Cuando se trata de cifrado, diga no al status quo

No lo haría ¿La vida sería mucho más fácil si no tuviera que cerrar con llave la puerta principal de su negocio cuando regresara a casa por la noche? Nunca tendrías que preocuparte por perder tus llaves. O tal vez el dueño de la propiedad podría guardar sus llaves por usted. Luego, confiaría en que el administrador del edificio le abrirá la puerta todas las mañanas y volverá a cerrarla cuando se vaya.

Obviamente, ambos escenarios son ridículos y ninguna empresa consideraría seriamente ninguno de los dos. Sin embargo, si eso es cierto, ¿por qué tantas empresas permiten que sus organizaciones de TI operen día a día sin molestarse en "bloquear" y proteger sus activos digitales, ya sea que se encuentren en las instalaciones o en la nube?

Consulte también: El ataque Dyn DDoS arroja luz sobre el creciente problema de IoT

No se equivoque; el primer escenario es exactamente lo que sucede cuando TI no implementa el cifrado para proteger datos importantes. Y cuando los departamentos de TI confían a un proveedor de servicios en la nube la posesión de sus claves de cifrado privadas, en lugar de retener su propio control exclusivo sobre ellas, no es muy diferente del segundo escenario de alto riesgo.

Vale la pena plantear el problema del cifrado inadecuado. Una violación de datos significativa podría ser miles de veces más dañina que si los ladrones simplemente limpiaran la oficina física. Una infracción de la magnitud de la divulgada recientemente por Yahoo, en la que se cree que se han robado hasta mil millones de registros de clientes, sería ruinosa para la mayoría de las empresas.

Desafortunadamente, el cifrado inadecuado es el status quo para muchas empresas. Por ejemplo, una encuesta reciente encargada por HyTrust encontró que el 28 por ciento de los clientes de la nube pública no estaban encriptando datos. Y eso es una pena, porque con demasiada frecuencia, la decisión de no cifrar se ve impulsada por un par de mitos persistentes.

Mito n. ° 1:el cifrado es demasiado engorroso

En los primeros días del cifrado, la tecnología permanecía fuera del alcance de muchas organizaciones. Las soluciones como el cifrado de disco completo eran costosas, difíciles de administrar y podían introducir penalizaciones de rendimiento inaceptables. Hacerlo bien a menudo significaba traer expertos en criptografía, y hay muchos de ellos para todos.

Hoy, sin embargo, este ya no es el caso. Las soluciones de encriptación modernas son en gran medida perfectas y no requieren de expertos para implementarlas y administrarlas. Es más, los avances tecnológicos en otras áreas, como las instrucciones de aceleración de cifrado integradas en todas las CPU Intel modernas, significan que prácticamente no hay impacto en el rendimiento del sistema.

Mito n. ° 2:el cifrado de su proveedor de servicios en la nube es suficiente

La mayoría de los principales proveedores de servicios en la nube ofrecen uno o más servicios de cifrado de datos integrados. De hecho, la encuesta de HyTrust encontró que entre los clientes de la nube que sí encriptan, el 44 por ciento usaba estos servicios. Pero estos servicios no solo suelen tener una funcionalidad limitada, sino que también son problemáticos por un par de razones.

Primero, por lo general, requieren que comparta su clave de cifrado privada con el proveedor de la nube, lo que nos devuelve al segundo escenario que mencionamos anteriormente. Cuando no retiene el control total de sus claves, no puede estar seguro de que nadie más tenga acceso a sus datos. Sus llaves podrían ser robadas si los sistemas de su proveedor se ven comprometidos. ¿O suponga que su proveedor recibe una orden judicial que le exige que revele sus datos a los reguladores u otras autoridades? Si su proveedor de nube está en posesión tanto de sus datos cifrados como de las claves para descifrarlos, ha perdido el poco control que pensaba que tenía.

En segundo lugar, las soluciones de cifrado proporcionadas por la nube tienden a ser exclusivas y exclusivas de cada proveedor de la nube, lo que conduce al bloqueo del proveedor de la nube. Una vez que sus datos están encriptados, se vuelve difícil moverlos o replicarlos a otro proveedor de nube, sin primero descifrar y volver a encriptar sus datos en la nueva ubicación con las claves del nuevo proveedor de nube, algo que se vuelve cada vez más oneroso como estrategia de múltiples nubes. se convierte en la norma.

Claves del éxito

Cuando evalúe estas preocupaciones, el uso de una solución de cifrado de terceros, con la capacidad de mantener el control sobre las claves independientemente de la ubicación de los datos, puede convertirse en su nueva mejor práctica. Independientemente de si mantiene sus datos en las instalaciones en su propio centro de datos, en la nube pública o en ambos lugares a través de una nube híbrida.

Las modernas soluciones de cifrado de terceros proporcionan un cifrado que es fácil de configurar, ofrece un alto rendimiento y es fácil de administrar. Pero lo más importante es que el uso de una solución de terceros que se ejecuta en más de un hipervisor y en más de una plataforma en la nube le permite desacoplar sus claves de su entorno de alojamiento, lo que hace posible cifrar fácilmente y luego mover sus datos desde -premisas a la nube y de nube a nube.

Las otras opciones, de no cifrar sus datos en absoluto, o de ceder el control tanto de sus datos como de sus claves a cada proveedor de la nube, deberían haber estado fuera de la mesa hace mucho tiempo. Con las amenazas en línea en aumento, incluidos los ataques de actores patrocinados por el estado, una empresa con datos no cifrados o un control inadecuado sobre las claves es un escenario tan ridículo como dejar la puerta abierta de par en par.