Spanish English French German Italian Portuguese Russian

Conceptos básicos sobre protección de información - Parte 1: Cifrado

el . .

GGDEn la actualidad, la información se ha convertido en uno de los activos más importantes de las compañías, sino el más importante. Por ende, su protección y confidencialidad, ha comenzado a requerir medidas de seguridad adecuadas. Y la importancia de su protección, ha tomado mayor relevancia cuando Edward Snowden dio a conocer varios programas de la NSA, relacionados con la vigilancia masiva; o las filtraciones recientes de datos personales de webs reconocidas.

criptografiaLas empresas, y también los particulares, comenzaron a prestar más atención a lo que hacían con su información, cómo se publicaba, en dónde se publicaba, y la forma en que se publicaba o guardaba dicha información. La primer respuesta a este problema, estaba claro: Criptografía. Y fue la primer respuesta, porque este método de transmitir información ya existe desde hace muchísimos años (en la segunda guerra mundial, los alemanes utilizaban este método para transmitir mensajes cifrados).

Este artículo no pretende ser una clase de criptografía, o seguridad informática avanzada, sino la de poder introducir o refrescar conceptos al lector, de forma tal de poder comprender de forma amena, temas relacionados con la protección de la información. Así, aquellas personas no familiarizadas con esta metodología, puedan profundizar su conocimiento acudiendo a profesionales idóneos en la materia.

Para simplificar un poco las cosas, lo primero que debemos entender es que la información que se desee proteger, debe cifrarse. Pero qué es exactamente el cifrado o encripción? El crifrado es un método por el cual se transforma un mensaje, sin atender a su estructura lingüística o significado, de tal forma que sea incomprensible o, al menos, difícil de comprender a toda persona que no tenga la clave secreta. En este sentido y a modo de ejemplo, podríamos inventar un sistema de cifrado en el cual todas las letras del abecedario se inviertan en su número de órden: La Z en lugar de la A, la Y en lugar de la B, y así suscesivamente. De esta forma, al cifrar la palabra "ASIS", quedaría como "ZHRH". Como ejemplo adicional, por ejemplo, esta es la clave cifrada, de acceso a mi sitio web: Xs%GT7((lo=985EsTR/hY6BNC. Por supuesto, para alguien poder conocer cuál es mi contraseña sin cifrar, debería conocer la clave que el sistema utiliza para cifrar las contraseñas. El sistema almacena las contraseñoas de forma cifrada, para que no pueda ser leída por nadie, o no pueda ser "descifrada" si manos ajenas se hicieran de la base de datos.

criptografiaEsto resuelve el primer problema, que es que el mensaje no sea leído por cualquier persona. Para poder hacerlo, la otra persona debería tener la clave de descifrado (en nuestro ejemplo, sería conocer el método que usamos para cifrar la palabra ASIS), y con ello, podría leer el mensaje.

El segundo problema, está relacionado con su transmisión. Lo ideal sería poder transmitir la información previamente cifrada, pero en los casos en los que no es posible, entonces el canal por el cual se transmite debe proporcionar la posibilidad de que la información viaje cifrada a través del él. Esto ocurre en los casos en los que se utiliza la conexión "https://" en las páginas web, donde la información viaja encriptada mediante la conexión, dado que se estableció una conexión segura (SSL) entre la computadora y el servidor que alberga dicha web.

El otro gran problema, resulta se el almacenamiento de dicha información. De nada sirve si, por ejemplo, transmitimos la información de manera segura, cifrada, y luego permanece en algún lugar en estado no cirfrado. Por ello, la información debe también mantenerse cifrada mientras está en lo que se llama "reposo".

criptografiaLas tradicionales formas de almacenamiento en la nube, deben ser analizadas de forma correcta, para no tener problemas de fuga de información. Casi todas las opciones de almacenamiento en la nube, ofrecen una conexión segura para la transmisión entre el equipo emisor, y el servidor receptor. Con ello, el problema de la transmisión está resuelto. Pero qué pasa con los datos en nuestros equipos? En qué estado se encuentran? Tenemos el disco rígido de nuestra laptop encriptado? Qué pasa con los datos en el servidor de almacenamiento en la nube? Están encriptados?

Respecto a este punto, existe además, un problema adicional: El prestador de dicho servicio en la nube. Estamos seguros que ningún operador o administrador del servicio, puede acceder a nuestra información?

Como profesionales de seguridad, tenemos que tener presente algunos puntos relacionados. La información de los sistemas de control de accesos, de circuito cerrado de televisión (CCTV), y los sistemas de alarmas, es información sensitiva, y muy probablemente, confidencial de la empresa. Por ende, tenemos que proteger dicha información en todos sus estados.

criptografiaEn resumen, la información que deseamos proteger, debe estar resguardada en todo momento; es decir, mientras está en reposo, y mientras es transmitida. Por supuesto, cuanto mayor es el nivel de seguridad que aplicamos, penalizamos otros aspectos como ser la rápida disponibilidad de la información, o la movilidad (por ejemplo, consultar la inforamción desde nuestro teléfono móvil).

EL balance "justo", será aquel que nos permita tener la información disponible donde la necesitemos, con el mayor nivel de seguridad o protección que podamos aplicarle.


 

Tags: Seguridad Seguridad de la Información Privacidad Cifrado Encripción Protección de Datos

Por favor, acceda con sus datos para poder comentar

Comentarios

  • No se han encontrado comentarios

Auspician las Reuniones 2018

logo ypf2

Próximos Eventos

Capacitación

ASIS215 Twitter

ASIS 215

RT @ASIS_Intl: "A strong culture of cybersecurity makes the security of systems, data and smart devices the responsibility of all employees…

by ASIS 215