Video: ISO 27001 DESDE UN ENFOQUE PRÁCTICO (Noviembre 2024)
Si le preocupa que los datos de la empresa caigan en las manos equivocadas, entonces es hora de que considere la encriptación. Probablemente hayas escuchado hablar sobre el término, pero no estabas realmente seguro de lo que significaba o cómo podrías usarlo para beneficiar a tu organización. En términos literales, el cifrado es la transformación de datos de texto plano a texto cifrado. Piénselo de esta manera: los datos de su empresa son un poema de rima fácil de leer escrito en inglés. Cualquiera que pueda leer en inglés podrá descifrar rápidamente el texto del poema, así como el patrón de la rima del poema. Cuando se cifra, el poema se transforma en una serie de letras, números y símbolos sin secuencia o implicación obvia. Sin embargo, cuando se aplica una clave a ese desorden de texto desordenado, inmediatamente se transforma nuevamente en el poema original.
El cifrado no garantiza automáticamente que su empresa permanecerá a salvo de intrusos. Aún necesitará emplear un software de protección de punto final para asegurarse de que el ransomware no lo golpee, lo que se puede usar para chantajearlo para que renuncie a su clave de cifrado. Sin embargo, si los piratas informáticos intentan acceder a sus datos y se dan cuenta de que ha utilizado el cifrado en toda su empresa, es mucho menos probable que continúen el ataque. Después de todo, ¿qué casa elegiría más probablemente un ladrón para robar: el que tiene torretas de ametralladoras en el jardín delantero o el que tiene la puerta abierta de par en par?
"La mejor razón para cifrar sus datos es que disminuye su valor", dijo Mike McCamon, presidente y director de marketing de SpiderOak. "Incluso si ingresaron, todos los datos almacenados están encriptados. No tendrían forma de hacer nada si lo descargaran".
Para ayudarlo a determinar la mejor manera de proteger su empresa del robo de datos, he compilado las siguientes seis formas de implementar el cifrado en su organización.
1. Cifrado de contraseña
Es lógico pensar que si está utilizando contraseñas en su negocio, entonces debería estar a salvo de un ataque. Sin embargo, si los piratas informáticos obtienen acceso a su red, pueden llegar fácilmente al punto final donde se almacenan todas sus contraseñas y nombres de usuario. Piénselo de esta manera: el código para desbloquear su teléfono inteligente es solo una protección para ingresar a su teléfono inteligente si alguien no está parado sobre su hombro leyendo sus pulsaciones de botón. Bueno, los piratas informáticos pueden infiltrarse en su red, encontrar el punto donde se almacenan sus contraseñas y usarlas para ingresar puntos de acceso adicionales.
Con el cifrado de contraseña, sus contraseñas se cifran antes de que salgan de su computadora. En el momento en que presiona el botón Intro, la contraseña se codifica y se guarda en el punto final de su empresa sin ningún patrón descifrable. La única forma en que cualquier persona, incluidos los administradores de TI, puede acceder a la versión sin cifrar de su contraseña es emplear la clave de cifrado.
2. Base de datos y cifrado del servidor
El tesoro para cualquier hacker es la ubicación donde la mayoría de sus datos están en reposo. Si estos datos se almacenan en texto plano, cualquier persona que pueda infiltrarse en su configuración de seguridad puede leer y aplicar fácilmente esos datos a ataques adicionales o robos. Sin embargo, al cifrar sus servidores y bases de datos, garantiza que la información esté protegida.
Recuerde: todavía se puede acceder a sus datos en cualquiera de sus muchos puntos de transferencia, incluida la información enviada desde el navegador al servidor, la información enviada por correo electrónico y la información almacenada en los dispositivos. Voy a entrar en detalles sobre cómo cifrar esos datos más adelante en esta pieza.
3. Cifrado SSL
Si necesita proteger los datos que sus empleados y clientes envían desde sus navegadores al sitio web de su empresa, entonces querrá emplear el cifrado SSL (Secure Sockets Layer) en todas las propiedades web de su empresa. Probablemente haya visto el cifrado SSL empleado en otros sitios web de la compañía; por ejemplo, cuando se conecta a un sitio web y aparece un bloqueo en el lado izquierdo de la URL, esto significa que su sesión ha entrado en un estado encriptado.
Aquellas compañías que son hiper-paranoicas sobre el robo de datos deben entender que el cifrado SSL solo protege la transferencia de datos desde el navegador al sitio web. Protege contra los atacantes que pueden interceptar información mientras se transfiere desde el navegador al punto final. Sin embargo, una vez que los datos ingresan a sus servidores, se almacenan como texto sin formato (a menos que se empleen otros métodos de cifrado).
4. Cifrado de identidad de correo electrónico
Los hackers han ideado una forma ingeniosa de engañar a las personas para que den voluntariamente información personal. Crean direcciones de correo electrónico corporativas falsas, se hacen pasar por ejecutivos de la compañía y envían correos electrónicos con sonido oficial a los empleados que solicitan contraseñas, datos financieros o cualquier cosa que pueda usarse para perjudicar a una empresa. Con el cifrado de identidad de correo electrónico, sus empleados reciben una clave compleja que les dan a todos sus destinatarios de correo electrónico. Si el destinatario recibe un correo electrónico que dice ser del CEO de su empresa pero el correo electrónico no contiene el mensaje de descifrado, entonces debe ignorarse.
5. Cifrado del dispositivo
Todos sabemos sobre el cifrado de dispositivos de la reciente batalla de Apple con el FBI. Básicamente, descifra su dispositivo y los datos almacenados en él, cada vez que ingresa el código de acceso requerido para abrir la unidad. Esto se aplica a todos los dispositivos, desde computadoras portátiles y de escritorio hasta tabletas y teléfonos inteligentes. Sin embargo, es realmente fácil para alguien acceder a la configuración de su teléfono y deshabilitar el requisito del código de acceso. Esta es una forma súper conveniente de entrar y salir de su teléfono, pero también hace que el dispositivo sea vulnerable a cualquiera que (literalmente) lo tenga en sus manos.
Para proteger a su empresa de ataques prácticos, debe hacer que el cifrado del dispositivo sea un requisito para todos sus empleados, así como para cualquier socio de la empresa que almacene datos confidenciales en sus dispositivos. Su departamento de TI puede configurar esto utilizando el software de administración de dispositivos móviles (MDM).
6. Cifrado de extremo a extremo y de conocimiento cero
Quizás la versión más completa y segura del cifrado, el cifrado de extremo a extremo codifica todos los datos de su organización antes de que llegue a su punto final. Esto incluye todo, desde las contraseñas de inicio de sesión y las contraseñas de acceso del dispositivo hasta la información contenida en las aplicaciones y los archivos. Con el cifrado de extremo a extremo, los únicos que tienen acceso a la clave para descifrar sus datos son su equipo de TI y la compañía de software con la que trabaja para cifrar los datos en primer lugar.
Si necesita una protección aún más extrema contra la intrusión, el cifrado sin conocimiento mantiene su clave de cifrado en secreto, incluso de su socio de software. SpiderOak, por ejemplo, lo ayudará a cifrar sus datos, pero no almacenará la clave de cifrado necesaria para descifrar la información.
"Si alguien pierde su contraseña con nosotros, no podemos ayudarlo", dijo McCamon, en referencia a los clientes de encriptación de conocimiento cero de SpiderOak. "Queremos asegurarnos de que los clientes sepan que tampoco podemos leer sus datos".
McCamon dijo que es importante especificar con su socio de software si son de extremo a extremo o cero conocimiento, especialmente si se requiere conocimiento cero. "Lo único que sabemos sobre nuestros clientes es su nombre, dirección de correo electrónico, información de facturación y la cantidad de datos que almacenan con nosotros".