Los datos están ahora en todas partes y se intercambian tanto dentro como fuera de la empresa. De cara a salvaguardarlos, el cifrado es un método sencillo y eficaz de asegurar la protección de los datos, al garantizar que no serán consultados, distorsionados o robados por terceros malintencionados. Sin embargo, y pese a que se trata de una técnica de protección de probada capacidad, llama la atención que su despliegue no sea tan alto como cabría esperar, y que muchas empresas no hayan dado aún el paso de utilizarlo.
Al respecto de esta difusión, los resultados del Estudio Global sobre las Tendencias de Cifrado para 2021 realizado por Ponemon Institute para Entrust, son esclarecedores. Así, según este informe, tan solo el 50 % de las compañías encuestadas declara haber puesto en marcha un plan de cifrado global aplicado a toda la empresa, mientras que el 37 % reconoce aplicar una política de cifrado limitada y el 13 % restante admite no tener ninguna política de cifrado de datos. La resistencia a la generalización de los métodos informáticos de cifrado de datos es evidente. Pero, ¿qué explica esta reticencia a utilizar el cifrado de datos?
Las razones de este bajo nivel de adopción están relacionadas con cuestiones organizativas y operativas más que con una elección de tecnologías. La primera dificultad organizativa es la definición de una política de gestión de los datos, indispensable para garantizar su protección, cumplir la normativa vigente (CNIL, RGPD, etc.) e incluso capitalizar su análisis.
A nivel operativo, es necesario disponer de las competencias necesarias para gestionar este proyecto e incluso para desplegar una verdadera PKI (Infraestructura de Clave Pública). Esta herramienta fundamental para el cifrado en las empresas es un conjunto de componentes físicos, procedimientos humanos y programas informáticos destinados a gestionar las claves de los usuarios/colaboradores. La gestión de las claves de acceso abarca desde la generación hasta la distribución y el aprovisionamiento, pasando por la gestión de la obsolescencia y la renovación.
Asimismo, la clasificación de los datos es una cuestión que no debe ser pasada por alto para comprender los diferentes niveles de sensibilidad de los datos. Siempre en este ámbito organizativo, la concienciación de los usuarios va por fin de la mano de un proceso de clasificación claro. La aplicación de una protección de datos eficaz empezará siempre por la persona que genera los datos críticos. Este es el reto de la concienciación: concienciar a los usuarios de la necesidad de aplicar correctamente el proceso de clasificación. Tantas cuestiones internas que ni siquiera incluyen el tema de la interoperabilidad.
Además de estas dificultades para los departamentos de informática y de seguridad, suele decirse que el cifrado de los datos informáticos se sacrifica en aras de la costumbre y la comodidad. Para evitar este escollo, las soluciones de cifrado deben ser sencillas, fáciles y transparentes tanto para los usuarios como para los administradores. Por una parte, los CISO deben pensar en estrategias que permitan a sus empleados conciliar sus usos cotidianos con un alto nivel de seguridad, mediante un cifrado unitario que vaya más allá del cifrado global de superficie. Por otro, los fabricantes de software tienen un papel que desempeñar en materia de asesoramiento y apoyo operativo, de cara a que sea la solución la que se adapte al usuario y no al contrario. Eliminar los puntos de fricción y optimizar el recorrido del usuario es, por tanto, el camino a seguir para que los departamentos integren estos nuevos métodos en su rutina de higiene digital.
Seguridad en todas partes
El adagio ‘en cualquier lugar, en cualquier momento’ también debe aplicarse y las soluciones de cifrado deben poder desplegarse en todos los terminales, desde los puestos de trabajo hasta los ordenadores portátiles o las tabletas.
La cuestión del cifrado de los datos informáticos en las empresas es, por tanto, especialmente incisivo en un contexto de ciberamenazas generalizadas. Aunque las empresas ya han implantado una serie de métodos, sobre todo cuando se trata de propiedad intelectual, datos de pago o datos financieros, el cifrado de todos los datos sensibles en las empresas sigue siendo un problema importante. Sobre todo, teniendo en cuenta que en el horizonte se vislumbra una amenaza aún más acuciante: la llegada de la computación cuántica. Una vez que esta revolución tecnológica esté en marcha, ya no se tratará sólo de cifrado, sino de cifrado post-cuántico.
Mientras tanto, hay que hacer más para garantizar un nivel óptimo de seguridad para todos.
Jocelyn Krystlik
Director de seguridad de datos de la Unidad de Negocio de Stormshield
