El 28 de enero se conmemora el Día de la Privacidad de los Datos. Es una fecha emblemática de las iniciativas de educación y concientización del Centro de Ciberseguridad Nacional en torno a la privacidad en línea. Su objetivo general es promover el diálogo sobre la importancia de la privacidad.
El Día de la Privacidad de los Datos no está únicamente orientado hacia las personas particulares y sus vidas personales, ya que esto también tiene un rol muy importante en el contexto de la vida laboral. Las empresas tienen un papel crucial en el que hacer de la protección de la privacidad en línea de sus colaboradores, socios comerciales y, fundamentalmente, de sus clientes.
En otras palabras, deberían implementar el cifrado o criptografía, la gestión de llaves y la gestión de identidad y acceso (IAM) para ayudar a preservar la privacidad de los datos que tienen almacenados. Una buena estrategia que las organizaciones pueden adoptar es seguir las mejores prácticas de ciber higiene y crear una cultura cibernética centrada en la seguridad.
Las siguientes son algunas sugerencias de Thales sobre los controles de seguridad recomendados para evitar alguna vulnerabilidad en sus sistemas de información:
1. Cifrado
La estrategia de seguridad digital de una organización no estaría completa sin el cifrado. Al implementar este control de seguridad, las organizaciones pueden proteger todos los datos –ya sean estructurados o no estructurados– que se encuentran en todos sus entornos locales, virtuales, de nube pública e híbrida.
Para poder defenderse ante las amenazas de infiltrados, los ataques maliciosos y los hackers, deberían implementar el cifrado en todos sus datos en reposo y en movimiento.
Esta última medida es especialmente importante ya que los datos son especialmente vulnerables cuando se están moviendo de un lado a otro, y este cifrado ayuda a la organización a resguardar los datos sensibles, los archivos de audio y video, y la información en general contra el espionaje, la vigilancia y otros intentos de interceptación.
2. Gestión de llaves
La protección del cifrado pierde su efectividad si un atacante obtiene el control de las llaves de cifrado de la organización. De hecho, el atacante puede hacer un uso indebido de esas llaves para descifrar los datos de una organización, crear identidades fraudulentas y generar certificados maliciosos según lo desee. Estas acciones maliciosas sientan las bases para ataques secundarios, tales como el robo de identidad y la creación de páginas de suplantación de identidad (phishing) protegidas por HTTPS.
Afortunadamente, las organizaciones pueden minimizar el riesgo de este tipo de ataques mediante el ejercicio de la gestión de llaves. Este control de seguridad les brinda a las organizaciones un medio por el cual pueden administrar, almacenar y utilizar de manera segura sus llaves criptográficas. Con frecuencia, las organizaciones realizan una gestión de llaves al implementar un módulo de seguridad de hardware (HSM) en forma local y/o en la nube.
3. Gestión de acceso e identidad
Los individuos maliciosos no pueden plantear una amenaza a los datos de una organización si no pueden acceder a ellos. Ese es el propósito de la IAM. Este control de seguridad es particularmente importante dado el incremento de uso de los dispositivos móviles, los dispositivos relacionados con el “Internet de las Cosas” y el consumo de computación en la nube.
Estos y otros activos han disuelto los límites tradicionales de la red a medida que se fueron ampliando para incluir a colaboradores, socios y clientes remotos. En respuesta a estos desarrollos, las organizaciones deberían implementar controles que limiten el acceso a los recursos e información en función del rol de sus colaboradores y las obligaciones de sus puestos.
Estos controles deberían incluir el uso de una autenticación de múltiples factores (MFA) para proteger las cuentas de los usuarios. Una estrategia de seguridad de los datos optimizada contemplando el cifrado, la gestión de llaves y la IAM son controles de seguridad que pueden ayudar a las organizaciones a proteger su información sensible como lo sugiere el Día de la Privacidad de los Datos.
Sabemos que los entornos de las organizaciones se vuelven cada vez más complejos y algunas organizaciones tal vez tengan dificultad para implementar separadamente cada una de estas medidas por sí mismas.
Es por ello que las organizaciones deberían considerar invertir en una plataforma de solución que les brinde la escalabilidad, flexibilidad y eficiencia necesarias para abordar sus necesidades cambiantes de cifrado, gestión de llaves y otros recursos de seguridad de los datos almacenados en todos sus entornos, al mismo que tiempo que estarán reduciendo costos y complejidades innecesarios al contar con un esquema de gestión y control centralizado.
______________________
El autor de este artículo, Román Baudrit, es Vicepresidente de Ventas para América Latina, responsable del área de Protección de Datos para Thales Cloud Protection and Licensing.
