial en soluciones de seguridad de la información. Roberto tiene nueve años de experiencia en Seguridad Informática, y cuenta con certificaciones en diversas tecnologías de redes, comunicaciones y seguridad informática.
- Log in to post comments