900 055 501  info@dposa.es

INICIA SESIÓN

Claves para el cifrado de información empresarial operada en el cloud

por | Ago 13, 2025 | RGPD | 0 Comentarios

Para proteger la información confidencial corporativa y especialmente la que va a ser operada telemáticamente y alojada en la nube, es recomendable seguir dos pasos previos:

1) Clasificarla y distinguir entre obligaciones de cumplimiento normativo, como estados no financieros y datos personales, e información económica y financiera, y diferenciando medidas comunes a los dos tipos de información y las específicas a aplicar en cada caso una vez entendidas las obligaciones regladas legalmente y las necesidades específicas relacionadas con el interés económico de la compañía.

2) Realizar un análisis de riesgos que aporte protección real y práctica a la información clave.

Los datos personales requieren análisis de riesgos regulados y medidas de seguridad adecuadas, como las establecidas en esquemas ISO, junto con un cumplimiento legal que aporte accountability al compliance . Esto no siempre implica encriptación o medidas de seguridad técnicas específicas, sino un cumplimiento formal mínimo, mientras que los secretos comerciales pueden necesitar protección adicional que exceda el análisis de riesgos legales, pero incremente por ejemplo la valoración patrimonial de la compañía. Esto puede incluir interés comercial en añadir activos legales, como el registro de patentes e invenciones, o tecnológicas, como procesos de blockchain, más enfocados al núcleo del negocio.

Y entrando en materia…

El cifrado es esencial para la seguridad de los datos. Utilizar estándares de cifrado robustos como AES-256 es una práctica excelente para proteger la información sensible.

Gestionar las propias claves de cifrado proporciona un control adicional sobre el acceso a los datos, garantizando que solo las personas autorizadas puedan descifrarlos.

En cuanto a las buenas prácticas relativas a políticas de cifrado en DPOSA, solemos aplicar 7 recomendaciones. Las recomendaciones 6 y 7 están directamente relacionadas con el cumplimiento normativo, específicamente con los principios básicos de seguridad proactiva (en el caso de datos personales, uno de los principios rectores del RGPD). Los puntos 1 a 5 están más relacionados con los departamentos de TI y RR.HH.

1. Generación de Claves de cifrado

  • Aleatoriedad: Las claves deben generarse de manera aleatoria para garantizar su seguridad.
  • Longitud: Utilizar claves de longitud adecuada, como las de 256 bits para AES, para asegurar una protección robusta.

2. Almacenamiento de Claves

  • Hardware Security Modules (HSMs): Dispositivos físicos que protegen y gestionan claves criptográficas.
  • Software Seguro: Utilizar soluciones de software con medidas de seguridad avanzadas para almacenar claves.

3. Distribución de Claves

  • Canales Seguros: Las claves deben distribuirse a través de canales seguros, como conexiones cifradas.
  • Autenticación: Asegurarse de que solo usuarios y sistemas autorizados puedan acceder a las claves.

4. Rotación de Claves

  • Frecuencia: Cambiar las claves periódicamente para minimizar el riesgo de compromisos.
  • Automatización: Implementar sistemas que automaticen la rotación de claves para reducir errores humanos.

5. Revocación de Claves

  • Procedimientos Claros: Tener procedimientos establecidos para revocar claves comprometidas.
  • Notificación: Informar a los usuarios y sistemas afectados cuando una clave es revocada.

6. Auditoría y Monitoreo

  • Registro de Actividades: Mantener registros detallados de todas las actividades relacionadas con las claves.
  • Monitoreo Continuo: Implementar sistemas de monitoreo para detectar y responder a actividades sospechosas.

7. Cumplimiento Normativo

  • Regulaciones: Asegurarse de que la gestión de claves cumpla con las regulaciones y estándares aplicables, como GDPR o HIPAA.

La gestión adecuada de claves no solo protege los datos, sino que también ayuda a cumplir con las normativas y a mantener la confianza de los clientes y socios.

Esto nos lleva a entender que la gestión de activos informativos es una responsabilidad que atraviesa toda la estructura de la empresa.

Incluso cuando se trata de información cifrada, no es una responsabilidad exclusiva de los CTO, CISO o técnicos. Esta responsabilidad parte de la dirección corporativa y se extiende por todo el espectro empresarial, llegando desde las directrices establecidas por la dirección de la empresa hasta los eslabones más vulnerables de la cadena, que suelen ser los empleados técnicos, que deben tener una operativa clara y automatizada.