El cifrado de datos en la empresa

Evita el acceso a tus datos en caso de ataques, malware, robos de información o pérdidas accidentales.

Presupuesto
cifrar los datos

¿Qué es cifrar o qué significa encriptar?

Encriptar definición: consiste en codificar la información para aumentar la seguridad. Así, solo pueda leerlo aquel que cuente con la clave de cifrado adecuada para descodificarlo.

Los datos de la empresa deben estar cifrados. Así, sólo el personal autorizado tiene acceso a la información.

Es una gran medida de seguridad:

Si tenemos una carpeta cifrada o un archivo cifrado, aunque se produzca un acceso no autorizado, no estarán legibles puesto que sólo se tendrá acceso a información codificada.

Con el cifrado, puedes seguir trabajando de la forma habitual, porque se realiza de forma transparente al usuario.

No es necesario abrir un programa adicional y pulsar sobre “descifrar mensaje”. El cifrado/descifrado lo realiza el sistema operativo en segundo plano. Comprueba automáticamente si el usuario tiene permisos sobre esos ficheros.

Así mismo, existen soluciones de terceros para la encriptación de archivos y datos que vamos a intercambiar con otras personas. Del mismo modo que antes, si la persona no cuenta con las vías previstas para desencriptar los datos únicamente tendrá acceso a datos que al acceder contendrá texto encriptado (datos sin sentido).

¿Qué debemos cifrar?

Equipos completos

Cifrar (encriptar) el disco duro completo.

En caso de acceso no autorizado, no se pueden ver los datos. Ni tan siquiera desmontando el disco y montándolo en otro equipo.

Para cifrar el contenido, se utilizan las herramientas integradas en el sistema operativo del equipo.

  • BitLocker encrypted en Microsoft Windows.
  • Firevault en Apple.

Con Sophos Safeguard, lo administramos de forma centralizada.

Cifrar archivos

Con nuestra solución de cifrado, al encriptar los documentos y archivos podremos trabajar con ellos con total normalidad.

Copiarlos a dispositivos externos o incluso subirlos a aplicaciones para compartir archivos en la nube (Google Drive para empresas, OneDrive…).

Aquellos que tengan permisos de acceso a los datos, podrán descifrar los archivos de forma totalmente transparente para el usuario.

Dispositivos externos

Se pueden utilizar dispositivos convencionales para compartir datos como memorias USBs que contengan datos que hayan sido previamente cifrados.

También, contamos como medida de seguridad adicional con dispositivos que incorporan su propio cifrado, integrado en el hardware. Tendremos un USB encriptado cifrado sólo accesible mediante contraseña (PIN).

cifrado de datos

bitlocker encrypted & firevault encrypted

¿Qué más se puede cifrar?

Existen métodos de encriptación capaces de transmitir de forma segura cualquier intercambio de datos.

Por ejemplo:

  • Mensajes encriptados: se pueden cifrar los archivos adjuntos en los correos electrónicos o incluso se pueden cifrar mensajes de correo completos.
  • Cifrar las conexiones: mediante túneles VPN. Gracias a los distintos algoritmos de encriptación la información se transmite segura a través de un medio no seguro (Internet)
  • Cifrar las comunicaciones con el servidor web: mediante los certificados SSL (https) los datos que se intercambian con los servidores web, se cifran de extremo a extremo

¿Es obligatorio cifrar los datos de mi empresa?

Para cualquier empresa, cifrar los datos supone un aumento muy importante en su seguridad y debería plantearse como una necesidad.

Los datos en la empresa

La información manejada, constituye uno de los activos más importante de negocio.

Es crucial que los datos no estén accesibles en caso de robo intencionado o pérdida accidental.

Pensemos la consecuencias que puede tener para un negocio el robo de un portátil de un empleado que cuenta con acceso al correo de la empresa.

Datos de clientes, información de operaciones pendientes, proveedores, datos sensibles. Pueden suponer un grave perjuicio con consecuencias económicas y legales.

Si el dispositivo está cifrado, el robo del equipo sólo supondrá reemplazar el portátil. Sin temor a que los datos que contiene estén accesibles por terceros.

Tampoco será necesario comunicar que se ha producido una fuga de datos.

Gestionar los riesgos

Gracias al cifrado de datos, puedes asegurar que los ladrones no tendrán acceso a la información del equipo robado. Incluso aunque saquen el disco duro y lo monten en otro equipo, no se podrá tener acceso a los archivos.

El contenido completo del disco se encuentra cifrado con Bitlocker Windows (bitlocked drive) o Firevault si es un Mac.

Sin la clave de descifrado o “key” (que va ligada al usuario del sistema operativo) no es posible acceder a los archivos.

En el caso de Microsoft, además, se combina con los importantes avances que están realizando para integrar completamente la autenticación biométrica en sus equipos con Windows 10 (TPM y TPM 2.0)

Aumento de la complejidad tecnológica

Hasta hace poco tiempo, cifrar el contenido de los datos de una empresa suponía un gran desafío.

Requería de una implantación muy estudiada. Además, acarreaba problemas técnicos importantes o lo que es peor, operativos.

El conjunto de la empresa se resentía tras la implantación de los sistemas de cifrado., Todos los procesos productivos se veían entorpecidos o al menos afectados. Había que realizar tareas constantes de cifrado / descifrado para acceder a los datos.

Afortunadamente, toda esta situación ha cambiado a mejor, con una rápida evolución de las soluciones disponibles.

Con los sistemas actuales de cifrado proteger archivos, carpetas, correo… o incluso equipos al completo.

Nunca fue tan sencillo. Todo gestionado de forma centralizada.

How Sophos Security Heartbeat Works

Sophos SafeGuard 8: See how it works

bitlocker

Normativa que regula el cifrado en España

  • GDPR. Reglamento General de Protección de Datos.
  • LPBC. Ley de Prevención de Blanqueo de Capitales.
  • LGT. Ley General de Telecomunicaciones.
  • CDAE. Código Deontológico de la Abogacía Española.
  • LAP. Ley de Autonomía del Paciente.
  • Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

¿Quién está obligado a cifrar sus datos?

Es la mejor opción para todas las empresas. Pero es que además, hay actividades que están obligadas a hacerlo. La normativa española / europea de protección de datos indica:

  1. Los sujetos que tengan los siguientes ficheros de datos personales o realicen los tratamientos de datos de carácter personal que se indican: (art. 81.3 RLPOD):
    – Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
    – Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
    – Aquéllos que contengan datos derivados de actos de violencia de género.
  2. Los sujetos obligados al cumplimiento de la normativa de prevención del blanqueo de capitales y de la financiación del terrorismo (art. 2 Ley 10/201), respecto de determinados ficheros que están obligados a crear (art. 15 y 32 Ley 10/2010)
  3. Sujetos que gestionan ficheros de whistleblowers, respecto del conjunto ordenado de datos de carácter personal de alertadores y potenciales incumplidores (Informe AEPD).
  4. Abogados en el ejercicio de su profesión, respecto del fichero de clientes (arts. 18 y 24 CE y art. 5 Código Deontológico)
  5. Las Administraciones públicas en cumplimiento del Esquema Nacional de Seguridad (Anexos RD 3/2010)
  6. Empresas que adheridas a un Código Tipo que obligue al cifrado (art. 72 RLOPD)
  7. Empresas que aceptan el BYOD (CCN-CERT IA-21/13)
  8. Empresas que deseen proteger sus creaciones (art. 1 LPI)
  9. Empresas que deseen proteger sus secretos comerciales (art. 13 LCD)
  10. Empresas que deseen proteger minimizar el espionaje industrial (art. 278, 279 y 280 CP)
  11. Empresas que deseen adoptar medidas de seguridad que superen el mínimo exigido (art. 81.7 RLPOD)

Este listado ha sido obtenido del excelente y extenso artículo publicado por abanlex y que recomendamos leer en su totalidad (ir al artículo).

Empresas y Profesionales que deben cifrar la información

  • Entidades de crédito
  • Proveedores de servicios de telecomunicaciones
  • Despachos de abogados
  • Auditores de cuentas (expertos contables)
  • Notarios y registradores
  • Hospitales
  • Clínicas (centros médicos, psicológicos, etc)
  • Administraciones públicas
  • Empresas que quieran aumentar su seguridad

¿Podemos cifrar los datos de cualquier forma?

No. Debe realizarse de tal forma que se asegure la confidencialidad de los datos protegidos.

Es decir, no sirve poner una contraseña a un archivo utilizando un método que es de sobra conocido que puede vulnerarse.

Para cumplir la normativa legal vigente, a nivel español y europeo, es necesario que el proceso de cifrado de los datos se realice de tal modo que impida que se pueda realizar el proceso inverso para tener acceso a los datos.

Tiene que ser “seguro” y garantizar la integridad de la información cifrada.

De nada sirve cifrar mensajes, cifrar claves, encriptar datos o cualquier otra información si el método empleado como «encriptador» es vulnerable. Es decir, si podemos deshacerlo y obtener los datos protegidos.

Informe 494/2009, la importancia del cifrado correcto, de manera que sea legal y suficiente:

La seguridad en el intercambio de información de carácter personal en la que hay que adoptar medidas de seguridad de nivel alto, en particular los requisitos de cifrado de datos, no es un tema baladí, ni un mero trámite administrativo, ni una cuestión de comodidad. Es el medio técnico por el cual se garantiza la protección de un derecho fundamental y al que hay que dedicar el tiempo y los recursos que sean necesarios para su correcta implementación“.

Informe 494/2009, la importancia del cifrado correcto, de manera que sea legal y suficiente: “La seguridad en el intercambio de información de carácter personal en la que hay que adoptar medidas de seguridad de nivel alto, en particular los requisitos de cifrado de datos, no es un tema baladí, ni un mero trámite administrativo, ni una cuestión de comodidad. Es el medio técnico por el cual se garantiza la protección de un derecho fundamental y al que hay que dedicar el tiempo y los recursos que sean necesarios para su correcta implementación“.

Agencia Española de Protección de Datos

Presupuesto

o contacta con nosotros directamente en el (+34) 91 687 25 23

P.D.: Aunque La Real Academia de la Lengua Española indica que cifrar y encriptar son palabras sinónimas, lo cierto es que lo correcto, es emplear el término “cifrar” en lugar de “encriptar” (aunque el segundo esté mucho más extendido).

bitlocker windows es una marca de Microsoft, así como firevault es una marca de apple