El cifrado de datos proporciona una última posición crítica para proteger la información que se ve comprometida. Sin embargo, las estrategias implementadas incorrectamente pueden crear vulnerabilidades adicionales. Para garantizar una protección adecuada, recomendamos seguir estos siete criterios para cifrar datos:

1. Conozca sus opciones de cifrado

Las opciones básicas para cifrar datos son FTPS, SFTP y HTTPS. FTPS es el más rápido, sin embargo, es más complejo con modos tanto implícitos como explícitos y altos requisitos para la disponibilidad de puertos de datos. Por otro lado, SFTP solo requiere un puerto para el cifrado. HTTPS se usa a menudo para asegurar transferencias interactivas y humanas desde interfaces web. Si bien los tres métodos se implementan de forma rutinaria para cifrar los datos y evitar que se recorten a medida que atraviesa Internet, es importante elegir el método que mejor se adapte a sus necesidades específicas..

2. Cifrar siempre los datos en reposo.

La mayoría de las personas se centran en proteger los datos durante una transferencia, sin embargo, es fundamental que los datos en reposo también se cifren. Los archivos de intercambio de datos son especialmente vulnerables, ya que se almacenan en un formato consumible y fácilmente analizable. Y, los servidores de transferencia de archivos basados ​​en la web son atacados más que sus aseguradores, en sus homólogos locales.

3.… especialmente con datos a los que se puede acceder o compartir con terceros

Cuando una empresa comparte un archivo con otra compañía, normalmente está canalizando a un proveedor de almacenamiento que lo cifra automáticamente y autentica al receptor antes de conceder el acceso. Sin embargo, habrá ocasiones en que una parte no autenticada necesite un archivo. Las empresas necesitan una estrategia para gestionar estas "excepciones" mientras los datos están en movimiento y en reposo.

4. La privacidad bastante buena (PGP) por sí sola no es lo suficientemente buena para administrar la seguridad de los archivos

La mayoría de las organizaciones tienen implementada una política de PGP para garantizar que los archivos cargados estén encriptados de tal manera que el receptor no necesite un grado avanzado para abrirlos. Al primer indicio de problemas, estas personas tienden a compartir su información de inicio de sesión para obtener ayuda de un "amigo" más experto en tecnología. También existe la posibilidad de que el sistema se rompa y deje los archivos sin cifrar y expuestos. Las políticas de PGP son un comienzo, pero no una solución que abarque todo.

5. Es menos sobre el tipo de cifrado y más sobre cómo se ejecuta.

Independientemente de la metodología de encriptación, las empresas deben garantizar que los protocolos de encriptación y seguridad se implementen sin interrupciones en todos los ámbitos. Si son demasiado difíciles y dejan demasiadas excepciones, existe una mayor probabilidad de que un archivo sin cifrar esté disponible de alguna manera en un dominio público o menos seguro. Los flujos de trabajo claramente definidos y la administración de claves ajustadas, junto con herramientas para simplificar el proceso, contribuirán en gran medida a garantizar que todos los empleados, clientes, socios y proveedores cumplan diariamente..

6. Establecer y proteger la integridad de los datos.

La validación de una cadena de mando ininterrumpida para todas y cada una de las transferencias protegerá aún más los datos importantes. Hay una variedad de métodos (sumas de comprobación manuales, revisión de firmas PGP, funciones hash SHA-1) y herramientas para determinar si se ha accedido a los datos o si están dañados en el proceso. Mantener registros completos de la actividad del usuario ayudará a los administradores a auditar con precisión los sistemas si existe alguna duda..

7. Fortificar el control de acceso.

En la mayoría de las implementaciones de FTP, una vez que alguien pasa la primera capa de seguridad, tiene acceso a todos los archivos en ese servidor. Por lo tanto, los administradores deben ir más allá del control de acceso rudimentario y la autenticación para regular quién puede acceder a qué. Validar que el proceso de autenticación en sí es robusto es el primer paso. Implementar una fuerte administración de contraseñas y protocolos de bloqueo también es crítico.

La adhesión a estas recomendaciones de mejores prácticas ayudará a garantizar que los datos confidenciales tengan la posibilidad de permanecer confidenciales, incluso si terminan en las manos equivocadas..

  • Aaron Kelly es vicepresidente de gestión de productos en Ipswitch. Randy Franklin Smith ejecuta Ultimate WindowsSecurity, un sitio web dedicado a la auditoría y el cumplimiento de TI.