Método eficaz para garantizar la protección de los datos, el cifrado tiene, sin embargo, dificultades para arraigar en las empresas y organizaciones. Cifrado, pero ¿por qué tantos problemas? Enfoque sobre un importante problema de seguridad informática.
En todo el mundo, sólo una de cada dos empresas aplica sistemáticamente medidas de cifrado como parte de su estrategia de protección de datos sensibles. Una cifra del 50%, extraída de un estudio de Entrust, que puede parecer satisfactoria, pero que en realidad debería ser una advertencia. De hecho, esto equivale a decir que una de cada dos empresas no aplica sistemáticamente una estrategia de cifrado de datos...
¿Sigue siendo necesario recordar que el cifrado es uno de los pilares de cualquier política de seguridad informática? Es una forma sencilla y eficaz de asegurar la protección de los datos, garantizando que no serán consultados, distorsionados o robados por terceros malintencionados. Y, sin embargo, muchas empresas siguen sin utilizar sistemáticamente estos métodos. He aquí una explicación.
El cifrado de datos en los albores de 2023
Para empezar, ¿qué es el cifrado? El cifrado es una técnica que, para proteger los datos, los hace ilegibles. Sólo las personas autorizadas podrán entonces recuperar las claves de acceso para descifrar el contenido. El cifrado puede ser de superficie (a nivel de terminal) o unitario (a nivel de fichero). Hay una serie de buenas prácticas que aplicar en este ámbito, como señala Guillaume Boisseau, responsable de servicios profesionales de Stormshield: "Un buen principio a seguir es cifrar todos los datos sensibles, es decir, los que son vitales para la empresa y sus operaciones. Estoy pensando en datos sensibles como licitaciones y todo tipo de información sobre clientes, proveedores o subcontratistas".
Con la llegada de la informática y el aumento de los intercambios a partir de los años 80, algunos ciudadanos y empresas empezaron a interesarse por los métodos de cifrado. Más recientemente, los nuevos usos de los móviles y la utilización masiva de herramientas de colaboración han vuelto a poner en primer plano la cuestión de la protección de datos y la necesidad del cifrado. Pero este impulso se ha visto frenado por las promesas de cifrado nativo que han florecido en aplicaciones de mensajería como Telegram, Signal o WhatsApp, o en las plataformas de colaboración Microsoft 365 y Google Workspace. Aunque "varios actores ofrecen ahora soluciones de cifrado nativo", afirma Joseph Graceffa, presidente de CLUSIR Nord de France, "es importante tener en cuenta que esto equivale a confiar las claves de acceso a estos mismos actores”. Porque en la aplicación de la protección de datos sensibles, el acceso a esta información tiene el mismo nivel de criticidad que los datos que protege. Desde el momento en que la gestión de las claves de acceso se confía a un tercero, es esencial para una empresa mantener el control de las mismas. El control de estas claves de acceso es aún más importante cuando el tercero de confianza también aloja los datos sensibles, ya que también podría acceder fácilmente a ellos. Por tanto, controlar las claves de cifrado garantiza que los servidores de almacenamiento nunca vean los datos en texto claro, ni la clave que se utilizará para descifrarlos. Simples nociones de higiene digital para que las empresas garanticen la seguridad y confidencialidad de los datos sensibles. Pero en realidad, el cifrado tiene dificultades para implantarse en las empresas – tanto en las plataformas utilizadas como en los datos almacenados en terminales y servidores.
La dificultad de implantar el cifrado en las empresas
Los datos están ahora en todas partes y se intercambian tanto dentro como fuera de la empresa. Según el estudio 2021 del Ponemon Institute para Entrust, sólo el 50% de las empresas encuestadas declararon haber puesto en marcha un plan de cifrado global aplicado a toda la empresa, el 37% declararon que sólo aplicaban una política de cifrado limitada a algunas aplicaciones, mientras que el 13% declararon no tener ninguna política de cifrado de datos. La resistencia a la generalización de los métodos informáticos de cifrado de datos es evidente. Pero, ¿qué explica esta reticencia a utilizar el cifrado de datos?
Las razones de este bajo nivel de adopción están relacionadas con cuestiones organizativas y operativas más que con una elección de tecnologías. La primera dificultad, organizativa, es la definición de una política de gestión de los datos, indispensable para garantizar su protección, cumplir la normativa vigente (CNIL, RGPD, etc.) e incluso capitalizar su análisis. A nivel operativo, es necesario disponer de las competencias necesarias para gestionar este proyecto e incluso para desplegar una verdadera PKI (Infraestructura de Clave Pública). Esta herramienta fundamental para el cifrado en las empresas es un conjunto de componentes físicos, procedimientos humanos y programas informáticos destinados a gestionar las claves de los usuarios/colaboradores. La gestión de las claves de acceso abarca desde la generación hasta la distribución y el aprovisionamiento, pasando por la gestión de la obsolescencia y la renovación. "Estas cuestiones de despliegue de herramientas de gestión y utilización de claves de cifrado suelen estar en el centro del problema", subraya Joseph Graceffa. Además, la clasificación de los datos es una cuestión que hay que tomarse en serio para comprender los diferentes niveles de sensibilidad de los datos. Siempre en este ámbito organizativo, la concienciación de los usuarios va por fin de la mano de un proceso de clasificación claro. La aplicación de una protección de datos eficaz empezará siempre por la persona que genera los datos críticos. Este es el reto de la concienciación: concienciar a los usuarios de la necesidad de aplicar correctamente el proceso de clasificación. Tantas cuestiones internas que ni siquiera incluyen el tema de la interoperabilidad.
Además de estas dificultades para los departamentos de informática y de seguridad, suele decirse que el cifrado de los datos informáticos se sacrifica en aras de la costumbre y la comodidad. Para evitar este escollo, las soluciones de cifrado deben ser sencillas, fáciles y transparentes tanto para los usuarios como para los administradores. Por una parte, los CISOs deben pensar en estrategias que permitan a sus empleados conciliar sus usos cotidianos con un alto nivel de seguridad, mediante un cifrado unitario que vaya más allá del cifrado global de superficie. Por otro, los fabricantes de software tienen un papel que desempeñar en materia de asesoramiento y apoyo operativo. "Corresponde a la solución adaptarse a la vida cotidiana del usuario, y no al revés", mantiene Guillaume Boisseau. Eliminar los puntos de fricción y optimizar el recorrido del usuario es, por tanto, el camino a seguir para que los departamentos integren estos nuevos métodos en su rutina de higiene digital. "Las herramientas deben ser utilizables tanto para los empleados que manejan datos sensibles a diario como para el usuario medio. Por tanto, corresponde a los departamentos encargados de desarrollar e implantar la solución plantearse las preguntas adecuadas", insiste Guillaume Boisseau. El adagio 'en cualquier lugar, en cualquier momento' también debe aplicarse y las soluciones de cifrado deben poder desplegarse en todos los terminales, desde los puestos de trabajo hasta los ordenadores portátiles o las tabletas.
La cuestión del cifrado de los datos informáticos en las empresas es, por tanto, especialmente incisivo en un contexto de ciberamenazas generalizadas. Aunque las empresas ya han implantado una serie de métodos, sobre todo cuando se trata de propiedad intelectual, datos de pago o datos financieros, el cifrado de todos los datos sensibles en las empresas sigue siendo un problema importante. Sobre todo, teniendo en cuenta que en el horizonte se vislumbra una amenaza aún más acuciante: la llegada de la computación cuántica. Una vez que esta revolución tecnológica esté en marcha, ya no se tratará sólo de cifrado, sino de cifrado post-cuántico. Mientras tanto, hay que hacer más para garantizar un nivel óptimo de seguridad para todos.
