Explotación y protección de datos

Muchos profesionales de TI y BI no están satisfechos con la interoperabilidad y los esfuerzos de los proveedores y proveedores de almacenamiento. Los proveedores han dejado en claro que están interesados ​​en los estándares de cifrado en lugar de los desafíos de costos e integración. La expansión del cifrado es buena, pero no es la única solución definitiva. Una aplicación crítica, en un momento u otro, necesitará acceso a datos cifrados. Si un atacante puede ver datos no cifrados en una aplicación, lo más probable es que también lo puedan hacer todos los demás. En una arquitectura para toda la empresa, así como en un solo nodo personal (el acceso no autorizado es inaceptable), la protección es muy necesaria.

Un medio de noticias e información de renombre realizó una encuesta. Se encuestó a técnicos de información y profesionales de inteligencia empresarial. El 28% de los participantes dijeron que quieren expandir el uso del cifrado mucho más allá de los estándares mínimos.

La creación de estándares públicos de interoperabilidad brindaría a las comunidades de código abierto un campo de juego nivelado. Comparado con tecnologías de productos comerciales, el «código abierto» (intercambio gratuito de información tecnológica; describe prácticas de producción y desarrollo que promueven el acceso a los materiales de origen de los productos finales; Internet; vías de comunicación y comunidades interactivas) no se conoce como el mejor capacidades gerenciales. La competencia ha demostrado mantener a todos alerta. Los análisis de encuestas resultantes y las conversaciones con el CISO (Director de seguridad de la información), un énfasis en el cifrado y el cumplimiento, no se están utilizando correctamente y / o en toda su extensión. Las organizaciones que utilizan las mejores aplicaciones están cifrando o planificando … junto con varias aplicaciones de software de protección de firewall. Con la inclusión de VPN (redes privadas virtuales), correo electrónico, sistemas de archivos y datos, una brecha puede ser devastadora. Estas prácticas no resuelven realmente el problema de la protección. Aunque es evidente una reducción del riesgo.

Un director de seguridad de la información (CISO) es el ejecutivo de alto nivel dentro de una organización. El CISO dirige al personal en la identificación, desarrollo, implementación y mantenimiento de procesos en toda la organización para reducir la información y los riesgos de tecnología de la información (TI), responder a incidentes, establecer estándares y controles apropiados y dirigir el establecimiento e implementación de políticas y procedimientos. Normalmente, la influencia del CISO llega a toda la organización. Michael A. Davis informa estadísticas de alto nivel sobre el uso de cifrado por el 86% de los 499 profesionales de tecnología empresarial dicen que se sienten bastante seguros. Sus datos se basan en una encuesta de estado de cifrado de análisis de Information Week Magazine. Davis también afirma que el 14% de los encuestados dice que el cifrado es omnipresente en su (s) organización (es). Desde desafíos de integración y costos, la falta de liderazgo es la razón del pésimo estado de las ferias de cifrado. «El 38% encripta datos en dispositivos móviles, mientras que el 31% caracteriza su uso como suficiente para cumplir con los requisitos reglamentarios». El enfoque de cumplimiento en el cifrado libera a las empresas de tener que notificar a los clientes sobre una brecha en la seguridad de sus dispositivos. El informe de Davis continúa afirmando que la «resistencia arraigada» no es un fenómeno nuevo. Una encuesta del Phenomenon Institute en 2007 encontró que el 16% de las empresas estadounidenses incorporan redes de cifrado en toda la empresa, comenzando con copias de seguridad en cinta. «Hacer lo mínimo no es seguridad», citó Davis. «Los profesionales de TI y BI se enfrentan a una fuerte resistencia cuando intentan hacer más por los usuarios de tecnología».

Gran parte del personal de TI y BI de la empresa trabaja para aumentar el uso del cifrado. El acceso rápido y fácil a los datos interesa a los usuarios más que su atención a la seguridad. Incluso con el uso de unidades flash, computadoras portátiles y otros medios portátiles, desde el director ejecutivo (director ejecutivo) hasta los usuarios de primera línea, el cifrado nunca entra en su mente.

La interoperabilidad (una propiedad que se refiere a la capacidad de diversos sistemas y organizaciones para trabajar juntos; interoperar; trabajar con otros productos o sistemas, presentes o futuros, sin ningún acceso restringido o implementación) haría que la administración del cifrado sea menos costosa y más fácil de utilizar. . Las declaraciones de los profesionales de TI y BI respaldan el uso del cifrado de archivos y carpetas (algo en lo que Microsoft está trabajando actualmente) facilita el rendimiento y el uso, mientras que reducir los costos es la clave para una mejor administración. Muchos profesionales continúan deseando más regulaciones. Una infracción requeriría la notificación al cliente … esta acción permitiría la interacción de la gestión y la financiación, lo que llamaría más la atención sobre la intervención regulatoria. «Una iniciativa empresarial tan compleja como el cifrado principalmente para cumplir con las regulaciones generalmente dará como resultado un proyecto mal planificado y probablemente terminaría costando más que un programa de comprensión mapeado», según el informe de Davis.

La tokenización (el proceso de dividir un flujo de texto en elementos significativos llamados tokens) utiliza un servicio en el que se accede a un sistema a información confidencial, es decir, un número de tarjeta de crédito. El sistema recibe un «número de identificación de token de una sola vez». Un ejemplo de ello es un número de 64 dígitos que se utiliza en aplicaciones siempre que el sistema llama al número de la tarjeta de crédito. La acción también incluye números de base de datos. Este cambio se implementó en 2007. Si los datos se vean comprometidos (atacados o pirateados) de alguna manera, el promotor tecnológico manipulador no tendría forma de revertir los números de 64 dígitos a la tarjeta … haciendo una verificación de lectura virtualmente imposible. Varios sistemas están diseñados para destruir la clave (número) en emergencias. La acción hace que sea imposible recuperar los datos almacenados en el sistema … inaccesible para todos. Esta es la pesadilla de los directores de información. Muchas empresas están interesadas en productos de cifrado únicos, especializados y estandarizados. El producto funciona en una «plataforma de cifrado única», mientras que una aplicación única o central administrará varias formas de claves de código de cifrado. Esta plataforma promete aumentar la eficiencia y reducir los costos al tiempo que brinda seguridad. La advertencia para usar este modelo es el uso de una plataforma simple para manejar el cifrado de correo electrónico y una función de respaldo puede ser perjudicial si está mal planificada o mal administrada. Una empresa (y / o un solo usuario privado) necesitaría soporte múltiple en lugar de tener «todos sus huevos en uno canasta. «El camino a seguir es el uso de» Native Key Management «(disposiciones hechas en el diseño de un sistema de criptografía que están relacionadas con la generación, el intercambio, el almacenamiento y la protección – control de acceso, la administración de claves físicas y el acceso) en un La consolidación en la industria del cifrado es un desarrollo continuo. Es un entorno creado donde los proveedores de cifrado venden múltiples productos como «plataformas uniformadas». El enfoque unificado – multiplataforma es el futuro para r productos de cifrado como creen algunos profesionales de TI y BI.

Otro problema de seguridad es que los proveedores de cifrado experimentan dificultades para administrar claves de código de proveedores separados. Parecen tropezarse unos con otros a modo de competencia y compitiendo de último a primero en la fila. Los proveedores experimentan dificultades para poner sus estándares separados en la misma página. Continuamente se pelean por los detalles de la operación y el cumplimiento y si «los productos gratuitos y de bajo costo los sacarán» y se apoderarán de la industria.

Un directorio central de claves de código es fácil de administrar. La actualización y generación de informes es una tarea esencial y vital para todos los profesionales de TI y BI. Active Directory (AD) de Microsoft podría muy bien ser el vendedor ambulante de cifrado líder en el bloque. Los sistemas base instalados de AD de Microsoft se pueden administrar mediante objetos de política de grupo que están integrados en las aplicaciones y los programas del sistema operativo (SO). AD es el directorio más utilizado por empresas y usuarios de PC, mientras que muchos ingenieros de TI y BI ya saben cómo usarlo y trabajar con él. Todos los principales productos de cifrado de Microsoft ofrecen administración centralizada a través de AD, así como sus tecnologías de cifrado empresarial. ¿Qué es más barato que gratis?

Windows ofrece cifrado de disco potente y portátil … el cifrado de correo electrónico, carpetas, archivos y bases de datos está disponible de forma gratuita. ¿Quién puede superar ese precio?

No se impide que los usuarios envíen por correo electrónico versiones no cifradas de carpetas y archivos, o que transfieran datos a un dispositivo portátil conectado al puerto USB (Universal Service Bus) … solo funciona si la entidad en el otro extremo está utilizando el mismo o una aplicación de correo electrónico comparable, que muchas empresas no cumplen (nadie parece estar siguiendo el protocolo para la política de cifrado de datos). La interoperabilidad dentro del cifrado y la gestión de claves se puede utilizar en función del tipo de almacenamiento e implementación de datos, mientras esperamos que la estandarización sacuda su cargada melena libre de impedimentos. La explotación de datos, los piratas informáticos y otros atacantes, es decir, software malicioso, espías, ventanas emergentes, etc., no tendrían más que la agregación y la privación que causan a los demás. El uso de la interoperabilidad de cifrado … puede que no detenga a los intrusos, pero seguro que hará que la intrusión sea difícil, si no imposible.

Las empresas, organizaciones y usuarios personales necesitan y deben adoptar un enfoque de gestión de riesgos … implementar el cifrado.

Hasta la próxima …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *