En una escala de 1 a 10, los encuestados en una encuesta global de Ponemon Institute han dicho que el riesgo y los costos asociados con la administración de claves o certificados era de siete o más, y han citado la falta de claridad en la propiedad de las claves como la razón principal.
“Hay un conocimiento creciente de que los beneficios en seguridad del cifrado provienen de las claves”, comentó Richard Moulds, vicepresidente de estrategia de producto de Thales e-Security, patrocinador del informe. “Los algoritmos de cifrado de datos son los mismos, lo que los hace seguros son la claves”.
Pero cuando las organizaciones utilizan más el cifrado, terminan con más claves, y más variedad de claves.
“En algunas compañías se pueden tener millones de claves”, afirmó. “Y cada día se generan más claves, que tienen que ser administradas y controladas. Si los chicos malos consiguen acceder a las claves, consiguen acceder a los datos. Y si las claves se pierden, perdemos el acceso a los datos”.
Otros factores que contribuyen al problema, son sistemas fragmentados y aislados, falta de personal formado y herramientas de administración inadecuadas. Y ahora los problemas son mayores que antes. “La proporción de gente que califica el problema percibido como mayor es más alta que el año pasado”, considera Moulds.
Una razón de que el problema crece podría ser que el cifrado se está volviendo más ubicuo, según Moulds, adoptado por sectores y compañías nuevas con los retos de la gestión de claves y certificados.
Según la encuesta, que está ahora en su décimo año, la proporción de compañías sin estrategia de cifrado ha decrecido del 38% en 2005 al 15% en la actualidad. Mientras, el porcentaje de compañías con una estrategia de cifrado aplicada de forma consistente en toda la empresa ha crecido del 15% al 36%.
El mayor crecimiento el año pasado estuvo en salud y distribución comercial, dos sectores afectados por problemas de seguridad que se han hecho públicos. En el sector sanitario y farmacéutico, el porcentaje de compañías con una utilización extensiva del cifrado ha pasado del 31 al 40 por ciento, y en la distribución minorista del 21 al 26 por ciento.
No obstante, por primera vez en la historia de la encuesta, la proporción del presupuesto de TI dedicado al cifrado ha caído. Entre 2005 y 2013, subió de forma consistente del 9,7 al 18,2 por ciento, pero cayó al 15,7% en el informe de este año.
El mayor impulsor del cifrado es la regulación y conformidad, con el 64% de los encuestados afirmando que utilizaban el cifrado por los requerimientos y regulaciones de seguridad de datos o privacidad.
Evitar la difusión pública después de sufrir un ataque y violación de datos fue citado como factor importante por un 9% de los encuestados.
La residencia de datos, por la que algunos países permiten que los datos protegidos salgan del país sólo si están cifrados, no aparece siquiera en la lista. “No aparece en la lista de motivaciones tanto como se podría pensar” dijo Moulds. “Pero la residencia de datos es un factor creciente, y creo que va a ser un factor decisivo en el futuro”.
– Maria Korolov, CSO (US)
