En todos los países, los requisitos relacionados con la seguridad de los datos y las normas de cumplimiento se revisan continuamente, y los profesionales de TI se enfrentan a un desafío cada vez más complicado para proteger sus datos. Paralelamente, las organizaciones se enfrentan a un número creciente de amenazas, desde phishing e ingeniería social hasta filtraciones de red, que requieren nuevos procedimientos y tecnologías.
Un ataque que recientemente apareció en los titulares fue el resultado de un equipo dado de baja sin cifrar. En este caso muy publicitado, se comprometió información personal confidencial, incluidos los números de seguridad social. Se alega que los datos sin borrar se dejaron en los servidores del centro de datos fuera de servicio sin cifrar debido a una falla de software. Con esto, la empresa pagó $60 millones para resolver una demanda por violación de datos.
Las filtraciones de datos de este tipo no son extraordinarias. De hecho, es desconcertante que el cifrado siga siendo un obstáculo para las empresas en la década de 2020. Para explicar por qué, tenemos que dar un paso atrás.
Tome su teléfono, por ejemplo. No necesita encriptar manualmente los datos, ni administrar manualmente o pensar en una clave de encriptación. Tanto para los usuarios de Apple como de Android , los datos personales de nuestros teléfonos están cifrados de forma predeterminada. Si pierde su teléfono, no tiene que preocuparse de que quienquiera que lo encuentre pueda acceder a los datos de ese teléfono. Sorprendentemente, este no es el caso de los datos empresariales. Ya sea que se almacenen en centros de datos de forma centralizada o en el perímetro, los datos a menudo no se cifran de forma predeterminada como lo son para los consumidores. Claramente, este es un problema grave para varios sectores, especialmente aquellos con grandes despliegues perimetrales, como telecomunicaciones, finanzas, comercio minorista y atención médica, donde múltiples ubicaciones perimetrales significan una mayor cantidad de posibles puntos de entrada para los piratas informáticos.
Entonces, ¿qué pueden aprender los equipos de TI empresariales de esta violación de datos y de la forma en que los dispositivos de los consumidores protegen nuestros datos? Para garantizar la seguridad de los datos comerciales y de los clientes de una organización, aquí hay dos demandas clave que los equipos de TI deben hacer al analizar sus necesidades de infraestructura.
Cifrado de datos en reposo automatizado y siempre activo
El cifrado de datos en reposo significa que los datos están protegidos dondequiera que estén almacenados. Es probable que la violación de datos mencionada anteriormente se haya producido porque la organización nunca había habilitado el cifrado de datos en reposo para los datos de los servidores fuera de servicio que eran responsables.
Si Joe Bloggs no necesita pensar si la información de su teléfono está cifrada o no, ¿por qué debería ser diferente para las empresas? ¿Cómo puede la infraestructura de TI de una organización ofrecer el mismo estándar para sus datos?
Para hacer esto, es vital observar las capas de software y hardware al mismo tiempo. La seguridad debe estar integrada en el hardware para que el software sea seguro. Una forma de lograr esto es crear la clave de cifrado en la capa de hardware. Esto refuerza la protección contra cualquier malware que ingrese a través de puertas traseras relacionadas con vulnerabilidades de software. También proporciona una base sólida para la autenticación segura, la gestión de claves de cifrado y el arranque seguro. Los usuarios pueden evitar tener que administrar las claves de cifrado y también pueden reducir el riesgo de error humano cuando las claves generadas por hardware se mantienen de forma segura en la capa de hardware.
En resumen, una clave de cifrado maestra basada en hardware funciona como un teléfono inteligente, lo que significa que los datos se cifran automáticamente cuando se escriben en el hardware. El cifrado siempre está activado y el usuario o el administrador de TI no necesitan pensar en ello.
Además del cifrado en reposo, los equipos de TI también deben considerar el uso de cifrado en tránsito para protegerse contra ataques de intermediarios, así como la autenticación de dos factores y el control de acceso basado en roles (RBAC), que garantiza que los usuarios solo pueden acceder a los datos que necesitan.
Borrado inherente de unidades de datos locales o de arranque en servidores fuera de servicio
Suponiendo que los datos estén encriptados desde el primer día, la forma más simple y efectiva de proteger los datos de los clientes después de que el servidor esté fuera de servicio es destruir la clave de encriptación. Esto no lleva más de unos segundos. Cuando se destruye una clave de cifrado, los datos cifrados quedan inaccesibles de forma permanente. Significa que incluso si el equipo se extravía o es robado, los datos no se pueden descifrar y acceder sin riesgo de que ocurra una violación de datos.
En un mundo donde los datos son el nuevo petróleo y las violaciones de datos ocurren con una frecuencia alarmante, el cifrado de datos automatizado y “siempre activo” debe ser un valor predeterminado para todos los dispositivos de infraestructura del centro de datos. Esta es un área crítica donde la tecnología empresarial puede aprender una lección de la tecnología de consumo. Al no dejar margen para el error humano, el cifrado automatizado proporcionará una capa vital para proteger los datos de una organización.
Fuente:
Editor’s Choice. (2022ab, junio 7). Data encryption: what can enterprises learn from consumer tech? Information Age. Recuperado 9 de junio de 2022, de https://www.information-age.com/data-encryption-what-can-enterprises-learn-from-consumer-tech-123499522/