Cómo proteger los datos sensibles en la migración a cloud

Jocelyn Krystlik, responsable de Marketing de Producto de Seguridad de Datos de ‎Stormshield, analiza si es posible encriptar los datos cuando se migran a la nube.

Publicado el 29 Ene 2018

Jocelyn Krystlik, Stormshield

Dadas las claras ventajas de la computación en la nube, es curioso que el número de organizaciones que adoptan esta forma de aprovisionamiento de servicios TI basados en datos para sus empleados no sea mayor. Después de todo, cloud computing supone una menor inversión, tanto en tecnología como en RRHH para TI, además de aprovechar las mejores y novedosas soluciones de TI. Pese a todo, los temores persisten.

Uno de los mayores retos para bancos y compañías financieras es proteger sus datos de accesos no autorizados. En este sentido, existe una sincera preocupación sobre si es posible mantener cifrados los archivos mientras se mueven hacia o desde la nube o se envían a través de servicios cloud. Además, el desconcierto sobre si un entorno cloud podrá cumplir con las regulaciones generales y específicas de la industria, sin mencionar la fuga de datos y el acceso a la información desde múltiples dispositivos, es latente.

La decisión más sustancial para un banco o compañía financiera es elegir cuidadosamente a su proveedor cloud y cerciorarse de que todos sus empleados utilizan una plataforma autorizada. Si los trabajadores no cuentan con una plataforma cloud certificada, podrían utilizar entornos cloud libres e inseguros, sin que el departamento de TI lo sepa.

Otra consideración a tener en cuenta es la falta de control físico. Si en la nube se consigue robar credenciales, es difícil que una organización pueda restringir el acceso a documentos de forma retroactiva. En las instalaciones, los datos confidenciales son la prioridad de la empresa. Para los proveedores cloud, la mayor inquietud pasa por dar acceso 24/7 a sus plataformas, incluso para los que se preocupan por la seguridad.

Bancos y Aseguradoras, graves desafíos

Por el tipo de datos, bancos y aseguradoras necesitan mantener la información que gestionan lo más protegida posible, tanto cuando está en reposo como en tránsito.

Esto se complica por los problemas de seguridad que presentan tecnologías en rápida evolución como la movilidad o Internet de las cosas (IoT), que acceden a servicios y datos ejecutados en cloud. También, el deseo de mejorar su productividad puede llevar a un empleado a aprovechar la nube para, intencionadamente o no, compartir con terceras partes sus documentos, dando entrada a usuarios externos a información no permitida. Otro desafío son los ataques “Man-in-the-Middle”, donde los hackers acceden en secreto y pueden alterar la comunicación entre dos partes que se creen seguras.

Métodos de cifrado

El cifrado vinculado a un dispositivo permite, mediante el cifrado de un disco duro o de una unidad extraíble, proteger los datos del disco. Este enfoque es apropiado si el dispositivo se pierde o es robado. Al contrario, cuando un usuario inicia sesión en el dispositivo y los datos son descifrados mientras trabaja en un documento, no desplegar protecciones adicionales implica que esos datos podrían ser utilizados (sin cifrar) en otras aplicaciones ejecutadas en el dispositivo e, incluso, abandonarlo a través de la red. Además, los datos podrían ser cargados después -sin protección- en otro hardware a través de una plataforma cloud o correo electrónico.

Para superar las brechas del cifrado basado en dispositivos, los datos pueden ser clasificados por una técnica denominada Prevención de Pérdida de Datos. DLP, por sus siglas en inglés, garantiza que los datos no abandonarán el dispositivo ni la red, en base a políticas y reglas. Sin embargo, DLP no estipula qué archivos pueden ser cifrados, la configuración de políticas y las reglas de descifrado o cómo aplicarlas adecuadamente.

Y es que las soluciones DLP funcionan de forma similar al cifrado basado en disco; los datos se cifranantes de abandonar la red y llegar a cloud, donde los datos no pueden utilizarse si están encriptados. Por tanto, el cifrado basado en dispositivos y el DLP son técnicas adecuadas para proteger los datos locales en reposo, pero no para asegurar los archivos que dejan la empresa. En este punto, es conveniente aplicar un tercer enfoque que permita cifrar los datos siempre, tanto si están en reposo, en la red o en cloud.

De igual modo, cuando los datos cifrados se trasladan a la nube, lo idóneo sería que los empleados pudiesen acceder a la información desde cloud, utilizando otros dispositivos y aplicaciones a los que se les ha otorgado ese derecho. La respuesta para lograr este objetivo: combinar reglas y controles de seguridad centralizados con la opción de brindar a los usuarios finales la posibilidad de aplicar el cifrado a los archivos que manejan.

El cifrado aplicado por el empleado

Permitir que los empleados apliquen técnicas de cifrado ayuda a que éstos instituyan su propio círculo de confianza: los archivos siempre están encriptados y los empleados mejoran su productividad mientras protegen sus archivos digitales.

La combinación de este enfoque con controles y reglas centralizados crea un poderoso sistema de defensa; el usuario es quien controla la seguridad que nunca sale del área de TI. El departamento de TI puede definir, administrar, aplicar, rastrear, auditar e informar sobre las políticas de protección de datos. Los usuarios individuales también pueden ser monitorizados a fin de conocer si utilizan la tecnología adecuadamente.

Desde esta perspectiva, los datos permanecen protegidos contra el acceso no autorizado y la divulgación accidental. Los usuarios finales tienen el control de primera mano, sus acciones de manejo de datos son transparentes y están completamente controladas por la organización. Mientras que el control permanezca ahí, el contenido del usuario final permanece protegido, incluso desde la vista de súper-administrador en TI.

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

Redacción

Artículos relacionados

Artículo 1 de 3