¿Cómo utilizar la criptografía en un Sistema de Gestión de Seguridad de la Información?
Sistema de Gestión de Seguridad de la Información
Hoy en día, la información viaja de forma constante de una parte a otra del mundo mediante correo electrónico, las transiciones en línea, unidades USB y discos duros externos, por lo que implementar un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001. Fuera de las instalaciones de la empresa, la información se encuentra en muchos lugares, como puede ser en servidores, routers, switches, proveedores externos, acarreos y más, antes de llegar a su destino final. Debe mantener su información bien guardada, ya que puede afectar apersonas fuera de su organización.
Para aclarar que se debe llevar a cabo y cómo, se establece una política de seguridad de la información, con la que conocer la utilización de los controles criptográficos que puede ayudar mucho. Además de mantener el control de la política criptográfica que se considera por diferentes puntos. Debemos saber qué hacer para configurar la política.
Cuándo utilizar los controles criptográficos
Los controles criptográficos deben utilizarse de forma que no sea necesario utilizar la información confidencial para protegerla contra cualquier acceso no deseado. La criptografía es la ciencia de la escritura en código secreto, mientras que el cifrado es un mecanismo específico para poder convertir la información en un código diferente que pueda ser descifrado sólo por las personas autorizadas.
Algunos ejemplos en los que podemos utilizar controles criptográficos son:
- Contar con un dispositivo con información confidencial que se encuentre fuera de la organización.
- Tiene que enviar un correo electrónico con información confidencial.
- Tiene un servidor de archivos con una carpeta en la que todos los trabajadores tienen acceso, pero uno o varios archivos contienen información confidencial.
- Contar con un sitio web público en el que todos los usuarios puedan acceder mediante la introducción de nombre de usuario y contraseña.
- Contar con un sitio web desde el que se pueda ofrecer un comercio electrónico y que tenga una pasarela de pago.
- Los trabajadores conectan con la red corporativa desde casa para acceder a los recursos corporativos.
Claves y certificados
Existen muchos algoritmos de encriptación, AES es uno de los más conocidos y potentes. Por lo tanto, el experto en criptografía debe ser definido no sólo por la política de seguridad establecida por el Sistema de Gestión de Seguridad de la Información, sino que también cuente con un algoritmo de cifrado. Este algoritmo no tiene que ser el mismo en todas las situaciones, aunque siempre que sea posible se recomienda.
Por otro lado, para cifrar la información, es necesario contar con una clave. Cuando la clave para cifrar y descifrare es la misma debemos tener un modelo de criptografía simétrica, mientras que, cuando sea diferentes debemos contar con un modelo de criptografía asimétrica. En ambos casos, el mecanismo para almacenar claves de forma segura es necesario para establecer el lugar en el que sólo las personas autorizadas tengan acceso.
Controles criptográficos y evaluación de riesgos
No tenemos que olvidar que la aplicación de los controles de seguridad según el Sistema de Gestión de Seguridad de la Información incluye todos los controles criptográficos, tiene que ser sobre la base de los resultados del análisis de riesgos. Por lo tanto, el nivel de protección de la información requerida debe ser identificado pero teniendo en cuenta el tiempo, la complejidad y la calidad del algoritmo de cifrado requerido.
Existen muchas opciones para realizar los controles criptográficos:
- Las herramientas de software ayudan a cifrar el contenido completo o por partes. Dichas herramientas de software también pueden ser utilizadas para proteger la información confidencial que se encuentra almacenada en los dispositivos extraíbles que pueden salir fuera de la empresa.
- Herramientas de software para cifrar la información de los correos electrónicos.
- Cifrar para las transacciones web críticas.
- El cifrado que se encuentran en las conexiones externas de la organización.
En algunos países existen regulaciones y restricciones sobre la utilización de los controles criptográficos, que pueden tener en cuenta para desarrollar la utilización de una política de controles criptográficos. Si desea conocer los reglamentos que existen en todo el mundo, se pueden consultar la legislación sobre seguridad de la información y la continuidad de negocio.
Información cifrada
De vez en cuando, nos encontramos con organizaciones en la que los trabajadores, o incluso los administradores o altos directivos tienen la información comercial confidencial en las unidades flash USB. Se deben hacer la siguiente pregunta ¿Alguna vez has pensado lo que puede ocurrir si estos pen drive contra pérdida o robo y las organizaciones que compiten para obtener información? La respuesta es que su organización puede comenzar a perder dinero, o incluso cerrar las puertas si la divulgación de la información ha sido muy crítica. Para evitar esto, la principal solución es muy simple: implementar un Sistema de Gestión de Seguridad de la Información con el que proteger la información y utilizar los controles criptográficos cuando la información sale de los límites de la empresa en base a la norma ISO 27001.
Software ISO 27001
El Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.