Uso de controles criptográficos y gestión de llaves en la seguridad de la información

¿Qué es la Criptografía?

La criptografía es una disciplina cuyas técnicas se aplican desde hace miles de años y está encaminada a garantizar la protección de la información. En época clásica ya se utilizaban técnicas criptográficas como el cifrado para preservar la confidencialidad de la información.

La aplicación de la criptografía consiste en convertir un mensaje que se quiere intercambiar en otro mensaje cuya información es incomprensible. Es decir, que su lectura sólo está al alcance de los responsables de este cifrado.

De esta forma existe una técnica criptográfica llamada popularmente como cifrado César. Y es que, Julio César lo utilizaba para garantizar la confidencialidad de los mensajes que intercambiaba con fines militares. Por lo general estas primeras técnicas de criptografía utilizaban una clave secreta.

A partir de la evolución de las computadoras, la criptografía fue ampliamente divulgada, empleada y modificada, y se constituyó luego con algoritmos matemáticos. Además de mantener la seguridad del usuario, la criptografía preserva la integridad de la web, la autenticación del usuario así como también la del remitente, el destinatario y de la actualidad del mensaje o del acceso.

¿Qué son la llaves criptográficas?

La gestión de llaves de cifrado es administrar el ciclo de vida completo de las claves criptográficas. Esto incluye: generar, usar, almacenar, archivar y eliminar claves. La protección de las claves de cifrado incluye limitar el acceso a las claves física, lógica y mediante el acceso de usuario

¿Qué es un certificado SSL?

Un certificado SSL es un pequeño archivo de datos que vincula digitalmente una clave criptográfica con los datos de una organización. Una vez instalado en el servidor web, el certificado activa el candado y el protocolo https y, de esta forma, se habilita una conexión segura desde el servidor web hasta el navegador.

ACONTINUACIÓN…

LA POLÍTICA SOBRE EL USO DE CONTROLES CRIPTOGRAFICOS DE SIESA.

1. Acorde con la estrategia de SIESA y en línea con la Política General de Seguridad de la Información, se debe proteger la información Confidencial del negocio relacionado a la Facturación Electrónica. Teniendo en cuenta los principios mencionados en el control A 10.1.1 se debe proteger la confidencialidad, autenticidad e integridad de la información a través del uso de controles criptográficos.
2. SIESA debe determinar los algoritmos criptográficos y protocolos autorizados para su uso en la organización y configurar los sistemas para permitir únicamente aquellos seleccionados, teniendo en cuenta la información de los grupos de interés con el fin de descartar algoritmos de cifradas débiles tales como DES, RC3, RC4 y protocolos débiles tales como SSLv2 y SSLv3. Se debería considerar en su lugar el uso de algoritmos tales como AES (cifrado simétrico), RSA (cifrado asimétrico) y los protocolos SSL/TLS 1.2 o 1.3 y tamaños de cifrado de 128 o 256 bits (cifrado simétrico) y 2048 bits (cifrado asimétrico) preferiblemente o en su defecto 128 bits (cifrado simétrico) y 1280 o 1536 bits (cifrado asimétrico).

LA POLÍTICA DE GESTIÓN DE LLAVES DE SIESA.

1. La administración de llaves criptográficas y certificados digitales estará a cargo de cada uno de los Colaboradores o contratistas a quienes les fueron asignados para el desempeño de sus labores sean tokens, firmas digitales o información de autenticación o validación.
2. Las llaves criptográficas serán cambiadas periódicamente, de acuerdo a lo definido por el responsable o cada vez que se sospeche que han perdido su confidencialidad.
3. La administración de llaves criptográficas y certificados digitales estará a cargo de acuerdo a lo definido por SIESA. Sin embargo, la administración de tokens, firmas digitales o información de autenticación o validación estarán a cargo de cada uno de los colaboradores o contratistas a quienes les fueron asignados para el desempeño de sus labores.

IMPACTO DE NO CUMPLIR LA POLÍTICA…

• Afectación de la Imagen y reputación de SIESA.
• Es una desventaja frente a la continuidad de negocio en los clientes que son auditados por entes externos.
• Aumento en incidentes de seguridad de la información
• Es una desventaja frente a la competencia.

Lo más importante….

• Tener conciencia de nuestras responsabilidades en el cumplimiento de políticas y procedimientos que debemos aplicar.

Elaborado Por:  Martha Isabel Santos A. – CISO de SIESA

Otras Referencias consultadas:

https://www.misiesa.com/wp-content/uploads/2021/07/Manual-de-Pol%C3%ADticas-de-Seguridad-de-la-Informaci%C3%B3n.pdf

https://www.ealde.es/que-es-criptografia/

https://www.tecnologia-informatica.com/que-es-la-criptografia/