El cifrado o encriptación de datos en las empresas evita fugas de información y mitiga el coste de su impacto. Es una de las mejores soluciones de seguridad para proteger la información sensible, pero debes saber qué documentos cifrar y cómo implantarlo de forma efectiva.

 

El cifrado de datos, una solución de seguridad indispensable para proteger mi información

En prácticamente cualquier tipo de organización se gestiona información importante y confidencial que si llega a manos de quien no debe, puede suponer un perjuicio para la organización. Esta información puede contener datos de dirección, información financiera, datos estratégicos de la organización o incluso secretos industriales. También puede suponer un perjuicio para la empresa perder datos sujetos a una regulación como EU-GDPR en lo que respecta a datos de terceros. Esto es especialmente importante en sectores como el de Salud donde Centros Médicos u Hospitales gestionan datos de pacientes, donde deben ponerse las medidas de seguridad adecuadas para que no haya fugas de información.

Esto normalmente es asumido por todas las organizaciones: Saben que gestionan datos sensibles, propios o de terceros y entienden que deben ser protegidos para evitar posibles fugas. Por otro lado, los equipos de IT o Seguridad de las empresas saben que una de las mejores formas de proteger la información es a través del cifrado y de hecho a nivel de comunicaciones la encriptación es un requisito indispensable vía HTTPS/TLS.

De hecho, según un informe de Ponemon Institute para IBM, una de las formas más efectivas para reducir el coste de una fuga de datos es el cifrado o encriptación de datos.

factores mitigan coste impacto fugas de datos

Sin embargo, llama la atención que en la mayor parte de las fugas de información que se producen, en la información extraída el cifrado brillaba por su ausencia. De hecho, sólo en un  3% de las fugas de información, los datos extraídos estaban cifrados y eran inusables. Esto está siendo aprovechado recientemente en los ataques de ransomware donde ya no sólo se cifra la información para pedir un rescate, sino que se extraen los datos no cifrados de la organización y se pide un rescate por no hacerlos públicos.

Los creadores de ransomware se han dado cuenta que esto está siendo más efectivo que pedir un rescate por los datos encriptados, ya que en muchos casos las organizaciones recurren a las copias del backup para recuperar sus datos. Veíamos recientemente la noticia de un hospital que había pagado un cuantioso rescate a los atacantes que a través de un ransomware habían extraído 240 GB de datos no encriptados de la organización y amenazaban con hacerlos públicos.

¿Por qué no está más extendida la encriptación de datos en las empresas?

Cuando hablamos de información desestructurada (ficheros, documentos, etc.) no está ya tan claro quién debe cifrarla y qué información cifrar. La gestión de la información cifrada no es tan sencilla como la gestión de la no cifrada y al utilizarlo supone un cambio de mentalidad en la organización que hay que saber gestionar.

Los principales impedimentos que aparecen en las organizaciones para la utilización del cifrado son:

  • Es difícil de utilizar para el usuario medio: Tiene que gestionar contraseñas o certificados para acceder a los datos protegidos. Es posible que en su dispositivo pueda acceder correctamente, pero si lleva el fichero a otro equipo, necesita instalar software para descifrar la información. Se echan en falta herramientas que permitan gestionar la información cifrada de forma sencilla en cualquier lugar y dispositivo.
  • No hay guías claras de qué cifrar y qué no cifrar: Como decíamos anteriormente, no está tan claro qué información proteger y cuál no proteger. En algunas organizaciones se utiliza el cifrado de datos en reposo, encriptando por ejemplo el disco duro de los portátiles. Esto vale para prevenir fugas en caso de perdida del equipo, pero cuando se envían documentos desde ese equipo a terceros los ficheros salen desprotegidos. El cifrado de ficheros o encriptación de carpetas en servidores de ficheros requiere guiar a los usuarios finales en cuanto a qué información se deben proteger. También es importante recurrir a la automatización para facilitar la protección de ficheros, sobre todo en lo que respecta a encriptar carpetas o proteger datos en repositorios de información.
  • Dificultad para integrarlo con herramientas corporativas: En muchos casos la información más sensible se encuentra en aplicaciones como ERPs, aplicaciones de Recursos Humanos, etc. Introducir ficheros cifrados en determinadas aplicaciones corporativas puede “romper” los flujos de gestión documental interna ya que estas aplicaciones no están preparadas para gestionar documentos protegidos. Por otro lado, no es operativo para una organización de tamaño medio cifrar en base a contraseñas. Herramientas como el Directorio Activo son fundamentales para que se pueda gestionar de forma centralizada lo que un usuario cifra sin necesidad de utilizar passwords individuales por fichero o carpeta. Se requieren soluciones de cifrado que se puedan integrar de forma sencilla con las herramientas corporativas como AD, aplicaciones internas, etc.
  • Valor relativo del cifrado. Una vez descifrado el fichero, no se puede controlar: Al igual que sucede con el cifrado de email, el problema de un cifrado tradicional de ficheros en base a contraseñas o certificados es que una vez que se descifra el fichero, el usuario puede hacer lo que quiera con el fichero: Copiarlo, reenviarlo, etc. Ésta es una de las principales desventajas de la protección de información en “tránsito”. Acceder a la información protegida no debería implicar necesariamente desprotegerla por completo.
  • No facilita la auditoría de accesos a la información: Cuando hablamos de información confidencial, sensible o importante, es importante poder auditar y tener bajo control qué se hace con la misma: Quién accede, cuándo, si alguien que no tiene permisos no puede acceder, etc. Se requieren tecnologías que, manteniendo la información cifrada, puedan auditar los accesos a la misma.

impedimentos uso del cifrado de datos

¿Cuándo cifrar los datos y cuándo no cifrar?

Hemos hablado antes de acompañar con guías sencillas de cuándo proteger la información. Los usuarios deben saber cuándo proteger un fichero y cuándo no. Como el modelo de seguridad de Zero-Trust indica (ver “Forrester Five Steps for a Zero-Trust Network”) es importante identificar los datos que necesitas proteger.

Hay organizaciones que recurren a soluciones de búsqueda o identificación de información sensible, o a soluciones de etiquetado o clasificación de datos como primer paso para determinar qué se debe proteger o qué no. Sin embargo, no debemos olvidar que identificar información sensible o etiquetarla no significa protegerla. En este artículo hablamos sobre dos tecnologías que ayudan a clasificar y a proteger: DLP e IRM.

Muchas organizaciones disponen de políticas muy sencillas de clasificación de información con niveles tipo “Público”, “Uso Interno”, “Confidencial”, etc. Sobre el papel, parecen perfectas, pero ¿De qué valen si no podemos luego aplicarlas y proteger la información de “Uso Interno” o “Confidencial”?

Una aproximación práctica para decidir qué proteger y qué no proteger viene explicada en la siguiente figura:

criterios para proteger cifrar informacion

Dependiendo de la “toxicidad de los datos”, entendida como la medida en la que una posible pérdida o fuga de la misma puede perjudicar a clientes, empleados o la propia organización, debo aplicar una restricción o cifrado más restrictivo. Por ejemplo, si estoy gestionando información que puede suponer incumplimiento de regulaciones, deberé aplicar una protección restrictiva limitando el acceso a la misma a determinados usuarios de un determinado departamento y con permisos de sólo ver. Si la información puede tener valor para un competidor debería restringir su acceso o uso dentro de nuestra organización, pero no hacerla accesible a usuarios externos.

Llevando este modelo más al extremo y simplificándolo más, podría dar a los usuarios internos la siguiente guía: Si dispongo de datos que pueden perjudicar a la compañía, a empleados o clientes, esta información debe protegerse. Más adelante es posible diferenciar en el nivel de protección a aplicar, pero puede ser una buena guía para empezar.

 

determinar la sensibilidad de un dato

Para aplicar este tipo de guías es necesario disponer de soluciones de cifrado o protección que puedan ir más allá que el cifrado tradicional: Debo poder limitar quién puede acceder o no a mi información e incluso los permisos con los que puede acceder. No es válida una contraseña o sistema basado en certificados donde cualquiera que tenga la clave puede acceder o que una vez desprotegido, puedo hacer con el fichero lo que considere. En este sentido es clave disponer de una “protección en uso” de la información y no sólo protección en tránsito o en reposo.

La encriptación de datos requiere un cambio de mentalidad en las empresas

Como decíamos anteriormente, proteger o cifrar la información requiere un cambio de mentalidad en la organización, pero este cambio de mentalidad es necesario si queremos extender una cultura de protección dentro de la organización.

De hecho, al implantar un sistema de gestión documental en la empresa nos habremos enfrentado a algo similar. En la siguiente figura ponemos un símil del cambio que supone la implantación de un sistema de gestión documental con el cambio que supone cifrar la información o aplicar una estrategia de seguridad centrada en los datos.

comparacion del cifrado de datos y gestion documental

El Retorno de Inversión en cifrado es inmenso

Sin embargo, a pesar de este cambio de mentalidad en lo que respecta a la implantación de un sistema de gestión documental, todas las empresas que lo han implantado han observado sus beneficios.

Si hablamos de la posibilidad de evitar una fuga de datos el retorno de inversión o ROI (Return Of Investment) que obtenemos por la implantación de un sistema de protección centrado en los datos es aún mayor. En la siguiente figura mostramos el ROI relacionado de una solución de protección de información. Hay empresas que directamente han cerrado por el impacto de una fuga de información.

beneficios del cifrado de datos

Cualquier persona dentro de la empresa debe poder proteger sus datos

Viendo este Retorno de Inversión y los beneficios de reporta, todos los usuarios de la organización deben tener la capacidad de proteger sus datos a través de herramientas sencillas de utilizar. Si alguien en la organización dispone de un fichero con información sensible que debe proteger, debe saber que tiene que protegerlo y tener a su alcance la herramienta que le permita protegerlo sin tener que consultar con IT para entender cómo realizar la operación de cifrado.

personas empresa cifrar datos

La automatización ayuda

Siempre que sea posible debo poner las cosas lo más fáciles posibles a los usuarios de mi organización. Por ejemplo, protegiendo de forma automática la información sensible cuando:

  • Se almacene en una determinada carpeta de un servidor de ficheros o en una biblioteca de SharePoint o cualquier aplicación de nube como Box, Dropbox, Google Workspace, etc.
  • Sea descubierta en los equipos o servidores de ficheros por una solución de DLP como Forcepoint, McAfee o Symantec.
  • Sea identificada en la nube por una solución de CASB.
  • Se clasifique como “Confidencial” por parte de un usuario que utilice un sistema de etiquetado o clasificación de información como Titus, Boldon James, etc.
  • Se descargue de una aplicación interna corporativa de RRHH, ERP, etc. que contenga datos altamente confidenciales.

automatización de proteccion cifrado datos
En el siguiente artículo explicamos cómo automatizar la clasificación y protección de los datos de forma efectiva.

Es fundamental extender una cultura de protección en la empresa

Cifrar la información, como decíamos antes, ha demostrado ser una de las prácticas más útiles para proteger nuestros datos frente a una posible brecha de seguridad. Sin embargo, cifrar los datos no tiene por qué ser algo complicado, sino un medio útil para extender una cultura de protección en la empresa.

Desde SealPath recomendamos un ciclo de gestión segura de información basado en los siguientes pilares:

  • Protección: Cifrado y control de derechos sobre la información con IRM (Information Rights Management) o E-DRM (Enterprise Digital Rights Management) que permite protección en reposo, tránsito y uso de los datos.
  • Monitorización: Permitir al usuario saber qué está pasando con sus datos. Quién accede, cuándo, si alguien intenta acceder sin permisos.
  • Automatización: Allí donde sea posible, facilitar la protección a través de la automatización, por ejemplo, haciendo que los documentos que se almacenen en una determinada carpeta de un servidor de ficheros se protejan.

ciclo gestion segura datos informacion sensible

¿Quieres saber más y conocer cómo extender una política de cifrado de la información práctica y efectiva en tu organización? Contacta ahora con nuestro equipo y te ayudaremos lo antes posible.

No te pierdas lo último en protección de datos

✔ Accede a información por expertos en seguridad de datos.

✔ Conoce las nuevas normativas, tecnologías y tendencias.

#1 El blog de seguridad de datos más visitado.

Ya está, pronto recibirás las novedades en tu bandeja.