Reduce la exaltación de la encriptación de datos empresariales

By | 4 minute read | enero 9, 2018

El cifrado está experimentando un creciente interés y escrutinio. Se posiciona cada vez más como una tecnología que aborda la triple amenaza que impulsa el panorama de la seguridad:

  1. Apoyar el cumplimiento regulatorio
  2. Contraatacar el panorama de amenazas en continua evolución
  3. Limitar la exposición empresarial al riesgo planteado por la transformación digital

Idealmente, el cifrado de datos empresariales sería un comportamiento de higiene, percibido como una actividad fundamental. Sin embargo, la adopción del cifrado no ha coincidido con las expectativas de muchos vendedores y comentaristas. El cifrado es una tecnología bien establecida, un mercado de $1.5 mil millones según la investigación de IDC, entonces ¿por qué no es ampliamente adoptado por todos?

Cifrado: ¿un problema tecnológico?

Esta brecha entre la percepción y la adopción del cifrado surge de un desequilibrio de seguridad/usabilidad. Mientras que el cifrado hace que sea más difícil para los actores de la amenaza comprometer los datos de la empresa, también puede obstaculizar el acceso genuino de los usuarios. Por ejemplo, los datos cifrados pueden no ser utilizables dentro de las herramientas de análisis de datos. Esto hace que la adopción de cifrado sea una cuestión de apetito por el riesgo. ¿A qué le tiene más miedo la junta de directores; a la pérdida de IP a través de un compromiso de datos no encriptados; ¿o, a la pérdida de cuota de mercado debido a la falta de transformación digital? La dificultad para resolver este desequilibrio a menudo conduce a la última respuesta. ¿Entonces, qué puede hacerse?

Desde una perspectiva tecnológica, un paso importante es reconocer que el cifrado no es una solución total para la privacidad y la seguridad de los datos empresariales. Es importante, pero debe ir acompañado, por ejemplo, de soluciones (o servicios) de gestión de claves. La encriptación integral es un ejemplo de cómo los proveedores de tecnología pueden ayudar a las empresas a resolver el problema. Esto está integrado en IBM Z, los sistemas de mainframe de IBM, en el nivel del sistema operativo. Con el cifrado incorporado a los datos en reposo en el mainframe, los líderes empresariales no necesitan preocuparse sobre qué datos cifrar a nivel de la aplicación. Para obtener más detalles, consulte estos resultados de pruebas recientes sobre el impacto de “Pervasive Encryption” en el rendimiento de IBM Z en uno de los clientes bancarios de IBM.

 Sin embargo, no todas las empresas se encuentran en este nivel de madurez tecnológica. En estos casos, hay obstáculos organizacionales para abordar primero.

Cifrado: ¿un problema humano?

En un reciente Crowd Chat patrocinado conjuntamente por IBM e IDC, para muchos participantes los puntos conflictivos estaban más relacionados con las personas y el proceso que con la tecnología. De hecho, había tres áreas de enfoque: cultura, liderazgo y proceso.

En opinión de IDC, la cultura es el tema más nebuloso, pero el más crítico para generar consenso en torno al despliegue de cifrado. Se relaciona no solo con una cultura de encriptación de datos, sino con una que busca la excelencia en seguridad. Solo entonces habrá un caldo de cultivo para conceptos como encriptación generalizada más allá de los silos de datos de nicho.

En cuanto al liderazgo, los participantes del Crowd Chat se preguntaron “¿Quién es la persona adecuada para defender el cifrado?” Sin embargo, para IDC la pregunta debe formularse de forma diferente: “¿Quién en mi empresa tiene suficiente comprensión e influencia para conducir un enfoque coherente del cifrado?” Esto no puede estar predeterminado con los roles de trabajo establecidos, y debe tener en cuenta los detalles de la organización.

Con respecto al proceso, los participantes preguntaron “¿Qué datos debemos encriptar?” Dado el desequilibrio de seguridad/usabilidad, el cifrado generalizado es un viaje continuo, no un destino. Las empresas deben comenzar pequeñas, centrándose en los datos más sensibles. A partir de allí, el cifrado se puede expandir, impulsado por el “campeón”. Las consideraciones deben incluir la naturaleza o clasificación de los datos, los requisitos del gobierno, el cumplimiento normativo y las responsabilidades hacia los interesados cuyos datos se guardan.

Llamada a la acción

El cifrado no se puede promover como un remedio para la privacidad y la seguridad de los datos. Pero se puede hacer más para respaldar una adopción más amplia en toda la empresa. Las decisiones empresariales se toman en función del riesgo, destacando el desequilibrio de usabilidad/seguridad, pero los responsables de la toma de decisiones deben contener todos los datos. Por ejemplo, cuando se acerca el Reglamento General de Protección de Datos de la UE, ¿pueden las empresas permitirse no encriptar datos personales?

IDC propone cinco factores habilitantes para el cifrado:

  1. Maneje el cifrado dentro de un entorno de producto más amplio, no una solución independiente.
  2. Identifique el campeón de encriptación correcto para su empresa.
  3. El campeón de encriptación debe trabajar en sintonía con una evolución más amplia de la cultura de seguridad.
  4. Comience con encriptación pequeña: no muerda más de lo que puede masticar.
  5. Cree un proceso para identificar qué datos cifrar, basados no solo en el cumplimiento, sino también en los valores de la marca y las responsabilidades con los grupos de interés.

Obtén más información sobre cómo combatir las amenazas cibernéticas desde la infraestructura hasta el punto final.

De vez en cuando, invitamos a los líderes del pensamiento de la industria a compartir sus opiniones y puntos de vista sobre las tendencias tecnológicas actuales en nuestro blog. Las opiniones en estos blogs son suyas y no reflejan necesariamente las opiniones de IBM.