El encuentro congregó a más de 200 profesionales en Barcelona y Madrid
RESPUESTAS SIC señala la clasificación de la información y la gestión de claves como ejes del uso del cifrado corporativo y su extensión a escenarios de nube
Los pasados 19 y 21 de junio, Barcelona y Madrid volvieron a ser escenarios de una nueva edición de Respuestas SIC, en esta ocasión para ahondar en la evolución y el estado del arte del cifrado ante la necesidad de mecanismos que garanticen la integridad y confidencialidad de los datos y su transmisión en un entorno digital cada vez más complejo, donde la nube y la movilidad transforman la forma de operar, comunicarse y colaborar entre las empresas. En este contexto, un solvente plantel de profesionales procedentes de EY y Telefonica-ElevenPaths, en su vertiente prescriptora y consultora, y los proveedores Cisco, Google, Netskope, Sophos, Stormshield y Symantec, analizaron la implicación del RGPD en las estrategias corporativas de confidencialidad, la viabilidad fluida y los falsos mitos del uso del cifrado, el papel de los proveedores de servicios, los retos en su adopción y las nuevas soluciones que vienen a combatirlos.La industria de la criptografía en seguridad TIC ha avanzado notablemente en el desarrollo de herramientas y servicios empresariales de cifrado –cada vez más eficientes, robustos y sencillos para el usuario–. Pero el uso de este método de protección, el cual se considera seriamente para proveer confidencialidad a los datos frente a brechas, filtraciones, pérdidas y robos, no está exento de retos. Su complejidad ha aumentado debido a los nuevos entornos creados por la nube y la movilidad, así como el incremento de la cantidad de ámbitos concernidos por el cumplimiento legal, del que es buen ejemplo el tratamiento de datos personales.
Para comprender mejor su evolución, sus bondades y los retos a los que proveedores y clientes se enfrentan en esta materia, la más reciente edición de Respuestas SIC, celebrada los pasados 19 y 21 de junio en Barcelona y Madrid, contó con la presencia de dos reputados expertos, como son Julio San José, Socio Responsable de Ciberseguridad para Servicios Financieros de EY, y Javier Fernández Martín, Arquitecto de Seguridad de Telefónica-ElevenPaths, junto a la intervención de seis compañías copatrocinadoras del evento: Cisco, Google, Netskope, Sophos, Stormshield y Symantec,
Inaugurando la jornada, San José realizó una ponencia magistral en la que explicó las ventajas y los riesgos del uso del cifrado en el ecosistema TIC empresarial actual. En su intervención, San José insistió en que lo más importante del cifrado “es la protección de las claves”, y desenterró algunos mitos y leyendas que rodean a este mecanismo de protección como, por ejemplo, que el cifrado ralentiza; es muy costoso económicamente; es complejo y requiere muchos recursos; y, solo es para el cumplimiento regulatorio, entre los más destacados. Pero, según este profesional, “las tecnologías de cifrado han avanzado tanto que, en la actualidad, no cifrar supone llevar a cabo procesos más lentos y costosos”, afirmaba. No obstante, para San José, sí hay que tener en cuenta que las estrategias de cifrado están creciendo en complejidad debido a la existencia de la migración de tratamientos a la nube, incidiendo en la clasificación de la información y el cifrado en origen, así como en la custodia de las claves, como principales recomendaciones a tener en cuenta a la hora de llevar a cabo una estrategia de cifrado. Algo que cobra especial importancia a la hora de subir datos a la nube.
En el cloud, “lo importante es saber dónde están las claves, quién las guarda y dónde” ya que el control del cifrado debe ejercerlo el dueño del dato; “la responsabilidad es nuestra, incluso, si ponemos su salvaguarda en un tercero”, puntualizaba San José. Y es que, es en la gestión de las claves es donde aparecen los problemas como la falta de protección, su reutilización, un mal uso o la falta de control de acceso. En este sentido, no en vano se ha popularizado el concepto Bring Your Own Key Disaster porque “somos muy conscientes cuando custodiamos las claves a nivel físico, pero no así a un nivel lógico“, resaltaba San José.
En general, para este profesional el uso del cifrado nos permite un elevado incremento del cumplimiento, hay que valorar su uso eligiendo el método de protección de la información que mejor convenga –cifrado por búsqueda, tokenización, enmascaramiento, etc.-, tener en cuenta que, en la actualidad, están apareciendo gran variedad de soluciones de cifrado y técnicas como el confidencial computing y, sobre todo, ser conscientes de que “lo malo de cifrar es que algún día tendremos que descifrar; de ahí la importancia de una buena gestión de las claves”, concluía San José.
Criterios funcionales y técnicos
Acto seguido, Fernández tomó el testigo para abordar los criterios funcionales y técnicos fundamentales para el despliegue de una estrategia de cifrado. Para ello, comenzó detallando una serie de casos de uso de despliegue de soluciones de cifrado: de contenedores físico y lógico seguro, de cifrado de correo-e, cifrado del dato a través de soluciones IRM y de soluciones CASB, donde se cifra la información entre aplicaciones y proveedores de servicios. Con estos ejemplos, Fernández demostraba el importante trabajo del MSSP en la implementación de soluciones de cifrado, convirtiendo un proyecto en un proceso y un servicio continuo. Pero para su óptima implementación, hay que tener en cuenta una serie de criterios funcionales y técnicos.
En los primeros, “el objetivo ideal es que el usuario no distinga si está trabajando con información cifrada”, explicaba Fernández aludiendo a la experiencia de usuario como criterio funcional de gran importancia. A ello, se le une la importancia del apoyo de la alta dirección para la definición de políticas de seguridad, la formación por roles y un despliegue progresivo. El roadmap de producto es también muy relevante, porque “es importante trabajar con líderes que aseguren la evolución de la solución, innoven en base a tendencias del mercado y a peticiones de los clientes y lleven a cabo despliegues de nuevas versiones ordenadas”. Asimismo, “el soporte de usuario se eleva como un elemento funcional muy crítico para gestionar las incidencias”, explicaba Fernández.
En cuando a los criterios técnicos, incidió en que “la identidad es obligatoria”. Para Fernández, la integración con tecnologías de IAM es un aspecto muy importante, así como con las tecnologías de autenticación, NAC/MAC/EMM, soluciones EDR, etc., además de forma que se tenga independencia de los dispositivos, sistemas operativos y suite ofimáticas, entre otros aspectos. Junto a él, “otro de los criterios técnicos a tener en cuenta son los algoritmos de cifrado y las diferentes opciones BYOK y HSMs”. Además, dentro de la parte de despliegue hay que destacar la persistencia en la seguridad de la información con independencia de su ubicación. Asimismo, Fernández, finalmente, recomendaba “verificar que existen los recursos y la experiencia para la prestación de un servicio gestionado satisfactorio”.
Para cerrar su ilustrativa intervención, Fernández enfatizó que “no existe una solución única para cubrir todas las casuísticas y por ello, es necesario analizar el ecosistema y la integración de los componentes; además es imprescindible tener una visión holística y de integración, proteger la inversión y tener en cuenta estrategias de salidas y devolución de la plataforma o del servicio gestionado”.
Aproximaciones de mercado
A continuación, el encuentro dio paso a un segundo bloque protagonizado por actores de referencia del mercado. En lo conceniente a Cisco, participaron Román Vargas, Security CSE, en la sesión de Barcelona, y Eutimio Fernández, Cybersecurity Leader para España y Portugal, en la sesión de Madrid. Ambos desgranaron la amplia propuesta de la compañía basada en un modelo de protección coordinado que se circunscribe es su arquitectura de seguridad Talos para proteger las redes corporativas. Para ello, entre sus soluciones, destacaron Cisco ISE, la cual, “considera la red como un sensor, siendo capaces de analizar el comportamiento de usuarios, detectar problemas de cumplimiento, de seguridad, fuga de datos, etc.”. Además, resaltaron sus soluciones para la identificación y protección ante malware en tráfico cifrado de Cisco ETA y Cisco AMP; el servicio Umbrella para el análisis a nivel de DNS: Stealtwatch para extender la visibilidad de la red en entornos híbridos; así como, su solución de cumplimiento y cifrado de los datos en la nube Cisco Cloudlock.
La segunda intervención de la industria fue protagonizada por Yolanda Lamilla, Directora para Cuentas Estratégicas de Google Cloud Iberia, quien explicó a la audiencia cómo la tecnológica lleva a cabo el tratamiento de los datos donde Google asegura que se cifra el cien por cien de las comunicaciones y ofrece la posibilidad a los clientes que utilicen y gestionen sus propias claves para ello. Asimismo, Lamilla afirmó que “Google es el encargado del tratamiento dato, pero el cliente es el responsable del mismo”. Además, recordó que la compañía “cumple con la legislación europea, las normas internacionales como el Escudo de Privacidad, así como con cláusulas contractuales tipo que garantizan la seguridad en la transferencia de los datos”. Asimismo, expuso la capacidad de Google para proteger los datos tanto de usuarios como de empresas, gracias a soluciones específicas de seguridad del puesto de trabajo, gestión de accesos, monitorización y gestión de logs, protección frente a DDoS, además de otras arquitecturas propietarias para el análisis de páginas web, escaneo de spam y correos-e maliciosos, entre otras.
Tras su intervención, Samuel Bonete, Director General para Iberia de Netskope, explicó cómo la nube ha cambiado la forma en la que se accede a la información y cómo para su protección las soluciones tradiciones ya no son suficientes. “La nube requiere de controles exhaustivos para evitar fugas de información, el uso no autorizado de los datos, incluso, para evitar de transmisión de malware a las aplicaciones cloud”, puntualizaba. En este sentido, Bonete explicó que Netskope proporciona visibilidad y control en tiempo real sobre más de 28.000 aplicaciones no reguladas y reguladas que coexisten en las empresas. En dicho proceso, es capaz de habilitar de forma segura las aplicaciones no reguladas a través de la aplicación de controles, DLP profundo, prevención contra amenazas y cifrado de datos sobre miles de aplicaciones. En este último sentido, “Netskope aplica el cifrado a cuatro casos: datos no estructurados en reposo, datos no estructurados antes de llegar a la nube, cifrado de datos estructurados en bases de datos y/o a través de la acción de un IRM externo ante la actividad sobre ciertos datos”, terminaba detallando Bonete.
Posteriormente, Alberto Ruiz, Ingeniero de Ventas de Sophos, concentró en tres los problemas que la nube puede generar en las empresas: la falta de visibilidad, la carencia de cifrado y los usuarios. Para ello, Ruiz proponía tres soluciones. En primer lugar, la Sincronización de Aplicaciones a través de Security Heartbeat Synchronaized App Control, donde las soluciones de Sophos comparten información para ofrecer una mayor visibilidad y control de las aplicaciones utilizadas en el punto final enviándolas al XG Firewall para su clasificación. Una visibilidad que la compañía extiende al entorno CASB analizando y clasificando el uso de aplicaciones en la nube. En segundo lugar, Ruiz resaltó la herramienta Sophos SafeGuard con la que la compañía cifra los datos empresariales para protegerlos en caso de pérdida. Y, por último, para evitar errores humanos, Ruiz destacó su solución de concienciación Phish Threat, con más de 30 módulos de formación relacionados con la seguridad y el cumplimiento normativo.
Acto seguido, Borja Pérez, Director General de Stormshield Iberia, ahondó en cómo los nuevos usos de la externalización, la movilidad y la colaboración está aumentando la exposición de los datos corporativos al riesgo. Por ello, Stormshield propone aplicar la protección lo más cerca posible del dato. En este sentido, dentro de Stormshield Data Security, la firma ofrece soluciones para el cifrado de documentos en correos-e, discos externos, dispositivos móviles, entornos en la nube, en colaboraciones fuera de la empresa, etc., siendo capaz de integrarse con otras soluciones, por ejemplo, de DLP, gracias a un conector, además de proporcionar monitorización de los movimientos del documento. “Con todo ello, buscamos la reducción del riesgo en todo lo posible, facilitar el uso de la nube o soluciones colaborativas en cualquier plataforma y la integración con las aplicaciones de negocio”, terminaba explicando Pérez.
Por último, Alberto Cita, Director Técnico de Symantec, subía a la palestra para explicar que “la única forma de conseguir visibilidad y control de la información en el mundo en el que vivimos es crear un perímetro alrededor del dato, tanto el reposo como en tránsito”. Para ello, la propuesta de la compañía se ha centrado en integrar las soluciones de DLP y etiquetado, las soluciones de cifrado y las de gestión de identidades, que tradicionalmente han rodeado al dato en silos. Para hacerlo realidad, “lo primero que hacemos es identificar la información valiosa a través del DLP y de la herramienta Information Centric Tagging”, explicaba Cita. Asimismo, “para dotar de visibilidad a los datos en la nube integramos la solución DLP con aplicaciones SaaS vía CloudSOC (CASB) y con servicios de correo-e en la nube con la solución DLP Cloud Detector para Email”. Y, como complemento, Cita resaltaba Information Centric Encryption (ICE) para la protección de los datos frente accesos no autorizados y proporciona y Validation and ID Protection (VIP) para el control del acceso y la protección frente al robo de identidad de los usuarios.
El cifrado, una necesidad improrrogable ante la pérdida de datos
Como es habitual, el encuentro terminó con un debate a fin de dar la oportunidad a los asistentes de ahondar en las cuestiones surgidas durante la jornada. La primera de ellas giró en torno al problema del carácter secreto en las claves y, ante ello, del uso que puedan hacer de los datos los proveedores de servicios sin conocimiento del usuario y, en caso de litigio, conocer quién sería el responsable. En este sentido, Lamilla abrió el turno de respuestas afirmando que “no es necesario protegerse del proveedor” y que “en Google, si las claves las gestionamos nosotros, existe una jerarquía de protección de llaves muy sofisticada para que sean secretas y protegidas en una caja fuerte a la que solo podrían acceder unos pocos si fuera estrictamente necesario”, explicaba. Además, insistió en que, en cuanto a cumplimiento normativo, “Google va a ser muy riguroso en cualquier petición de acceso a los datos que le lleguen estando jurídicamente refrendado”, puntualizaba. Por su parte, Fernández Martín explicó que “en experiencia de Telefónica con proveedores de servicios a veces la responsabilidad es compartida y dado el impacto reputacional hay que ser celoso y estricto con respecto a los datos y con quien los compartimos”.
Otra de las cuestiones más destacadas que se plantearon recayó en el uso del cifrado en las empresas, si se aplica a datos personales o no, y si la informacion a cifrar está ya clasificada. A este respecto, Cita afirmó que “hay empresas en las que se clasifican el dato, otras que las intentan y otras en las que no”. Pérez apuntó que “hay pocas que cifran datos personales pero existen, especialmente, en el entorno de la seguridad industrial aplicado a datos de propiedad intelectual”. Por su parte, Bonete explicó que la compañía está empezando a trabajar con organizaciones que cifran mucha información personal a nivel de expedientes académicos y visados, entre otros, especialmente por cumplimiento con el RGPD”. “Nosotros nos hemos encontrado con clientes que carecían de conocimiento del proyecto DLP a llevar a cabo; en este sentido, quieren implementar una solución pero cifran todo por no saber cómo es una solución DLP”, añadía Ruiz. Juan López-Rubio (en representación de EY en el debate) también alegaba la complejidad que supone la clasificación de los datos especialmente por el desconocimiento de las empresas sobre cuáles son sus datos más sensibles. “La nueva regulación, aparte de ser un dinamizador, está permitiendo que muchas empresas tengan un foco donde ponerse a trabajar”, afirmaba. Para Fernández añadía que “existe cierta presión para las compañías que venimos de fuera, como Cisco, acerca de dónde tienes tus datos, etc”.
Para concluir, el debate terminó con una reflexión por parte de cada ponente en cuanto a si, realmente, incorporar el cifrado es o no costoso económicamente. Para Fernández Martín “la reputación puede destruir una empresas, por lo que el cifrado es barato y creo que es una necesidad”. Por su parte, López-Rubio respondía con una pregunta, “¡cómo te puedes permitir no cifrar para no tener problemas ante una pérdida de datos y sus consecuencias!” Para Eutimio Fernández la respuesta era sencilla, “el cifrado es simplemente necesario”. Algo que igualmente opinaba Lamilla al corroborar que “es necesario y así lo hemos experimentado en los 20 años de vida de Google”. Ruiz coincidió con el resto de los ponentes y alegó que “el coste es totalmente despreciable comparado con el daño que puede provocar no hacerlo”. Por su parte Bonete añadía que “más del 60% de los proyectos de TI se va a proyectos tradicionales y se está invirtiendo poco dinero en el cifrado y el control de la nube; el dinero se está yendo a un sitio y no es a dónde tenemos la información a día de hoy”, sentenciaba. Pérez explicó que en su caso, un proyecto de cifrado le costó al cliente alrededor de seis euros por usuario, “¿eso es caro?”, preguntó. Asimismo, para Cita, “siempre que hemos abordado un proyecto de cifrado el coste no ha sido nunca un problema”. “Si se detecta realmente la necesidad nadie piensa que sea caro”, concluía.