Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Proteja sus copias de seguridad de datos con buenas prácticas de gestión de claves de cifrado

Buenas prácticas de gestión que es vital conocer para sacar el máximo partido de la inversión en cifrado y minimizar los riesgos comerciales.

No es probable que entre los objetivos a largo plazo de su organización figure el de aparecer en las estadísticas de de violación de la confidencialidad de datos personales. Para evitar ese problema, puede cifrar sus backups y soportes de almacenamiento móviles. Sus respaldos estarán seguros y a salvo de citaciones o emplazamientos por violación de la confidencialidad de los datos impuestos por las normas de protección de datos –hasta que alguien explote un punto de vulnerabilidad de sus prácticas de gestión de claves de cifrado. 

Las prácticas de gestión de claves descuidadas son una forma infalible de anular buena parte, sino es que todas, las ventajas del cifrado de los datos conservados, y pueden poner a su empresa en verdaderos aprietos.

A continuación se describen varias buenas prácticas fundamentales para la gestión de claves, necesarias para sacar el mayor partido de la inversión en cifrado y minimizar los riesgos comerciales, sea cual sea el tamaño de la entidad:

La gestión de claves requiere planificación inicial y administración permanente

Compruebe que tiene implantados los recursos necesarios para la emisión, renovación y revocación de claves, para elaborar y aplicar políticas, para garantizar el mantenimiento y seguimiento del sistema, y que demás tiene todo eso en todos y cada uno de los sistemas de respaldo.

Trabaje con sus proveedores actuales de backup, almacenamiento y seguridad de los datos, o busque otros que le ayuden a implantarlo. Las soluciones genéricas de gestión de claves para la empresa de NetApp Inc., RSA (la división de seguridad de EMC Corp.), Thales y Venafi Inc. pueden ofrecer lo que usted necesita. Si sólo desea una gestión de claves a nivel de backup/almacenamiento, conviene buscar productos más específicos, como el Storage Secure Key Manager de Hewlett-Packard (HP) y el dispositivo de cifrado Q3e de 10Zig Technology o su unidad de cinta con cifrado Q3i, así como unidades más corrientes de IBM, Sun Microsystems y Storage Tek. Dependiendo de su enfoque, quizás deba acudir a varios proveedores de gestión de claves.

Sus iniciativas de gestión de claves tienen que ser planteamientos todo o nada, al menos en la medida en que usted sepa exactamente qué hay en cada sitio. Cifrar algunos datos y otros no, sin comprender los tipos de datos específicos almacenados en cada ubicación, puede resultar peligroso. Basta con que se pierda una cinta de respaldo que “no necesitaba cifrado, porque no contenía nada valioso” para crear un problema grave.

Utilice el principio de la división de tareas

Ya sé que es una de esas “buenas prácticas” de seguridad que todo el mundo predica pero que a menudo resulta difícil de implantar, pero aún así hay que intentar aplicarla. Es fundamental tener a más de una persona para almacenar, hacer las copias de seguridad, referenciar y asegurar la rotación de las claves de cifrado. En ese proceso, asegúrese de definir las funciones de los principales participantes, para que todo el mundo siga las mismas reglas del juego. Ponga su política de gestión de claves por escrito, y guárdela en algún sitio de la intranet de fácil acceso para todo el mundo.

No dé nunca por sentado que 'cifrado' significa 'seguro'

Siempre existe la posibilidad de que alguien consiga acceder a sus soportes y averiguar de alguna manera sus claves de cifrado. Sepa cuáles son los puntos vulnerables de su entorno. Si así lo aconseja una mayor vulnerabilidad física u otros riesgos, contemple la utilización de claves de hardware secundarias, si las hay disponibles. 

Lo anterior requiere disponer tanto de la clave de hardware como de la clave de software del respaldo original para descifrar los backups, lo cual supone añadir otro nivel de seguridad. Esta práctica puede estar muy justificada en empresas de sectores como la banca, el educativo y la salud.

Como tantas otras cosas relacionadas con la seguridad, la gestión de claves sigue estando relativamente verde todavía. La buena noticia es que hay entidades del sector como OASIS EKMI, NIST, y el IEEE que están buscando la manera de simplificar las cosas y hacer posible la interoperabilidad en el sector.

Información sobre el autor: Kevin Beaver es consultor, orador y perito de seguridad de la información de Principle Logic, LLC, una empresa de Atlanta. Lleva siete años trabajando por su cuenta, y está especializado en la realización de evaluaciones de seguridad independientes y en ayudar a los profesionales de la informática a mejorar su trabajo a través de sus audiolibros y su blog sobre seguridad de la información, Security On Wheels.

Este artículo se actualizó por última vez en octubre 2009

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close