Cinco consejos principales para las pequeñas empresas que adoptan el cifrado.

0 65 5 minutos de lectura

Escrito por Bernard Parsons, director ejecutivo de Becrypt

Becrypt ha estado en el negocio del cifrado de discos durante más de 15 años y ha realizado un extenso trabajo con gobiernos y grandes empresas. Hoy en día, gran parte de lo que estamos haciendo es trabajar con pequeñas empresas, generalmente organizaciones que buscan agregar cifrado por primera vez, impulsadas por regulaciones como GDPR, y aquellas que requieren cifrado como parte de los mecanismos de cumplimiento de la privacidad.

Basándome en la experiencia y los comentarios que ha obtenido Becrypt, he resumido los cinco problemas principales en los que las pequeñas empresas deberían pensar si están considerando adoptar el cifrado de disco o si están considerando implementar implementaciones más amplias de cifrado de disco.

1. Facilidad de uso
Las organizaciones deben buscar productos que sean fáciles de usar, fáciles y rápidos de instalar; un requisito obvio que se trata en parte de reducir el tiempo y la experiencia necesarios para instalar productos en primer lugar. Pero un punto posterior importante también es el costo total de propiedad. Si un producto no es fácil de instalar, suele ser un buen indicador de que en realidad existe un nivel de complejidad que se mantendrá como una sobrecarga comercial a largo plazo.
Cuanto más complejo es un producto, más complejidad hay de administrar, lo que lleva a niveles más altos de experiencia requerida y más posibilidades de que ocurran problemas de soporte con el tiempo, lo que aumenta el costo total de propiedad del producto para la organización.

2. Soporte accesible
El cifrado puede ser un activo crítico para el negocio, así como una tecnología habilitante para el negocio. Por lo tanto, es importante que trabaje con una organización, ya sea un proveedor o un socio del proveedor, que pueda ofrecerle un soporte técnico bueno y accesible.
Incluso si acierta el primer punto, es decir, está eligiendo un producto que es fácil de usar, que reducirá la cantidad de soporte técnico requerido, debe pensar en la posibilidad de requerir soporte durante la vida útil total del producto. En un par de años, es posible que esté considerando hacer algo ligeramente diferente, como buscar encriptar nuevos dispositivos que pueden no ser estándar (como los servidores RAID) y desea asegurarse de que puede levantar un teléfono y hablar con alguien. con suficiente experiencia.
La opción de soporte telefónico es importante; poder acceder a una llamada en un período de tiempo razonable y hablar con un experto. Por lo tanto, sin duda recomendamos probar este proceso con un proveedor o socio antes de continuar con la adquisición.

3. Prueba de cifrado
Es un buen primer paso para cifrar las computadoras portátiles, ya que las organizaciones siempre perderán las computadoras portátiles. El cifrado convierte lo que potencialmente sería una pérdida de información, en solo la pérdida de un activo físico, protegiendo la información de la organización y abordando las responsabilidades de la organización.
Sin embargo, bajo una regulación como GDPR, a menudo existe el requisito de demostrar que los dispositivos realmente fueron encriptados en caso de una pérdida, para evitar algunos de los requisitos de informes dentro de estas regulaciones. Demostrar que la pérdida de un dispositivo no es una pérdida de información y evitar la necesidad de realizar una notificación de incumplimiento es algo en lo que debe poder pensar con anticipación. Si está implementando un producto que incluye administración centralizada, esa funcionalidad ya debería estar allí. Pero muchas pequeñas empresas optarán por implementar en una configuración más independiente, sin la necesidad de instalar una plataforma de administración central.
Con las instalaciones independientes, debe asegurarse de que el producto tenga una capacidad de generación de informes de algún tipo, como en línea, lo que permite informar sobre el estado de cifrado de su estado de dispositivos.

4. Extensibilidad
En primera instancia, es posible que esté considerando implementar el cifrado dentro de una propiedad de dispositivos Windows. Pero podría darse el caso de que dentro de uno o dos años tenga otros requisitos; es posible que deba administrar el cifrado en dispositivos Mac o en teléfonos inteligentes y dispositivos móviles dentro del mismo conjunto de productos. Por lo tanto, es una buena idea buscar proveedores que tengan ofertas multiplataforma, lo que le ayudará a preparar su elección de tecnología para el futuro. Esto asegurará que no esté atado a un proveedor, pero al menos asegurará que su proveedor existente sea una opción a medida que crezcan sus requisitos.

5. Mejores prácticas
Es un buen paso para cifrar dispositivos y poder demostrar que los ha cifrado. Sin embargo, existe un requisito normativo cada vez mayor para demostrar que ha pasado por algún proceso para garantizar que la tecnología que está adoptando represente las mejores prácticas. Por ejemplo, el RGPD hace referencia explícita a la tecnología de «vanguardia».

Para asegurarse completamente de que está administrando los pasivos, debe demostrar que no solo está adoptando tecnología, sino que está apropiadamente «de vanguardia». Lograr este nivel de confianza solo se puede lograr mirando la tecnología que tiene validación de terceros, normalmente a través de la garantía o certificación del producto. Esto proporciona una validación independiente de que el producto es de una calidad adecuada.

Existe una variedad de esquemas de certificación comunes relevantes para los productos de cifrado. Uno de ellos es el estándar estadounidense, Federal Information Processing Standard (FIPS), que garantiza que los algoritmos se hayan implementado correctamente. Sin embargo, las organizaciones deben tener cuidado con la adopción de tecnología solo porque tiene una certificación FIPS. La mayoría de los productos utilizan los mismos algoritmos, como Advanced Encryption Standard (AES); FIPS garantiza que un tercero haya validado que el proveedor haya implementado correctamente el algoritmo.

Esto es similar a pedirle a un cerrajero que verifique la calidad de las cerraduras de su casa, confirmando que son de buen nivel. Sin embargo, no van a mencionar nada sobre si con frecuencia deja todas las ventanas abiertas cada vez que se va. FIPS le dirá que los algoritmos se han implementado correctamente, pero los proveedores pueden, y aún lo hacen, implementar productos de manera inapropiada que dejan vulnerabilidades.

Un buen ejemplo de estas vulnerabilidades en los productos de cifrado se encuentra en las unidades de estado sólido (SSD). Una investigación reciente de la Universidad de Radboud en los Países Bajos ha destacado las vulnerabilidades no solo en un proveedor, sino en toda una gama de SSD de proveedores. La razón fundamental que destacan es que implementar bien el cifrado no es fácil y es fácil cometer errores. Los proveedores pueden tomar atajos, lo que significa que los investigadores de seguridad pueden encontrar las vulnerabilidades resultantes; en este caso, pudieron omitir el cifrado dentro de los SSD.

Es mejor para las organizaciones que busquen esquemas de certificación que sean más completos. Un ejemplo es el esquema de Garantía de Producto Comercial (CPA), administrado por el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC). CPA trabaja junto con FIPS para validar algoritmos, pero dice más sobre la calidad e implementación general del producto, observando la arquitectura de seguridad para asegurarse de que se haya diseñado e implementado de manera sensata.

También analiza la codificación del proveedor y los estándares de construcción, lo que reduce el riesgo de que exista una vulnerabilidad en el producto. El riesgo nunca se mitiga por completo, pero ciertamente se reduce a un punto que le permite decir que, como organización, está adoptando las mejores prácticas.

Además de la seguridad y las responsabilidades, las organizaciones también deben preocuparse por el costo de ser atrapadas por productos con vulnerabilidades publicitadas. Posteriormente, también deben pensar en el costo de cambiar a una solución diferente.

En resumen, estas son las cinco cosas en las que sugeriríamos que las organizaciones, en particular las PYME, quieran pensar al adoptar el cifrado. No es ciencia espacial y la mayoría de los buenos proveedores, o sus socios, deberían poder guiarlo fácilmente a través de estos pasos.

Cinco consejos principales para las pequeñas empresas que adoptan el cifrado.

Deja una respuesta Cancelar la respuesta

¿Se preocupan los minoristas por la seguridad de los datos de los clientes?

Cómo ver Netflix gratis para siempre

Yara Gambirasio: las etapas de la amarilla hasta la captura del presunto culpable

Estúpidos trucos terminales: el loro de baile de ASCII Party

Efecto Instagram pelado

Cómo comprobar qué versión de PostgreSQL se está ejecutando desde CLI

Lista de los mejores canales de Telegram 2023

Cómo ver la televisión sin antena

Cómo eliminar Microsoft AutoUpdate de Mac

Cómo eliminar el icono de círculo con + signo en Android

Cómo descargar videos de YouTube con subtítulos

Las soluciones de todos los capítulos de Adventure Escape Mysteries

Cómo otorgar privilegios de root a un usuario en Linux

Problemas para cargar el teléfono: triángulo amarillo con signo de interrogación

Cómo instalar Eclipse IDE en Ubuntu 20.04

Cómo ver IPTV con VLC: guía completa

Publicaciones relacionadas

La caza del amanecer de las APT: un ataque de 20 años que sigue siendo relevante para una APT moderna

Recursos de capacitación sobre coronavirus utilizados como táctica de phishing

El sistema de nómina de la administración pública se auditará luego de una violación de datos

Ejército chino acusado por Estados Unidos por incumplimiento de Equifax

Deja una respuesta Cancelar la respuesta

¿Se preocupan los minoristas por la seguridad de los datos de los clientes?