Saltear al contenido principal
Sistema de Gestión de Seguridad de la Información

Sistema de Gestión de Seguridad de la Información: Uso de la criptografía

Sistema de Gestión de Seguridad de la Información

Sistema de Gestión de Seguridad de la Información

Diariamente la información va viajando de manera constante de una parte del mundo a otra a través del correo electrónico, las transiciones en línea, unidades USB, así como discos duros externos. Por ello, una medida a considerar es llevar a cabo la implantación de un Sistema de Gestión de Seguridad de la Información según la ISO 27001. Fuera de las instalaciones de la organización, la información se encuentra en distintos lugares, como servidores, routers, switches, proveedores externos… antes de alcanzar su destino final. La información debe mantenerse guardada pues puede llegar a afectar a personas independientes a la empresa.

Con el objetivo de definir cómo debe de llevarse a cabo se establece una política de seguridad de la información, a partir de la cual poder conocer el manejo de los controles criptográficos. Incluso manteniendo el control de la política de criptografía debemos de saber que se debe hacer para configurar la política.

 

Cuándo utilizar los controles criptográficos

Los controles criptográficos deben de usarse de manera que no requiera el uso de la información confidencial para protegerla contra cualquier acceso no deseado. Cuando hacemos referencia a la criptografía estamos hablando de la ciencia de la escritura en código secreto. Mientras con cifrado estamos haciendo referencia a un mecanismo concreto con el que poder convertir la información en un código diferente que pueda ser descifrado únicamente por las personas autorizadas.

Algunas de las ocasiones las que podemos utilizar controles criptográficos son:

  • Contar con un dispositivo con información confidencial que se encuentre fuera de la empresa.
  • Tener que enviar un correo electrónico con información confidencial.
  • Tener un servidor de archivos con una carpeta a la que todos los empleados tengan acceso, pero uno o varios archivos contengan información confidencial.
  • Contar con un sitio web público al que todos los usuarios puedan acceder a través de la introducción de nombre de usuario y contraseña.
  • Contar con un sitio web desde el que se pueda ofrecer un comercio electrónico y que tenga una pasarela de pago.
  • Los empleados conectan con la red corporativa desde casa para acceder a los recursos corporativos.

Claves y certificados

Podemos encontrar muchos algoritmos de encriptación, siendo uno de los más conocidos y potentes el AES. Por ello, el experto en criptografía debe de contar con un algoritmo de cifrado. Dicho algoritmo no tiene por qué ser el mismo para cada una de las situaciones, aunque se recomienda que siempre que sea posible sea de esta forma.

Por otra parte es necesario contar con una clave para cifrar la información. En el momento en que la clave para cifrar y descifrar es la misma debemos de contar con un modelo de criptografía simétrica. Mientras que en el caso opuesto, se debe de contar con un modelo de criptografía asimétrica.

Controles criptográficos y evaluación de riesgos

La aplicación de los controles de seguridad en base al Sistema de Gestión de Seguridad de la Información incluye cada uno de los controles criptográficos. El nivel de protección de la información requerida debe ser identificado considerando el tiempo, la complejidad y la calidad del algoritmo de cifrado que se requiere.

Existen muchas opciones para realizar los controles criptográficos:

  • Las herramientas de software ayudan a cifrar el contenido completo o por partes
  • Herramientas de software para cifrar la información de los correos electrónicos
  • Cifrar para las transacciones web críticas
  • El cifrado que se encuentran en las conexiones externas de la organización

Información cifrada

A veces nos encontramos con empresas en las que los empleados, o incluso los administradores o altos directivos poseen información comercial confidencial en las unidades flash USB. Entonces, nos surge la pregunta de si han considerado el robo o pérdida de estos pendrives, sobre todo por la competencia de otras empresas por hacerse con dicha información. La respuesta consiste en que la empresa puede empezar a perder dinero o incluso tener que cerrar sus puertas si la divulgación de la información ha alcanzado un alto nivel. Con el objetivo de evitar esta situación existe una solución muy simple: implementar un Sistema de Gestión de Seguridad de la Información. Con este sistema puede protegerse la información y utilizar los controles criptográficos cuando la información sale de los límites de la organización según la norma ISO 27001.

 

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001 en la cual se basa la Seguridad de la Información, se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades principales: disponibilidad, integridad y confidencialidad.

¿Desea saber más?

Entradas relacionadas

Volver arriba