¿Vas a comprar una solución de cifrado? Estas 6 preguntas te ayudarán a decidir
La inminente entrada en vigor del Reglamento General de Protección de Datos (GDPR) en Europa y todos los países que tengan relaciones comerciales con ella, además del creciente número de brechas y robos de información, hacen que las pequeñas y medianas empresas comiencen a considerar la implementación de tecnologías de protección de datos, como una solución de cifrado.
Sin embargo, dado que el tiempo es limitado y el mercado está plagado de productos, puede ser difícil para los dueños y encargados de empresas elegir la opción que más se ajuste a sus necesidades.
Si eres el encargado de tomar esa decisión, evita que se convierta en un problema haciéndote estas seis preguntas.
#1 ¿Qué laptops presentan un riesgo mayor: las que se quedan en la empresa o las que salen?
Podría parecer que eta pregunta no tiene sentido y su respuesta es obvia: los sistemas y equipos son más vulnerables al robo o pérdida cuando están fuera de la oficina. Pero hacer esta distinción y tenerla en mente es el punto de partida adecuado.
Cuando hayas elegido tu solución de cifrado, asegúrate de evaluar su efectividad en el manejo de escenarios problemáticos para usuarios remotos.
#2 ¿La opción que estás considerando se adapta a las necesidades de tu departamento de TI para controlar remotamente el cifrado de equipos externos?
EL VERDADERO DESAFÍO ES ADAPTAR LA SOLUCIÓN A TU ENTORNO Y PRÁCTICAS DE TRABAJO
Todos los grandes productos de cifrado ofrecen los medios para administrar sistemas remotos, pero observa cuidadosamente los requisitos. La mayoría necesita una conexión entrante abierta a una zona desmilitarizada (DMZ) en tu servidor, o una conexión VPN.
Todos implican un nivel más alto de habilidades de TI que pueden agregar costos adicionales y, para funcionar, puede que requieran que el usuario inicie la conexión; no sería muy útil con un empleado con malas intenciones o un portátil robado.
Un producto bien diseñado te dará la gestión remota necesaria sin crear problemas de seguridad adicionales, requerir conocimientos especializados o agregar gastos al proyecto.
#3 ¿Por qué es importante todo esto?
Ser capaz de variar rápidamente la política de seguridad, las claves de cifrado, las características y el funcionamiento del cifrado en los endpoints de forma remota significa que tu política predeterminada puede ser fuerte y robusta.
Las excepciones se pueden hacer solo cuando (y donde) sean necesarias, y luego revertirse con la misma facilidad. Si no puedes hacer esto, te verás obligado a dejar “una llave bajo el felpudo”, por si acaso. Y así se dejará de respetar la política antes de que se complete su implementación.
#4 ¿La solución de cifrado que consideras permite el bloqueo y borrado remoto de claves de computadoras portátiles?
La respuesta podría ser crucial si una computadora de la empresa con cifrado de disco completo es robada mientras está en modo de suspensión o con el sistema operativo iniciado. Es incluso peor si esos sistemas vienen con la contraseña previa al arranque puesta en una etiqueta o metida en el bolso del portátil.
Si no está disponible una función de bloqueo o borrado remoto, el sistema no está protegido o solo está protegido por la contraseña del sistema operativo, y el cifrado es omitido en ambos casos.
Del mismo modo, es importante saber si la solución ha sido diseñada para responder a los casos de uso típicos que incluye una política de seguridad bien diseñada.
#5 ¿La solución protege los medios extraíbles sin necesidad de incluir cada elemento en una lista blanca?
Con la variedad de dispositivos de almacenamiento que la gente utiliza para su trabajo diario, es casi imposible para los administradores incluir a todos y cada uno de ellos en una lista blanca y decidir si es permisible leer de ellos, escribir en ellos o es mejor no acceder al dispositivo en absoluto.
Es mucho más fácil establecer una política a nivel de archivo, que permita distinguir entre los que necesitan cifrado y los que no, y mantenerlos protegidos cada vez que se muevan del equipo o de la red corporativa a cualquier dispositivo portátil.
En otras palabras, si conectas tu propia memoria USB, no te obligará a cifrar tus datos privados; cualquier cosa que venga del sistema de la compañía, sin embargo, será cifrada sin las llaves se almacenen en tu dispositivo. Es una idea simple, pero que hace que cualquier dispositivo sea seguro, sin necesidad de listas blancas.
#6 ¿Es la solución fácil de implementar?
Si la configuración toma horas o incluso días y necesita herramientas adicionales para su funcionamiento, podría causarles nuevos dolores de cabeza a los administradores de sistemas y crear nuevos riesgos de seguridad. Busca una solución fácil de implementar que no requiera conocimientos avanzados de TI y preserve tanto las finanzas como los recursos humanos.
Si la experiencia del usuario refleja esa implementación sencilla, el personal de TI no se enfrentará más a bloqueos de usuarios, la pérdida de datos y otros obstáculos.
Observaciones finales
La seguridad existe hace tiempo, pero lo que facilitará o complicará tu implementación es la flexibilidad y la facilidad de uso.
Todos los productos de cifrado comerciales han sido más que fuertes durante muchos años, pero una proporción significativa de las brechas registradas que involucran computadoras portátiles perdidas o robadas y unidades USB ocurrieron en organizaciones que habían comprado e implementado una solución de cifrado.
La moraleja detrás de estos incidentes revela que los verdaderos desafíos son la posibilidad de adaptar la solución a tu entorno y prácticas de trabajo, así como hacer el cifrado fácil para los usuarios.
Fuente: https://www.welivesecurity.com/
Fecha de consulta: 17 agosto 2017
