Si la seguridad física es básica y se puede gestionar con controles de acceso o cámaras de seguridad, cada vez estos dispositivos están vinculados o son accesibles en red. De ahí que cada vez se más relevante el control también de los datos, lo que comúnmente denominados ciberseguridad.
En este artículo repasamos tres ideas básicas pero que deben tenerse siempre en cuenta, ideas prácticas vinculadas a la ciber higiene e imprescindible para crear una cultura cibernética centrada en la seguridad.
Antes de analizar estas tres ideas es importante recalcar que las empresas deben implementar sistemas de cifrado o ciptografía, la gestión de llaves y la gestión de identidad y acceso (IAM) para poder preservar la privacidad de datos. Vamos a analizar cada uno de estos campos de forma detallada:
Cifrado
No hay estrategia de seguridad digital completa sin un cifrado. Cuando se implementa este control de seguridad, las organizaciones pueden proteger todos sus datos (estructurados o no estructurados) que pueden encontrarse en entornos locales, virtuales, en nube pública o híbrida.
Con el cifrado las organizaciones logran defenderse ante las amenazas de infiltrados, de hackers y de ataques de software malicioso. La clave es sencilla: hay que implementar el cifrado en todos los datos (ya sea que estén en reposo o en movimiento). Un detalle: los datos son especialmente vulnerables cuando están en movimiento, y el cifrado ayuda a que la organización pueda resguardar esos datos sensibles. Es verdad que interceptar los datos en movimiento requiere de mayor experiencia… pero es una de las técnicas que pueden utilizarse para acceder a ellos, de ahí la importancia del cifrado de punto a punto.
Gestión de llaves
Como si de un efecto dominó… la protección del cifrado pierde su efectividad si el atacante consigue el control de las llaves del cifrado de la organización. En realidad, el atacante puede hacer un uso indebido de esas llaves para descifrar los datos de una organización, crear identidades fraudulentas y generar certificados maliciosos según lo desee.
Cuando todo esto se consigue, el efecto dominó sigue y con más fuerza. El atacante ya tiene la base para ataques secundarios (robo de identidad, creación de páginas – pishing suplantando identidad…). Todo esto se puede evitar mediante un ejercicio responsable en la gestión de llaves.
El control de seguridad en la gestión de llaves les permite las organizaciones administrar, almacenar y utilizar de manera segura sus llaves criptográficas. La forma más sencilla y habitual es implementar un módulo de seguridad de hardware (denominado HSM) ya sea en local o en la nube.
Gestión de Acceso e Identidad
En este capítulo partimos de un concepto básico: Los atacantes no pueden plantear una amenaza a los datos de una organización si no pueden acceder a ellos. Por eso nace el IAM.
Este control de seguridad es particularmente importante dado el incremento de uso de los dispositivos móviles, los dispositivos relacionados con el “Internet de las Cosas” (IoT) y el acceso a los datos en la nube. Estos y otros activos han disuelto los límites tradicionales de la red a medida que se fueron ampliando para incluir a colaboradores, socios y clientes remotos, todos con roles y accesos definidos.
En respuesta a estos desarrollos, las organizaciones deberían implementar controles que limiten el acceso a los recursos e información en función del rol de sus colaboradores y las obligaciones de sus puestos. Estos controles deberían incluir el uso de una autenticación de múltiples factores (MFA) para proteger las cuentas de los usuarios.
Una estrategia de seguridad de los datos optimizada contemplando el cifrado, la gestión de llaves y la IAM son controles de seguridad que pueden ayudar a las organizaciones a proteger su información sensible.
Es importante reconocer en este punto que los entornos de las organizaciones se vuelven cada vez más complejos y algunas organizaciones tal vez tengan dificultad para implementar separadamente cada una de estas medidas por sí mismas.
Es por ello que las organizaciones deberían considerar invertir en una plataforma de solución que les brinde la escalabilidad, flexibilidad y eficiencia necesarias para abordar sus necesidades cambiantes de cifrado, gestión de llaves y otros recursos de seguridad de los datos almacenados en todos sus entornos, al mismo tiempo que estarán reduciendo costos y complejidades innecesarios al contar con un esquema de gestión y control centralizado.
Somos Servislink, una empresa dedicada a proporcionar soluciones de seguridad, energía y servicios tecnológicos desde hace más de veinte años. Nos especializamos en la instalación y mantenimiento de sistemas de seguridad, videovigilancia, control de accesos, y gestión energética, incluyendo soluciones fotovoltaicas y de recarga para vehículos eléctricos. Nuestro equipo de ingenieros y técnicos altamente cualificados trabaja para ofrecer soluciones innovadoras y personalizadas, enfocadas en satisfacer las necesidades de empresas, industrias y comunidades en la Comunidad de Madrid.