ISO 27002.es

El portal de ISO 27002 en Español


Enlace Apadrinado

Video Info

10. Cifrado

El objetivo del presente dominio es el uso de sistemas y técnicas criptográficas para la protección de la información en base al análisis de riesgo efectuado, con el fin de asegurar una adecuada protección de su confidencialidad e integridad.


La aplicación de medidas de cifrado se debería desarrollar en base a una política sobre el uso de controles criptográficos y al establecimiento de una gestión de las claves que sustenta la aplicación de las técnicas criptográficas.



Objetivo de control


Objetivo

El objetivo es garantizar un uso adecuado y eficaz de la criptografía para proteger la confidencialidad, la autenticidad y/o la integridad de la información.


10.1 Controles criptográficos

Controles con el objetivo de proteger la confidencialidad, autenticidad o integridad de la información mediante la ayuda de técnicas criptográficas.


Las organizaciones deberían utilizarán controles criptográficos para la protección de claves de acceso a sistemas, datos y servicios, para la transmisión de información clasificada y/o para el resguardo de aquella información relevante en atención a los resultados de la evaluación de riesgos realizada por la organización.


Sería necesario el desarrollo adicional de procedimientos y asignación de funciones respecto de la administración de claves, de la recuperación de información cifrada en caso de pérdida, compromiso o daño de las claves y en cuanto al reemplazo de las claves de cifrado.


El uso de algoritmos de cifrado (simétricos y/o asimétricos) y las longitudes de clave deberían ser revisadas periódicamente para aplicar las actualizaciones necesarias en atención a la seguridad requerida y los avances en técnicas de descifrado.


Las firmas digitales proporcionan un medio de protección de la autenticidad e integridad de los documentos electrónicos y, en algunas ocasiones, podría ser necesario asesoramiento legal para establecer acuerdos especiales que respalden su uso.


Actividades de control del riesgo

10.1.1 Política de uso de los controles criptográficos: Se debería desarrollar e implementar una política que regule el uso de controles criptográficos para la protección de la información.


10.1.2 Gestión de claves: Se debería desarrollar e implementar una política sobre el uso, la protección y el ciclo de vida de las claves criptográficas a través de todo su ciclo de vida.


Métricas asociadas

Porcentaje de sistemas que contienen datos valiosos o sensibles para los cuales se han implantado totalmente controles criptográficos apropiados (periodo de reporte de 3 a 12 meses).


Enlaces a soluciones recomendadas

Truecrypt: Solución de código abierto para el cifrado de discos de almacenamiento de datos.


Sans: Modelo de ejemplo para la redacción de políticas relacionadas con el uso de cifrado (inglés).


MXC: Soluciones de cifrado de bajo costo en cifrado y firma digital, fáciles de usar y de alta seguridad para todo el mundo, desde grandes empresas a usuarios individuales.


Albalia: Herramienta gratuita y genera firmas codificadas según el formato PKCS#7 o CMS (Cryptographic Message Syntax).


GNU Project: Aplicación de la norma OpenPGP como se define en RFC4880. GnuPG permite cifrar y firmar sus datos y comunicación, cuenta con un sistema de gestión de clave versátil, así como módulos de acceso para todo tipo de directorios de clave pública. La versión 2 de GnuPG también proporciona soporte para S/MIME.


Northwestern: Tabla resumen descriptiva de diversos productos disponibles y sus funcionalidades de cifrado.


MANDOSs: Mandos es un sistema que permite que los servidores con sistemas de archivos raíz cifrados puedan ser reiniciados de forma desatendida y/o remota.


Crytool: JCrypTool (JCT) es una plataforma open-source y de e-learning que permite experimentar con aspectos de cifrado en Linux, MAC OS X y Windows.


Asistente DNI: Área de guía básica desde la que se podrá descargar los programas o drivers precisos para poder operar con el DNI electrónico (España).