??Encripci??n total o encripci??n parcial?

Por Andrés Lamouroux

En pocas semanas estaremos realizando el lanzamiento de la versión 5.2 de nuestra solución de protección para puntos finales Aranda 360 ENDPOINT SECURITY.

La encripción total del disco duro (Full-Disk Encryption) será una nueva funcionalidad que complementa la tecnología ya existente de encripción a nivel de archivos y directorios. Aquí explicaré por qué ésta es una innovación en el mercado y cómo pretende abordar esta tecnología las necesidades reales del mismo.

A finales de 2007, el mercado de soluciones de encripción había experimentado grandes cambios. Muchos casos sobre pérdidas y/o robos de información han venido siendo publicados repetidamente en las primeras páginas de los medios y los proveedores de seguridad han comenzado a incorporar tecnologías de encripción en sus productos: Symantec compró Vontu y, McAfee adquirió SafeBoot; estos son dos de los ejemplos más notables.

Muchas empresas también empezaron a reconocer cuán importante y cuán vulnerable podría ser la información de sus negocios como parte esencial de un entorno móvil y distribuido.

La industria hablaba mucho sobre la movilidad en ese entonces, pero ¿qué sucede con la movilidad hoy en día? La movilidad se encuentra a la orden del día. Las compañías continúan adquiriendo soluciones de movilidad, incrementando aún más los riesgos asociados con la pérdida de datos y la fuga de información.

De acuerdo con Gartner, las ventas de computadores de escritorio vienen disminuyendo. Adicionalmente, las ventas de computadores portátiles en Europa Occidental aumentaron en un 24,3% en el tercer trimestre del 2008, en comparación con el mismo período en el año 2007. Esta tendencia afecta dramáticamente y en la misma magnitud tanto a personas,  como a organizaciones públicas y privadas.

En el 2008, la prevención de pérdida de datos (DLP) se convirtió en el tema favorito de la industria y los especialistas de seguridad trataron de encontrar una forma de innovar y apoyar un enfoque visionario sobre el futuro de este mercado.

El resultado: DLP describe la necesidad de proteger todos los datos críticos dentro de la infraestructura tecnológica; un costoso y complejo problema que requiere una compleja y a menudo, costosa solución. Naturalmente, el énfasis se trasladó a la encripción de los datos como una forma de tener una primera línea de defensa real y contar con una estrategia de protección de la información transparente y eficaz, que al mismo tiempo cumpla a conformidad con muchas regulaciones y requerimientos propios de las auditorías internas.

Sin embargo, podríamos preguntarnos ¿cuál es el índice actual de penetración de estas tecnologías de encripción en el mercado? Los estudios estiman que el 60% de las compañías en Latinoamérica nunca ha hecho uso de alguna de estas tecnologías. Según el reporte publicado este año por el Centro de Recursos de Robo de Identidad, el 70% de las organizaciones que sufrieron pérdidas de datos admitieron que la encripción de la información no hacía parte de su estrategia de seguridad.

El 82% cree que el riesgo se habría reducido significativamente si los datos hubieran estado encriptados. Si esto es cierto, entonces ¿por qué las compañías se encuentran ante semejante situación? ¿Acaso están esperando tener más claridad en las ofertas?, ¿Esperan que aparezcan más estándares en la industria de la tecnología?, ¿Esperan también tener que cumplir con reglamentaciones más estrictas? ¿O acaso están esperando que su primer incidente de pérdida o robo de información se haga público?

La mayoría de las organizaciones se encuentran a la espera de una reglamentación o regulación más precisa y orientada a los negocios, antes de tomar una decisión que involucre la estrategia de encripción de datos. Sin embargo, las organizaciones no deberían dejar pasar más tiempo, ya que el daño sufrido por un primer incidente les podría resultar demasiado costoso.

El rol de un proveedor de seguridad no se limita únicamente a ofrecer una solución “lista-para-usar”; todos sabemos que el tratamiento que se le da a un “archivo confidencial” es diferente en todas las organizaciones: bases de datos de clientes y prospectos, información financiera, patentes, código fuente de software, etc., la lista es interminable.

Adicionalmente, los hábitos de trabajo varían según el sector de la industria. Una tarea importante para los vendedores de seguridad es comprender que los clientes se enfrentan a grandes retos en la prevención de pérdidas de datos al mismo tiempo que permiten que varios empleados compartan una misma máquina.

En cuanto a la recuperación de la información, la administración de las llaves de encripción también parece haberse convertido en una verdadera pesadilla para las compañías. Las organizaciones deben considerar la posibilidad de disponer de servicios de consultoría que les proporcione orientación y asistencia, especialmente en procesos de recuperación de datos, asesoría en la implementación de mejores prácticas para realizar copias de seguridad de los datos cifrados y para ejecutar procesos de descifrado de los mismos. Este rol de entrenamiento también es una parte esencial de la responsabilidad que tiene la industria.

La encripción a nivel de archivos o directorios puede no ser una medida suficiente para proteger la información de una organización. ¿Pero es la encripción total del disco duro, la alternativa para optimizar la eficiencia? Si el propietario de la información no provee autenticación alguna, todos los datos permanecen cifrados y no están expuestos a la vista de cualquiera, ese puede ser un gran beneficio. Pero cuando el usuario ya se ha autenticado en su sistema, todos los recursos quedan accesibles y es aquí donde se expone la verdadera debilidad de tener la encripción total del disco como única opción para la protección de la información.

La encripción total del disco es una forma de proteger el sistema y la información contra robo o pérdida. Sin embargo, si se combina la encripción total de disco con la encripción a nivel de archivos y directorios en una única solución, esta llega a convertirse en una especie de “santo grial” de las tecnologías de encripción. Con esta única combinación, administrada de forma centralizada, los administradores de TI de las empresas pueden sentirse orgullosos de demostrar que han implementado lo mejor de ambas tecnologías y que s
u barrera de protección de la información es impenetrable.

En cuanto a la encripción “al-vuelo”, después de que un usuario se ha autenticado apropiadamente en el sistema, la integridad del disco se desencripta pero los archivos confidenciales permanecen protegidos. No habría posibilidad entonces de un ataque a este nivel de seguridad, a menos que sea causado por el propio administrador del sistema. El administrador puede compartir tranquilamente la máquina con otros usuarios mientras los archivos altamente sensibles permanecen inaccesibles. No hay mejor solución que una tecnología de “doble cifrado”.

En combinación, ambas tecnologías son flexibles y permiten implementar jerarquías de confidencialidad, son fáciles de implementar y son transparentes para el usuario final. Puedo sugerir que al final, ninguna otra tecnología puede sustituir la combinación del cifrado “al-vuelo” y la protección de datos a prueba de tontos. Esta previene contra la pérdida y robo y permite su implementación en sistemas compartidos por varios usuarios.

Algunos fabricantes de hardware creen que pueden incorporar tecnologías de cifrado dentro del mismo disco duro de la máquina. Pero se olvidan del costo que tendría tal alternativa, al igual que de la necesidad de una hacer recuperación de la información en caso de presentarse un daño grave del sistema. Una funcionalidad de cifrado integrada al disco, no permitiría definir una estrategia de encripción granular de los archivos, de los discos duros internos y de los dispositivos removibles, para los múltiples usuarios de un sistema.

La encripción de la información tiene un futuro brillante. La desmaterialización, la movilidad, las herramientas colaborativas, y las regulaciones hacen que la tecnología sea ineludible. Todas las empresas deberían entender que los peores escenarios posibles de pérdida o robo de información suceden en realidad. Los proveedores de soluciones de protección para puntos finales deben proporcionar la advertencia necesaria y la innovación requerida para facilitar el trabajo del Oficial de Seguridad y permitir la continuidad del negocio. Las operaciones deben concentrarse en el corazón mismo de su negocio para optimizar la productividad.

Aranda Software provee la mejor tecnología y la consultoría necesaria para una implementación eficiente y un programa de administración a la medida de los hábitos laborales de las organizaciones y de sus usuarios. Sumando la encripción total del disco, la encripción en tiempo real a nivel de archivos y directorios y la asesoría de expertos, dan como resultado una combinación ganadora, segura y orientada al negocio.

Advertisements
This entry was posted in Uncategorized and tagged , , , , . Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s