Actualidad Info Actualidad

Una opción adecuada es combinar reglas y controles de seguridad centralizados con el cifrado del empleado

Stormshield analiza los retos para una adecuada protección de los datos sensibles en la nube

Redacción Interempresas02/02/2018

Pese a las ventajas que la informática en la nube comporta, no son muchas las empresas que optan por esta forma de aprovisionamiento de servicios TI. Ante ello, Stormshield, expone los principales riesgos de migrar a la nube, pero, también, ofrece buenos consejos para una correcta estrategia de seguridad de datos en cloud.

Uno de los mayores retos para organizaciones que gestionan datos sensibles (bancos, entidades financieras o aseguradoras) es protegerlos de accesos no autorizados. Existe cierta inquietud sobre si es posible mantener cifrados los archivos mientras se mueven hacia y desde la nube, o se envían a través de servicios cloud. Además, la preocupación sobre si un entorno en la nube cumple con las regulaciones generales y específicas de la industria, sin obviar la fuga de datos y el acceso a la información desde múltiples dispositivos, es patente.

Otra consideración a tener en cuenta es la falta de control físico. Si en la nube se roban determinadas credenciales, es difícil que una organización pueda restringir el acceso a documentos de forma retroactiva. En las instalaciones, los datos confidenciales son la prioridad para la empresa; para los proveedores cloud lo más importante es ofrecer un acceso 24/7 a sus plataformas, incluso para los que se preocupan por la seguridad.

“Por el tipo de datos que gestionan, compañías de servicios financieros o aseguradoras, necesitan mantener su información protegida. En este sentido, los problemas de seguridad asociados a la movilidad, IoT, los ataques 'Man-in-the-Middle' o el riesgo de acceso a información corporativa por parte de terceros están lastrando su confianza en la Nube”, afirma Antonio Martínez Algora, responsable Técnico de Stormshield Iberia. “Pero no todo está perdido. Es factible lograr una correcta estrategia de seguridad mediante la combinación de reglas y controles de seguridad centralizados con el cifrado de archivos realizado por el empleado”.

Imagen

Seguridad 360º: principales métodos de cifrado

Existen diversos mecanismos y técnicas para incrementar la protección de los datos en un entorno de computación en la nube.

Así, por ejemplo, el cifrado vinculado a un dispositivo (hardware) permite, mediante la codificación de un disco duro o de una unidad extraíble, proteger los datos del disco. Este enfoque es apropiado si el dispositivo se pierde o es robado.

Por el contrario, si un usuario inicia sesión en el dispositivo y los datos son descifrados mientras trabaja en un documento, no haber desplegado protecciones adicionales puede conllevar que esos datos sean utilizados en otras aplicaciones en el dispositivo o, incluso, abandonarlo a través de la red. Además, los datos podrían ser cargados después -sin protección- en otro hardware a través de una plataforma cloud o correo electrónico.

Para superar las brechas del cifrado basado en dispositivos, los datos pueden ser clasificados por una técnica denominada Prevención de Pérdida de Datos. En base a políticas y reglas, DLP (por sus siglas en inglés) garantiza que los datos no abandonarán el dispositivo ni la red. Sin embargo, no establece qué archivos pueden ser cifrados, la configuración de políticas y las reglas de descifrado o cómo aplicarlas adecuadamente.

Y es que las soluciones DLP funcionan de forma similar al cifrado basado en disco; los datos se cifran antes de abandonar la red y llegar a cloud, donde los datos no pueden utilizarse si están encriptados. Por tanto, el cifrado basado en dispositivos y el DLP son técnicas adecuadas para proteger los datos locales que están en reposo, pero no sirve para asegurar los archivos que salen de la empresa (cloud). En este punto, es conveniente aplicar un tercer enfoque que permita cifrar los datos estén donde estén.

El cifrado aplicado por el empleado

Permitir que los empleados apliquen técnicas de cifrado ayuda a que éstos instituyan su propio círculo de confianza: los archivos siempre están encriptados y los empleados mejoran su productividad mientras protegen sus archivos digitales.

La combinación de este enfoque con controles y reglas centralizados crea un poderoso sistema de defensa; el usuario es quien controla la seguridad que nunca sale del área de TI. El departamento de TI puede definir, administrar, aplicar, rastrear, auditar e informar sobre las políticas de protección de datos. Los usuarios individuales también pueden ser monitorizados a fin de conocer si utilizan la tecnología adecuadamente.

Desde esta posición, los datos permanecen protegidos contra el acceso no autorizado y la divulgación accidental. Los usuarios tienen el control de primera mano, sus acciones son transparentes y examinadas por la organización. Mientras que el control esté ahí, el contenido del usuario final quedará protegido, incluso frente a un súper-administrador.

Stormshield cuenta con Stormshield Data Security, un software de cifrado que permite crear entornos de colaboración seguros, sin importar el medio, terminal o aplicaciones.

Comentarios al artículo/noticia

Nuevo comentario

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con el Aviso legal y la Política de Protección de Datos.

Advertencias Legales e Información básica sobre Protección de Datos Personales:
Responsable del Tratamiento de sus datos Personales: Interempresas Media, S.L.U. Finalidades: Gestionar el contacto con Ud. Conservación: Conservaremos sus datos mientras dure la relación con Ud., seguidamente se guardarán, debidamente bloqueados. Derechos: Puede ejercer los derechos de acceso, rectificación, supresión y portabilidad y los de limitación u oposición al tratamiento, y contactar con el DPD por medio de lopd@interempresas.net. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar una reclamación ante la AEPD.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos