Economía digital | Artículos | 01 MAR 2004

Encriptación y seguridad

Protegiendo los datos en la empresa
I. Granado.
Los directivos de TI deberían examinar la validez de las técnicas de encriptación empleadas en la empresa. Hay que determinar a tiempo cuál es el grado de protección de los datos más importantes para la corporación. En caso de que los datos no estén lo suficientemente seguros, hay que estudiar cómo y cuándo poner en práctica una estrategia destinada a encriptar y proteger los datos más relevantes.

La consultora Robert Frances Group (RFG) estima que las técnicas de encriptación deben ser muy consideradas a la hora de mitigar riesgos en la exposición de datos durante el desarrollo de aplicaciones empresariales “end to end”. Este es un punto de partida fundamental para la protección de datos, pero la consultora también revela que el factor humano puede ser la causa de que una correcta política de encriptación de datos, termine por no servir para nada. La encriptación es la base para la protección del dato, pero debe ser acompañada de medidas administrativas que impidan taxativamente a personas desautorizadas el acceso a datos sensitivos y confidenciales.

Imperativos de negocio:
Las nuevas regulaciones en la protección de datos y las graves multas asociadas a un mal uso de los mismos, obliga a los directores de TI a tomarse muy en serio las políticas de protección de datos. Estos directores deben trazar una estrategia en la que quede documentada cuál es la política a seguir; qué datos son considerados críticos y cuál es la medida adoptada para proteger las diferentes tipologías de datos.
RFG advierte a los directores de TI para que presten una atención especial a la transferencia de datos entre aplicaciones antiguas y nuevas implementaciones, ya que en este punto suelen pasarse por alto las políticas de seguridad.
¿Por que debe estar documentada la política de protección de datos? En primer lugar, porque esto servirá para que no haya equívocos y malentendidos. Ya sabe que las palabras se las lleva el viento. En segundo lugar, porque la política de protección de datos es muy diferente según el tipo de actividad de la empresa. Así, es obvio que para una empresa destinada a la venta al por menor, el listado que refleja las compras realizadas por un cliente es un dato menos sensible que los datos de su tarjeta de crédito.
Sin embargo, para una hospital los datos de un paciente son datos altamente sensibles y que deben estar especialmente protegidos.
La definición de la protección asociada a cada tipo de datos puede ser sencilla en algunos casos; pero en la mayoría de los casos no lo es. En la creación de la documentación sobre la política de seguridad, no debe desestimar la idea de crear un grupo de trabajo en el que tengan cabida tanto asesores legales como el proveedor de la solución de encriptación de datos.
Una vez que ya tenga creada esa documentación sobre protección de datos y encriptación, no olvide que se trata de un documento “vivo”. La documentación debe ser actualizada a medida que la arquitectura de TI de la empresa va evolucionando, y a medida que la legislación de protección de cambia.
Además, esta documentación debe ser coherente con otros procedimientos de la empresa relativos a autenticación de usuarios, privilegios de acceso a datos, gestión de dichos privilegios y demás políticas de seguridad (acceso a Internet/ intranet) instauradas en la empresa.
La encriptación es una herramienta muy válida para la protección de datos sensibles. En la actualidad el mercado ofrece una amplia gama de soluciones orientadas a la encriptación de las filas, columnas y archivos de una bases de datos, durante el proceso destinado a migrar esta de una aplicación a otra. Los datos deben estar protegidos de principio a fin: en el lugar en el que están almacenados, en la migración de los mismos de un punto a otro y, tanto dentro como fuera del firewall corporativo.
Habitualmente, hay cuatro momentos de alto riesgo en la política de protección y encriptación de datos y que, por lo tanto, merecen especial atención: cuando los datos son introducidos por primera vez en una aplicación, cuando dichos datos son transmitidos de un sistema a otro, cuando los datos son almacenados localmente en un servidor y en las tareas en las que se hacen backup de los datos.
Introducción de datos. Una buena gestión de la entrada de datos pasa por la correcta protección del interface fron-end frente a modificaciones no autorizadas. Así, se logra prevenir una insercción monitorizada de datos. Puede parecer una tarea trivial, pero no lo es. En cualquier caso, en este nivel los productos de encriptación no pueden ofrecer un gran valor, ya que en la fase de entrada de datos es el propio empleado el que tiene acceso a los mismos.
Transmisión de datos. La transferencia de datos es el punto más peligroso de una arquitectura de aplicaciones ya que, una vez que los datos “fluyen a través de los cables” es mucho más difícil no sólo controlar el acceso a los mismos, sino tener una auditoría sólida sobre quien ha accedido al dato. Así, muchos fabricantes han creado productos centrados en el anterior problema y se puede confiar en este tipo de soluciones para cubrir las necesidades de encriptación en las transacciones web y en el uso de canales Secure Socket Layer (SSL) en aplicaciones cliente/servidor.
Protección de datos almacenados localmente. La protección de datos localmente almacenados puede realizarse de formas muy diversas, aunque típicamente implica técnic

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios