Diez prácticas recomendadas para la gestión de claves de cifrado

0 0 7 minutos de lectura

10 Best Practices for Encryption Key Management and Data Security

En el entorno actual, la cantidad de datos que las organizaciones aprovechan y administran es de proporciones increíblemente grandes. Tal magnitud de datos es valiosa para las organizaciones y, en gran medida, a menudo es confidencial. Por lo tanto, proteger los datos de las manos de los ciberdelincuentes debería ser, naturalmente, uno de los principales objetivos de las organizaciones que manejan datos.

El cifrado de datos, por lo tanto, juega un papel importante en el proceso. El cifrado permite que los datos se vuelvan inútiles, en caso de que caigan en las manos equivocadas. Las claves de cifrado son la puerta de entrada para acceder a los datos.

Las claves de cifrado se dividen en dos categorías: simétricas y asimétricas. Se utiliza una clave simétrica para los datos en reposo y utiliza la misma clave para cifrar y descifrar los datos. Las claves asimétricas, por otro lado, se utilizan para datos en movimiento y se basan tanto en una clave pública como en una clave privada relacionada, pero separada.

La gestión de estas claves de cifrado también debe ser una preocupación principal para las organizaciones. Si se roba la clave de cifrado junto con los datos cifrados, el cifrado es prácticamente inútil. Por lo tanto, todas las organizaciones deben intensificar y seguir algunas prácticas que garanticen una gestión adecuada de las claves de cifrado.

En ese sentido, aquí hay diez mejores prácticas de administración de claves de cifrado en uso.

Tabla de Contenidos

1. Algoritmo y tamaño de la clave de cifrado

Cuando se habla de claves de cifrado, es de suma importancia elegir el algoritmo y el tamaño de clave correctos. Aquí entran en juego una serie de factores, a saber, el factor de uso, la vida útil, el rendimiento y, lo que es más importante, el aspecto de seguridad. La sensibilidad de los datos debe determinar la longitud de la clave, ya sean tamaños de clave de 128/256 bits para AES o para RSA: 2048 y 4096 bits. Al mismo tiempo, las claves muy largas también pueden provocar problemas de rendimiento.

La agilidad es otro atributo muy importante que se debe tener, ya que permite cambios en los algoritmos y las claves a lo largo del tiempo. Con el tiempo, los algoritmos tienden a debilitarse y, por lo tanto, es importante poder cambiar las claves de cifrado de vez en cuando. También se puede considerar el soporte para múltiples estándares en términos de algoritmos, ya que esto puede ser necesario en el caso de adquisiciones o fusiones, cuando otras organizaciones usan diferentes estándares de cifrado. Además, también es recomendable el uso de claves asimétricas para datos en movimiento y claves simétricas para datos en reposo.

LEER

La nueva cara del cibercrimen automatizado

2. Centralización del Sistema de Gestión de Claves

Las organizaciones tienden a utilizar varios cientos o incluso miles de claves de cifrado. El almacenamiento adecuado y seguro de estas claves puede convertirse en un gran problema, especialmente cuando necesita acceder a dichas claves de forma inmediata. De ahí la necesidad de un sistema centralizado de gestión de claves.

La mejor práctica para una organización sería tener un servicio interno de administración de claves. Sin embargo, muchas veces esto puede no ser posible y se puede adoptar el uso de servicios de terceros para un enfoque más sofisticado. Estas claves generalmente se almacenan lejos de los datos cifrados. Esto sirve como una ventaja adicional en el caso de una violación de datos, ya que es poco probable que las claves de cifrado se vean comprometidas.

El proceso centralizado también es beneficioso en términos de procesamiento, ya que el proceso de cifrado y descifrado se realiza localmente, pero el almacenamiento, la rotación, la generación, etc. se realizan lejos de la ubicación real de los datos.

3. Almacenamiento seguro

Teniendo en cuenta que las claves de cifrado suelen ser el objetivo de los ciberdelincuentes y los atacantes, es una buena opción contar con un módulo de seguridad de hardware (HSM) para su almacenamiento. El uso de HSM asegura la organización de una sólida protección tanto física como lógica.

Una organización también debe tener un plan para la seguridad física:

Limitar el control de acceso físico a los sistemas críticos.
Mantenimiento de las medidas de seguridad contra incendios.
Asegurar la integridad estructural, en el caso de amenazas naturales.
Proteger de los servicios públicos (como los sistemas de calefacción o aire acondicionado) que podrían causar mal funcionamiento.

4. Uso de la automatización

El uso de la gestión manual de claves no solo consume mucho tiempo como proceso, sino que también genera la posibilidad de errores, teniendo en cuenta el factor de escalabilidad en las grandes organizaciones. Una forma inteligente de gestionar esto es hacer uso de la automatización. Por ejemplo, usar la automatización para generar, rotar y renovar claves después de ciertos tiempos establecidos puede ser una muy buena práctica para adoptar.

5. Registros de acceso y auditoría

Las claves de cifrado solo deben ser accedidas por quienes lo requieran. Esto se puede definir en el proceso centralizado para la gestión de claves de modo que permita el acceso solo a los usuarios autorizados. Además, es imperativo no tener un solo usuario con acceso único a la clave, ya que esto creará un problema si el usuario pierde sus credenciales o si las cosas se corrompen de alguna manera.

Además, los registros de auditoría son otra parte vital de la gestión de claves de cifrado. Los registros deben detallar el historial de cada clave, ya sea creación, eliminación y su ciclo de uso. Todas las operaciones relativas a tales claves deben registrarse con respecto a su actividad, qué accedió y cuándo accedió a dicha clave. Esta es una buena práctica que atiende dos necesidades, una para la parte de cumplimiento y la segunda, para investigar si alguna clave se viera comprometida. Su análisis y presentación de informes a intervalos regulares también es un proceso beneficioso.

6. Capacidades de copia de seguridad

La pérdida de una clave de cifrado esencialmente significa que los datos que protege se vuelven irrecuperables. Por lo tanto, es necesario contar con una instalación robusta de copia de seguridad de claves. Esto asegura la disponibilidad de llaves cuando sea necesario.

Otro punto a tener en cuenta aquí es que las claves respaldadas también deben cifrarse utilizando estándares de cifrado adecuados para garantizar su protección.

7. Gestión del ciclo de vida de la clave de cifrado

Cada clave de cifrado tiene una vida útil. El ciclo de vida útil de la llave debe administrarse adecuadamente siguiendo los pasos que se mencionan a continuación.

Generación de clave

La clave generada debe tener un porcentaje muy alto de aleatoriedad. Siempre se recomienda utilizar un generador de números aleatorios certificado por el NIST de confianza.

Rotación de clave

Un problema engorroso que surge para las organizaciones es durante la caducidad o el cambio de las claves de cifrado. Aquí es cuando es obligatorio descifrar y luego volver a cifrar todos los datos.

Sin embargo, el uso de un perfil clave para cada archivo o datos cifrados puede resultar útil. El perfil de clave permite identificar los recursos de cifrado para el descifrado de la base de datos. Cuando caducan las claves, el perfil de clave se encarga del proceso de cifrado utilizando la nueva clave. Para los datos existentes, identifica la clave real.

Retiro de llave

Una clave debe eliminarse permanentemente cuando ya no esté en uso. Reduce el uso de claves no utilizadas y protege el sistema.

8. Integración de terceros

Las organizaciones seguramente utilizarán dispositivos externos. Estos se distribuirán por la red para realizar sus funciones. Sin embargo, tales dispositivos tienden a no interactuar tanto con las bases de datos. Por lo tanto, para habilitar su funcionalidad, los métodos de encriptación elegidos deben ser de naturaleza compatible, con respecto a las aplicaciones de terceros con las que interactúan.

Los mayores riesgos con la integración de API de terceros son la inyección de SQL, los scripts de sitios cruzados, la denegación de servicio, la suplantación de identidad, el código de malware y muchos más. Entonces, la seguridad de la API puede ser un gran problema. En esta situación crítica, las plataformas de gestión de API pueden darnos un poco de alivio. Estas plataformas brindan funciones de monitoreo, análisis, alertas y administración del ciclo de vida (API) para garantizar la seguridad de su negocio. Algunas de las herramientas de administración de API populares son Google Apigee, IBM API Connect, Amazon API Gateway y Azure API Gateway.

9. El Principio del Mínimo Privilegio

El principio de privilegio mínimo establece que las organizaciones deben otorgar derechos administrativos únicamente en función de las funciones de los usuarios. Esto limita la asignación de derechos administrativos a las aplicaciones y, en el proceso, reduce la exposición a amenazas internas y externas. Al limitar el acceso y seguir un enfoque de control de acceso basado en funciones, se puede limitar la posibilidad de daños potenciales.

Este principio de privilegio mínimo también se aplica a todas las aplicaciones de software, sistemas, dispositivos y otras herramientas no humanas conectadas. Para implementar el principio de privilegio mínimo de manera efectiva, es esencial un sistema centralizado de control y gestión. El sistema centralizado de control de privilegios reducirá el “avance de privilegios” y garantizará un nivel mínimo de acceso a entidades humanas y no humanas.

10. Terminación de Claves

La capacidad de revocar y cancelar claves es esencial para cualquier organización. Esto es aplicable en gran medida cuando los datos se ven comprometidos y, al hacerlo, se niega a los usuarios no autorizados la posibilidad de tener claves para acceder a datos confidenciales.

Conclusión

Un sistema de gestión de claves de cifrado eficiente y centralizado permite a una organización mejorar el rendimiento, garantizar el cumplimiento y, sobre todo, reducir el riesgo en gran medida. Si bien hay varias opciones de combinación y combinación para obtener la mejor opción para una organización, debe ser una que se adapte bien al estado inmediato y futuro de una organización. Espero que este artículo lo ayude a comprender las mejores prácticas y explorar cosas nuevas.

LEER

El futuro de la piratería está aquí

0 0 7 minutos de lectura

Diez prácticas recomendadas para la gestión de claves de cifrado

1. Algoritmo y tamaño de la clave de cifrado

2. Centralización del Sistema de Gestión de Claves

3. Almacenamiento seguro

4. Uso de la automatización

5. Registros de acceso y auditoría

6. Capacidades de copia de seguridad

7. Gestión del ciclo de vida de la clave de cifrado

8. Integración de terceros

9. El Principio del Mínimo Privilegio

10. Terminación de Claves

Conclusión

Read Next

5 peligros de compartir contraseñas

Concienciación sobre amenazas internas: cómo evitar las infracciones de seguridad internas

Un modelo de confianza cero es mejor que una VPN. Es por eso.

Mejore los controles de seguridad de su organización

Cómo proteger la infraestructura crítica de los ciberataques

5 peligros de compartir contraseñas

Concienciación sobre amenazas internas: cómo evitar las infracciones de seguridad internas

Un modelo de confianza cero es mejor que una VPN. Es por eso.

Mejore los controles de seguridad de su organización

Cómo proteger la infraestructura crítica de los ciberataques

Deja una respuesta Cancelar la respuesta

Nueva Zelanda 22-32 Irlanda: El equipo de Andy Farrell gana la tercera prueba y asegura una serie histórica Noticias de la Liga de Rugby

Barcelona planea una semana ocupada a medida que se intensifican los preparativos de La Liga

Mejore los controles de seguridad de su organización

El lado oscuro de las notificaciones: cuando la interacción se vuelve molesta

Estación meteorológica de próxima generación instalada cerca de la cumbre del Everest

El 80% de Oriente Medio y África están preocupados por el cambio climático

Los lobos mexicanos finalmente obtienen el estatus de especie en peligro de extinción

Cómo las olas de calor récord están alimentando la ansiedad climática

El Foro de Energía Limpia de Israel se lanzó ayer

En Missouri, las ‘abejas’ humanas podrían comprender mejor los efectos del cambio climático

Mira la década de impresionantes shows de drones de Candy Crush

El Barcelona ‘muy cerca’ del acuerdo con Gavi

1. Algoritmo y tamaño de la clave de cifrado

2. Centralización del Sistema de Gestión de Claves

3. Almacenamiento seguro

4. Uso de la automatización

5. Registros de acceso y auditoría

6. Capacidades de copia de seguridad

7. Gestión del ciclo de vida de la clave de cifrado

8. Integración de terceros

9. El Principio del Mínimo Privilegio

10. Terminación de Claves

Conclusión

Read Next

5 peligros de compartir contraseñas

Concienciación sobre amenazas internas: cómo evitar las infracciones de seguridad internas

Un modelo de confianza cero es mejor que una VPN. Es por eso.

Mejore los controles de seguridad de su organización

Cómo proteger la infraestructura crítica de los ciberataques

Soy demasiado joven para tener la enfermedad de Alzheimer o demencia, ¿verdad?

Esto es lo que necesita saber

Publicaciones relacionadas

Deja una respuesta Cancelar la respuesta