¿Qué es traiga su propia clave (BYOK)?

By Matthew Kosinski and Gregg Lindemulder

¿Qué es BYOK?

Traiga su propia clave (BYOK) es un enfoque de gestión de claves de cifrado donde los clientes de un servicio en la nube generan y gestionan sus propias claves de cifrado. En entornos de cloud computing, BYOK ofrece a las organizaciones un mayor control sobre la seguridad de datos, la visibilidad y los requisitos de cumplimiento.

A menudo, un proveedor de servicios en la nube controla las claves de cifrado que proporcionan protección de datos para los activos alojados en la nube de una organización. Sin embargo, en un modelo BYOK, la organización controla sus propias claves de cifrado para que ninguna entidad externa pueda acceder a sus datos en la nube sin su autorización.

Las claves de cifrado transforman el texto plano en texto cifrado ilegible para proteger los datos sensibles de accesos no autorizados. También pueden volver a descifrar el texto cifrado para que los usuarios autorizados puedan leerlo.

BYOK ayuda a garantizar que las claves de cifrado se gestionen de acuerdo con las políticas de seguridad de una organización y estén alineadas con los estándares del sector, como las directrices del NIST y FIPS 140-2, independientemente del proveedor de servicios en la nube.

La mayoría de los principales proveedores de servicios en la nube, incluidos IBM® Cloud, Microsoft Azure, Amazon Web Services (AWS) y Google Cloud, ofrecen BYOK a sus clientes.

Boletín de Think

¿Su equipo detectaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprenda rápidamente de tutoriales de expertos y artículos explicativos, directamente en su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/es-es/privacy

¿Cómo funciona el BYOK?

BYOK suele seguir un proceso llamado "cifrado de sobre", que utiliza una jerarquía de claves para proteger los datos. Esta función está gestionada por el sistema de gestión de claves (KMS) del proveedor de servicios en la nube, que es un servicio seguro que crea, almacena y controla el acceso a las claves de cifrado.

Estos son los pasos básicos para BYOK.

Generar una clave maestra

El cliente genera una clave maestra en su propio entorno, a menudo utilizando un módulo de seguridad de hardware (HSM) on-premises para mejorar la seguridad. El HSM es un dispositivo a prueba de manipulaciones que genera y almacena claves criptográficas de forma segura.

Transferir la clave

Con una clave pública proporcionada por el proveedor de servicios en la nube, el cliente cifra su clave maestra para protegerla durante el tránsito. A continuación, la clave maestra se importa al servicio de gestión de claves del proveedor de servicios en la nube a través de una interfaz de programación de aplicaciones (API) segura. La clave suele almacenarse en el propio módulo de seguridad de hardware del proveedor de servicios en la nube.

Cifrar los datos del cliente

El KMS del proveedor de servicios en la nube genera una clave temporal de cifrado de datos (DEK) de un solo uso. Esta clave se utiliza para cifrar los datos del cliente. La clave maestra del cliente se utiliza entonces para cifrar el DEK. El resultado es una DEK cifrada (EDEK). La EDEK se almacena junto con los datos cifrados, mientras que la DEK se descarta de la memoria.

Descifrar los datos

Cuando el cliente necesita acceder a los datos, el proceso se invierte. El proveedor de servicios en la nube recupera los datos cifrados y la EDEK. El KMS del proveedor de servicios en la nube utiliza la clave maestra del cliente para descifrar la EDEK, recuperando la DEK. A continuación, se utiliza la DEK para desencriptar los datos y que el cliente pueda acceder a ellos.

Ejemplo: BYOK en acción

Piense en una empresa de servicios financieros que quiere mover a una nube pública los historiales de transacciones de sus clientes, los detalles de sus cuentas y otros registros sensibles. Sin embargo, debido a las estrictas regulaciones de la industria, como el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), no puede ceder el control de sus claves de cifrado a un tercero.

Con BYOK, la empresa puede utilizar sus propias claves de cifrado para mantener un control estricto sobre sus datos, aunque estén almacenados en la infraestructura del proveedor de servicios en la nube. Dado que un atacante no tendría acceso a la clave maestra necesaria para descifrar los datos, se minimiza el riesgo de una vulneración de datos. La empresa también puede demostrar a los reguladores que tiene pleno control sobre las claves que aseguran los datos de los clientes.

Beneficios de BYOK

Protección de datos

El cifrado de datos es una herramienta fundamental para proteger la información sensible, especialmente la almacenada y procesada en la nube. Según el informe Cost of a Data Breach de IBM, las organizaciones que utilizan el cifrado pueden reducir el impacto financiero de una vulneración de datos en más de 200 000 USD.

BYOK mejora aún más la protección de datos al otorgar a las organizaciones control directo sobre las claves de cifrado utilizadas para proteger datos sensibles en la nube. Este control reduce el riesgo de acceso no autorizado a los datos cifrados al impedir que los proveedores de servicios en la nube o terceros descifren los datos.

Muchas empresas utilizan BYOK para proteger datos sensibles de clientes almacenados en una plataforma de software como servicio (SaaS) como Salesforce.

Cumplimiento de la normativa

Regulaciones como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), el Reglamento General de Protección de Datos (RGPD) y el PCI DSS a menudo requieren un control estricto sobre el acceso a los datos y las prácticas de cifrado. Al utilizar sus propias llaves, las organizaciones pueden ayudar a garantizar que cumplen estos estándares y mantener registros de auditoría para el acceso y uso de las claves.

Los proveedores de asistencia sanitaria suelen utilizar BYOK al cifrar los registros de los pacientes, lo que les ayuda a demostrar el cumplimiento de la HIPAA al garantizar que solo las partes autorizadas puedan descifrar los datos.

Gestión de claves multinube

En entornos multinube y de nube híbrida, BYOK ayuda a las organizaciones a centralizar la gestión de claves entre plataformas, manteniendo la coherencia y el control sin depender del sistema de claves separado de cada proveedor de servicios en la nube.

Por ejemplo, una empresa que utilice AWS, Azure y Google Cloud puede gestionar de forma centralizada las claves de cifrado de todas las plataformas, lo que reduce la complejidad y mejora la posición de seguridad.

Mayor confianza

Para las empresas de SaaS y otros proveedores, ofrecer BYOK envía una señal a los clientes de que se toman en serio la protección de datos y la propiedad de los datos. Esta señal es importante para los clientes empresariales y los sectores regulados, donde la transparencia es un componente crítico de la seguridad.

Tareas en curso para BYOK

Dado que el cliente posee la clave maestra en un modelo BYOK, es responsable de la gestión completa de su ciclo de vida. Este ciclo de vida incluye una serie de tareas continuas para ayudar a mantener la seguridad y la integridad de la clave. Las organizaciones suelen automatizar estas tareas para reducir la sobrecarga operativa y minimizar el riesgo de error humano.

Rotación de claves

Las organizaciones sustituyen periódicamente las claves de cifrado por otras nuevas para reducir el riesgo de acceso no autorizado, exposición o robo. Limitar la vida útil de una clave ayuda a mejorar la seguridad de la nube.

Copia de seguridad de claves

Hacer una copia de seguridad segura de las claves maestras es esencial para evitar la pérdida de datos en caso de que la clave original se pierda o se corrompa. Sin una clave maestra válida, los datos cifrados pueden volverse permanentemente inaccesibles.

Auditoría

La monitorización del uso de claves a través de registros de auditoría ayuda a detectar el acceso a datos no autorizado o el uso indebido de datos. La auditoría de las políticas de gestión de claves también ayuda a comprobar el cumplimiento de los requisitos reglamentarios, como el RGPD y la HIPAA.

Planificación de la recuperación

Disponer de un plan claro y documentado ayuda a las organizaciones a prepararse para situaciones como el borrado accidental de una clave, fallos de hardware o ciberataques. Como los proveedores de servicios en la nube no pueden recuperar la clave maestra, la organización debe estar preparada.

BYOK vs. HYOK

Tanto el modelo "traiga su propia clave" (BYOK) como el modelo "conserve su propia clave" (HYOK) proporcionan a las organizaciones un mayor control sobre el cifrado, pero difieren en cómo y dónde se almacenan y gestionan las claves.

Con BYOK, la organización crea y es propietaria de las claves de cifrado, pero las sube al sistema de gestión de claves del proveedor de servicios en la nube para utilizarlas con los servicios cloud.

Con HYOK, la organización conserva las claves de cifrado íntegramente en su propio entorno y nunca las comparte con el proveedor de servicios en la nube. Esta disposición ofrece un mayor nivel de control y privacidad, pero es más compleja de gestionar y no todos los servicios cloud la admiten.

BYOK ofrece comodidad con control, mientras que HYOK ofrece el máximo control pero con más responsabilidad.

Autores

Gregg Lindemulder

Staff Writer

IBM Think

Matthew Kosinski

Staff Editor

IBM Think

Recursos

Descubra por qué KuppingerCole clasifica a IBM como líder

El informe de KuppingerCole sobre plataformas de seguridad de datos ofrece orientación y recomendaciones para encontrar los productos de protección y gobierno de datos sensibles que mejor se adapten a las necesidades de los clientes.
IBM® X-Force Threat Intelligence Index 2025

Obtenga información para prepararse y responder a los ciberataques con mayor rapidez y eficacia con IBM X-Force Threat Intelligence Index.
El impacto económico total (TEI) de la protección de datos Guardium

Descubra los beneficios y el ROI de IBM Security Guardium Data Protection en este estudio TEI de Forrester.
Gartner Market Guide for AI TRiSM

Acceda a este informe de Gartner para aprender a gestionar el inventario completo de IA, proteger las cargas de trabajo de IA con barreras de seguridad, reducir el riesgo y gestionar el proceso de gobierno para lograr la confianza en la IA para todos los casos de uso de IA en su organización.
Amplíe sus conocimientos con tutoriales gratuitos sobre seguridad

Siga unos pasos bien definidos para completar las tareas y aprenda a utilizar las tecnologías en sus proyectos de manera eficaz.
¿Qué es la gestión de identidades y accesos (IAM)?

La gestión de identidades y accesos (IAM) es una disciplina de ciberseguridad que se ocupa del acceso de los usuarios y los permisos de recursos.
Soluciones relacionadas
Soluciones de seguridad y protección de datos

Proteja los datos en varios entornos, cumpla la normativa sobre privacidad y simplifique la complejidad operativa.

         Explore las soluciones de seguridad de datos
    IBM Guardium

    Descubra IBM Guardium, una familia de software de seguridad de datos que protege los datos confidenciales en el entorno local y en la nube.

     

             Explore IBM Guardium
      Servicios de seguridad de datos

      IBM proporciona servicios integrales de seguridad de datos para proteger los datos empresariales, las aplicaciones y la IA.

             Explore los servicios de seguridad de datos
      Dé el siguiente paso

      Proteja los datos de su organización en nubes híbridas y simplifique los requisitos de conformidad con soluciones de seguridad de datos.

             Explore las soluciones de seguridad de datos Solicite una demostración en directo