Las medidas de control para el uso eficaz de la criptografía para proteger la confidencialidad e integridad de la información según las directrices de ISO 27001

Citando la norma:

Objetivo 1:
Controles criptográficos

  • 10.1.1 Política sobre el empleo de controles criptográficos
  • 10.1.2 Gestión de claves

Objetivo 1: Controles criptográficos

10.1.1 Política sobre el empleo de controles criptográficos

Los controles criptográficos están enfocados a la protección de la información en el caso de que un intruso pueda tener acceso físico a la información, se impone establecer un sistema de cifrado de la misma para dificultar la violación de su confidencialidad o su integridad

En primer lugar en una política de implementación y administración de claves de cifrado de datos se debe identificar a un responsable de la política para su implementación y administración.

La clave de la política de controles criptográficos está en identificar

  • Para que información y en qué circunstancias será necesario aplicar claves criptográficas
  • Los medios a emplear
  • La gestión, mantenimiento y actualización de dichos medios

CASO PRACTICO:

Dependiendo de la clasificación de la información y la evaluación del riesgo, el cifrado utilizado debe seleccionarse para que coincida en función del tipo de información, la gravedad de las amenazas y la posibilidad de que ocurran.

Se aconseja buscar asesoramiento especializado en esta área.

Comúnmente se debe considerar el cifrado para todos los tipos de medios extraíbles y aquellos que transmiten información interna y externamente. La política de encriptación debe tener en cuenta los controles utilizados para detectar / eliminar malware.

Los controles criptográficos se pueden utilizar como un control añadido que proporciona confidencialidad, autenticidad, no repudio y autenticación.

10.1.2 Gestión de claves

Los medios de cifrado implica mantener una gestión de claves criptográficas utilizadas por los medios de cifrado. La gestión de claves implica tener en cuenta políticas que tengan en cuenta el ciclo de vida completo:

  • La generación
  • Su uso y protección
  • La distribución
  • La renovación o destrucción

Como parte de la función de gestión deberemos determinar las fechas de activación y desactivación de claves en orden a reducir los riesgos mencionados anteriormente, una vez más sujetos a una evaluación de riesgos.

Cuando las claves públicas se emitan desde un proveedor externo, debe existir un “Acuerdo de nivel de servicio” para definir las responsabilidades del proveedor. Es posible que deba considerar el manejo de solicitudes legales por parte de las autoridades dependiendo de la clasificación de la información.