A medida que los reguladores globales abordan la necesidad apremiante de seguridad de la información, las empresas deben adoptar una estrategia coherente y holística en toda su infraestructura tecnológica. Esto hace que la red sea un elemento clave que merezca la pena asegurar para todas las empresas. El cifrado de red es una parte esencial de una estrategia de seguridad de TI integral. Los datos deben atravesar los sistemas y redes dispares; la seguridad física, incluso si es posible, nunca será suficiente.
Un repaso a la encriptación
En criptografía, la encriptación es el proceso de transformación de la información (texto sin formato) donde, usando un algoritmo de cifrado (cifrar los datos), conseguimos que sea ilegible para cualquiera, excepto para aquellos que poseen conocimientos especiales (llave). El resultado del proceso es la información cifrada (texto cifrado).
El cifrado de datos no es una herramienta para proteger de ataques, sino una forma eficiente de prevenir que la información pueda ser leída por terceros. Por esta razón, las organizaciones cifran los datos de BBDD, de los silos de almacenamiento y para proteger la información en movimiento, el cifrado de datos al vuelo.
Existen diferentes estándares en la industria, organizaciones y formas de cifrado para asegurar que la información quede protegida en todo momento:
- Instituto Nacional de Estándares y Tecnología (NIST)
Esta organización es una agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. La misión de este instituto es promover la innovación y la competencia industrial en Estados Unidos. La organización proporciona el marco de uso y mejores práctica para proteger la información. Dentro del documento de normas y directrices criptográficas encontramos primitivos criptográficos, algoritmos y esquemas que describen algunos de los Estándares Federales de Procesamiento de la Información (FIPS), Publicaciones Especiales (SP) e Informes Internos / Interinstitucionales (NISTIR) del NIST.
- Federal Information Processing Standard (FIPS)
FIPS son estándares anunciados públicamente desarrollados por el gobierno de los Estados Unidos para la utilización por parte de todas las agencias del gobierno (no militares) y por los contratistas del gobierno. Muchos estándares FIPS son versiones modificadas de los estándares usados en las comunidades más amplias (ANSI, IEEE, ISO, etc.).
Algunos de los estándares FIPS desarrollados por los Estados Unidos serían, por ejemplo, los estándares para codificar datos, tales como el Data Encryption Standard (FIPS 46) y el AdvancedEncryption Standard (FIPS 197).
- FIPS 140-2
FIPS 140-2 es el acrónimo de Federal InformationProcessing Standard (Estándares Federales de Procesamiento de la Información), considerado un estándar para la acreditación de módulos criptográficos. Su título original es Security RequirementsforCryptographic Modules (Requerimientos de Seguridad para Módulos Criptográficos), que salió a la luz en 2001 y la última actualización es del 3 de diciembre de 2003.
- Advanced Encryption Standard (AES) – FIPS 197
El AES fue anunciado por el Instituto Nacional de Estándares y Tecnología (NIST) como FIPS PUB 197 de los Estados Unidos (FIPS 197) el 26 de noviembre de 2001 después de un proceso de estandarización que duró 5 años. Se transformó en un estándar efectivo el 26 de mayo de 2002. Desde 2006, el AES forma parte de los algoritmos más populares usados en criptografía simétrica. El cifrado fue desarrollado por dos criptólogos belgas, Joan Daemen y VincentRijmen, ambos estudiantes de la KatholiekeUniversiteitLeuven, y fue enviado al proceso de selección AES bajo el nombre “Rijndael».
El Estándar de cifrado avanzado (AES) especifica un algoritmo criptográfico que se puede utilizar para proteger los datos electrónicos. Éste es un cifrado de bloque simétrico que puede cifrary descifrar la información. También es capaz de usar claves criptográficas de 128, 192 y 256 bits para cifrar y descifrar datos en bloques de 128 bits. En este contenido de Acacia TI, consultora integradora de servicios TI para empresas, propone que si la información perdida o robada no se puede leer, entonces los costes y daños relacionados con la brecha de seguridad se reducen drásticamente. De este modo, solo los participantes en la conexión conocerán la información que se mueve por la red, gracias a que la información está cifrada.