Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Cifrado de la información: protege el principal activo de tu empresa

Fecha de publicación 12/09/2023
Autor
INCIBE (INCIBE)
joven tocando candado cifrado

A menudo, las pymes cuentan con instalaciones, mobiliario, equipamiento informático, etc. Estas poseen un alto valor económico. Sin embargo, los activos más importantes de las empresas son intangibles. Bienes tales como libros de cuentas, propiedades intelectuales o la propia información que se maneja, deben ser protegidos asegurando su integridad, confidencialidad y disponibilidad. 

Este proceso comienza por establecer qué información es susceptible de ser cifrada. Se trata de una fase elemental en la que los encargados de ciberseguridad de la empresa llevarán a cabo una clasificación de la información con la que se trabaja. Una vez establecida dicha clasificación se determinará qué se va a cifrar. Siempre se recomienda cifrar informaciones sensibles, tales como datos de carácter personal o confidencial. Estos datos, como fechas de nacimiento, nombres y apellidos son de extrema delicadeza y no deben caer en manos de ciberdelincuentes, ya que podrían suponer, no solo una pérdida de reputación sino un incumplimiento legal; así pues, ocupan un puesto prioritario a la hora de cifrar activos. 

La información que se encuentra almacenada en los dispositivos personales o servicios en la nube debe también ser cifrada. Esto se debe a que, a menudo, los dispositivos personales no cuentan con los controles de seguridad adecuados con los que sí cuentan los equipos corporativos. Por tanto, se deberá asegurar la confidencialidad de la información que se almacena.

Por su parte, la seguridad de la información almacenada en servicios cloud depende de terceros que, si recibieran un ciberataque, podrían poner en riesgo la información que se encuentra almacenada en sus servidores. Por ello, es recomendable añadir un filtro de seguridad adicional: el cifrado de la información.

Otro elemento delicado son los registros en los que se insertan credenciales de autenticación. Estos deben almacenarse cifrados, ya que si un ciberdelincuente accediera a dicha información habría consecuencias perjudiciales para la empresa.

Elementos como credenciales de acceso o para pagos online, así como informaciones sujetas a protección legal, deben contar con una férrea protección criptográfica, tanto cuando se encuentran en tránsito como almacenadas.

Así pues, es de vital importancia llevar a cabo un análisis exhaustivo de los activos de información que se manejan en la pyme, y determinar cuáles de ellos son susceptibles de ser protegidos adicionalmente y cuáles no. Dependiendo del tamaño y capacidades de la empresa, se contará o no con un mayor volumen de información sensible, almacenadas en servicios externos. Será importante conocer bien las necesidades específicas de nuestra empresa.

¿Cómo ciframos la información de la empresa?

Para asegurar que la información anteriormente mencionada se encuentra protegida se deberán asegurar los controles de acceso. Por otro lado, los sistemas que se emplean para manejar la información deben estar correctamente protegidos. Con todo ello, para añadir una mayor seguridad se emplean las herramientas criptográficas, las cuales hacen ilegibles los datos para aquellos que no posean la clave de cifrado.

Lo idóneo será contar con una lista de aquellas aplicaciones autorizadas para fines criptográficos. Cada una de ellas se encargará de uno o varios apartados concretos, tales como el cifrado del disco de arranque, del correo, de copias de seguridad, etc.

La mayoría de las herramientas o softwares de encriptación emplean el sistema de cifrado AES (Advanced Encryption Standard), el cual aporta un nivel considerable de cifrado. Al igual que este sistema existen otros tantos, cada uno con sus ventajas y desventajas, que deberán valorarse en función de las necesidades de la empresa o centro de trabajo.

Además, si se desea garantizar la autenticidad y el no repudio de la información se podrá optar por las firmas electrónicas. Estas permiten garantizar la identidad del firmante, algo indispensable para los trámites con administraciones públicas.

Las informaciones de los sitios web se encriptan empleando los certificados web. Estos garantizan la seguridad de las páginas web, requisito primordial para las tiendas virtuales, que deben contar con certificados SSL / TLS para una transmisión segura de la información.

Respecto a los accesos a los servidores internos de la empresa desde el exterior, se debe asegurar que estos se realicen mediante una VPN. El uso de canales VPN cifrados garantiza la confidencialidad e integridad de las comunicaciones que se realizan desde el exterior de la red de la empresa.

Si la capacidad de la pyme así lo requiere, determinados empleados deberán contar con la capacidad de realizar comunicaciones empleando protocolos criptográficos. El uso de protocolos SSH, SFTP/FTPS y HTTPS garantiza la confidencialidad cuando se produce el acceso a los sistemas.

En lo que se refiere a la conexión wifi corporativa, esta deberá configurarse empleando el estándar de cifrado más seguro hasta la fecha, el protocolo WPA2.

Beneficios de cifrar la información

El cifrado de la información corporativa deberá estar estructurado y definido en unas políticas de seguridad de la empresa que establezcan una línea a seguir en el aseguramiento de la confidencialidad e integridad. A continuación, se expone una serie de beneficios que cifran la información de una pyme:

  • Mejoran la seguridad de los datos en la medida en que solo los usuarios autorizados pueden acceder a la información empleando las credenciales.
  • Evitan fraudes con los datos, ya que, al encontrarse cifrados, aunque un ciberdelincuente pudiera acceder a los datos no podría hacer nada con ellos, ya que serían ininteligibles.
  • Promueven el cumplimiento normativo. Esto se debe a que determinados elementos de la Ley de Protección de Datos exigen normativas muy estrictas en lo que a seguridad de la información personal se refiere. Con los métodos de cifrado se asegura el cumplimiento de los estándares de seguridad.
  • Fomentan el teletrabajo en la medida en que minimizan los riesgos de este. Suprimen en alto grado las posibilidades de pérdidas o robos de datos, ya que las informaciones permanecen ocultas en los procesos de comunicación cifrada.
  • Protegen los datos de todos los dispositivos, incluso de aquellos que cuentan con bajas medidas de seguridad, como los dispositivos móviles. El cifrado actúa como una barrera de seguridad final.
  • Aportan mayor seguridad a los datos almacenados en la nube. Si un ciberdelincuente lograra atravesar las barreras de seguridad del proveedor de servicios en la nube, los datos almacenados quedarían expuestos, algo de lo que no hay que preocuparse si estos se encuentran cifrados.
  • Fomentan los borrados seguros. Si se desea añadir un mayor grado de seguridad a los borrados lógicos, se puede emplear una clave exageradamente extensa con el fin de dar la información por perdida. Si alguien recuperara el disco duro, no podría acceder a ella dado que el descifrado supondría una inversión incalculable.

    Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).