Estándares de cifrado

Los estándares se derivan de su política. Tienen un alcance más limitado y ayudan a definir el marco y la arquitectura para la implementación. Por ejemplo, si la política de su organización es cifrar los datos en reposo, una norma definiría qué tipo de cifrado se requiere y proporcionaría instrucciones generales sobre cómo cumplir la política.

Los estándares de cifrado suelen especificar lo siguiente:

• Los tipos de cifrado que se deben utilizar

• Especificaciones mínimas para las claves de cifrado

• ¿Quién tiene acceso a las claves de cifrado

• Dónde deben almacenarse las claves de cifrado

• Criterios para elegir la fortaleza de clave adecuada al elegir técnicas de cifrado o hash

• Frecuencia de rotación de la clave

Si bien rara vez es necesario actualizar una política de cifrado, los estándares de cifrado están sujetos a cambios. El sector de la ciberseguridad evoluciona constantemente para adaptarse al panorama de amenazas en constante cambio. Por lo tanto, sus estándares deberían cambiar para adoptar las últimas tecnologías y mejores prácticas a fin de proporcionar la mejor protección posible para los datos de su empresa.

En una organización empresarial, los vicepresidentes, directores o administradores de datos suelen definir los estándares de cifrado, y un responsable de cumplimiento suele revisarlos y aprobarlos.

Tenga en cuenta las siguientes categorías de factores al definir y mantener los estándares de cifrado en su organización:

• Consideraciones de costo y rendimiento

• Control de acceso por clave

• Tipos de cifrado

• Especificaciones de la clave de cifrado

• Ubicación de almacenamiento de claves

Consideraciones de costo y rendimiento

Tenga en cuenta los siguientes factores operativos al determinar los estándares de cifrado para los datos en reposo:

• Los recursos de hardware disponibles deben ser compatibles con sus estándares a gran escala.

• El coste del cifrado varía en función de la longitud de la clave, la cantidad de datos y el tiempo necesario para realizar el cifrado. Por ejemplo, en comparación con el cifrado simétrico, el cifrado asimétrico utiliza claves más largas y lleva más tiempo.

• Tenga en cuenta los requisitos de rendimiento de las aplicaciones empresariales. Si su aplicación requiere una latencia baja y un alto rendimiento, es posible que desee utilizar el cifrado simétrico.

Control de acceso por clave

Identifique políticas de control de acceso para sus claves de cifrado en función del principio de privilegio mínimo. El privilegio mínimo es la práctica recomendada de seguridad de conceder a los usuarios el acceso mínimo que necesitan para realizar sus funciones laborales. En sus estándares, defina una política de control de acceso que:

• Identifica las funciones que administran las claves de cifrado clave y las claves de datos.

• Define y asigna los permisos clave a las funciones. Por ejemplo, define quién tiene privilegios de administrador clave y quién tiene privilegios de usuario clave. Los administradores de claves pueden crear o modificar claves de cifrado por clave, y los usuarios de claves pueden cifrar y descifrar datos y generar claves de datos.

Tipos de cifrado

En sus estándares, defina qué tipos y características de cifrado son adecuados para su organización:

• Documente cuándo utilizar algoritmos de cifrado simétricos y asimétricos. Para obtener más información, consulte ¿Cuándo necesito el cifrado simétrico? y ¿Cuándo necesito un cifrado asimétrico? en la sección de preguntas frecuentes.

• Decida si debe utilizar el cifrado de sobres y defina las circunstancias. Para obtener más información, consulte ¿Cuándo necesito el cifrado de sobres? la sección de preguntas frecuentes.

• Defina los criterios sobre cuándo utilizar alternativas de cifrado, como la tokenización y el hash.

Especificaciones de la clave de cifrado

Defina las especificaciones necesarias para sus claves de cifrado, como la intensidad de las claves y los algoritmos. Estas especificaciones deben cumplir con los regímenes reglamentarios y de cumplimiento definidos en la política. Considere la posibilidad de definir las siguientes especificaciones:

• Defina la intensidad mínima de las claves y los algoritmos para los tipos de cifrado simétrico y asimétrico. Los factores de fortaleza de la clave incluyen la longitud, la aleatoriedad y la exclusividad.

• Defina cuándo quiere implementar nuevas versiones de los algoritmos de cifrado. Por ejemplo, sus estándares pueden indicar Implemente la última versión del algoritmo en un plazo de 30 días a partir de su publicación o utilice siempre una versión anterior a la última versión.

• Defina el intervalo de rotación de las claves de cifrado.

Ubicación de almacenamiento de claves

En sus normas, tenga en cuenta lo siguiente a la hora de decidir dónde almacenar las claves de cifrado:

• Los requisitos normativos y de conformidad pueden determinar dónde se pueden almacenar las claves de cifrado.

• Decida si desea almacenar las claves en una ubicación centralizada o con sus datos correspondientes. Para obtener más información, consulte ¿Por qué debo administrar de forma centralizada las claves de cifrado? la sección de preguntas frecuentes.

• Si opta por el almacenamiento centralizado, decida si desea almacenar las claves en una infraestructura gestionada por la empresa, como un módulo de seguridad de hardware (HSM), o en un proveedor de servicios gestionados, como. AWS Key Management ServicePara obtener más información, consulte la sección ¿Cuándo debo usar un módulo de seguridad de hardware (HSM)? de preguntas frecuentes.