El cifrado de datos en disco duro: un enfoque basado en ficheros

[heading type=1]El cifrado de datos en disco duro: un enfoque basado en ficheros[/heading][heading type=3]1.- Introducción[/heading]

Existen distintos enfoques para la protección de datos en discos duros locales:

  • Cifrado total del disco (Full Disk Encryption-FDE)
  • Cifrado de volúmenes virtuales (Virtual Volume Encryption)
  • Cifrado basada en ficheros (File-based Encryption)

Cada uno de ellos tiene ventajas y desventajas relativas al nivel de seguridad, al riesgo de corrupción de datos y al impacto sobre el rendimiento.

Safend Encryptor desarrolla una nueva solución que compatibiliza la seguridad de un cifrado total del disco con la flexibilidad del cifrado basado en ficheros. Este nivel de encriptación compaginado con la facilidad de uso y la simplicidad de implantación gestión, proporciona un alto nivel de seguridad que facilita su puesta en producción sin impacto en el rendimiento.

[heading type=3]2.- Ventajas del cifrado basado en fichero[/heading]

Su principal ventaja comparativa respecto de la solución de cifrado total del disco duro es la flexibilidad. El cifrado basadoa en fichero cubre los datos sensibles sin tocar el sistema operativo. Antes, esta flexibilidad se percibía como una merma de la seguridad. Sin embargo, al combinarla con una gestión estricta, se alcanzan niveles de seguridad rigurosos, mientras que el rendimiento y la productividad no se ven alterados.

La flexibilidad que ofrece el cifrado de disco duro basado en ficheros puede traducirse en varias ventajas clave:

  • Despliegue sencillo: uno de los mayores obstáculos del despliegue masivo del cifrado total de disco duro es el temor a problemas vitales en el transcurso de la misma, que puede reducir al 0% la productividad de los usuarios. Safend Encryptor permite un despliegue sencillo, paso a paso. Cada paso aumenta la seguridad del sistema sin afectar la productividad. A lo largo de todas las etapas el sistema puede iniciarse con normalidad y la productividad no se detiene, que sí ocurre habitualmente con el cifrado total del disco duro.
  • Mecanismo de recuperación simple: Con la encriptación es esencial poder recuperar los datos de máquinas dañadas pues, de otro modo, los usuarios perderían toda su información. Los productos de cifrado total del disco duro (Full Disk Encription – FDE) pueden ofrecer recuperación, pero la misma se realiza de una forma complicada para el usuario, que implica iniciar la máquina desde otro sistema operativo. Safend Encryptor proporciona un mecanismo simple de recuperación que permite al usuario recuperar datos específicos, o la totalidad del disco duro localmente o de forma remota.
  • Modo Técnico: Para conservar niveles adecuados de seguridad es importante permitir el mantenimiento de sus sistemas sin exponer los datos clasificados. Los productos FDE tienen dos modalidades de operativa del sistema: completamente cifrado o completamente expuesto. Safend Encryptor presenta un tercer método: Modo Técnico. Esto permite al personal de TI que no posea suficientes credenciales para visualizar datos cifrados, omitir el proceso de autenticación y trabajar en el sistema sin acceso a ficheros cifrados. También posibilita al técnico informático instalar nuevos programas y realizar tareas de mantenimiento sin el riego de exposición de los datos clasificados. Esta funcionalidad no está disponible en productos FDE y representa una brecha de seguridad potencial para organizaciones que tengan implantadas soluciones de cifrado total de disco.

[heading type=3]3.- Otros aspectos a tener en cuenta con Safend Encryptor[/heading]

Además de la funcionalidad comentada en el apartado anterior, Safend Encryptor aporta ventajas adicionales sobre los productos FDE:

Inicio de Sesión Único (Singel Sign On – SSO)

como resultado de las limitaciones tecnológicas de los productos FDE, los mismos se ven forzados a crear sus propios modos de autenticación en un sistema de arranque secundario. Esta limitación crea varios problemas intrínsecos que son comunes a todos los productos FDE.

Safend Encryptor potenciará la tecnología de cifrado basado en ficheros para ofrecer un Inicio de Sesión Único mejorado que no afecte al inicio de sesión estándar de Windows, protegiendo así sus datos sin modificar la infraestructura informática existente:

  • El cifrado es completamente transparente para el usuario final. De hecho, ni siquiera ha de saber que su máquina está cifrada.
  • Las actividades administrativas diarias, tales como la creación de nuevos usuarios o la restauración de contraseñas olvidadas, se ejecutan mediante Active Directory. El Help Desk no necesita utilizar otro sistema administrativo.
  • No existen conflictos de interoperabilidad con otras aplicaciones que utilicen distintos métodos de inicio de sesión único.
  • Soporta usuarios locales y de dominio.

Activación de Seguridad

Esta nueva característica permitirá al usuario autorizado a “cerrar sesión” de cifrado, dejando así su disco duro protegido. Esta funcionalidad protegería los datos del usuario mientras trabaja en un entorno no seguro (por ejemplo, la navegación desde un ciber café).

Restricción de Acceso a Datos por usuario o aplicación

La siguientes versiones de Safend Encryptor permitirán a los administradores de sistemas impedir a usuarios o aplicaciones específicas el acceso a datos cifrados. De esta forma, los administradores autorizados podrán restringir el acceso a los datos exclusivamente a aquellas aplicaciones y usuarios autorizados. Al permitir tal grado de granularidad, se reducen drásticamente las filtraciones de datos. El FDE tradicional no soporta este tipo de restricciones.

Fichero de Backup cifrado

El usuario podrá realizar copias de seguridad de datos cifrados sin necesidad de descifrarlos previamente. Ello permitirá al usuario disponer de un almacenamiento de seguridad más fiable. Los productos FDE no ofrecen dicha funcionalidad, pues desencriptan automáticamente los datos cada vez que se leen por un usuario autorizado.

[heading type=3]4.- Resumen[/heading]

Safend Encryptor, al utilizar cifrado basado en fichero, ha alcanzado el equilibrio óptimo entre seguridad, productividad y rendimiento. Es la mejor opción para proteger sus datos confidenciales por las siguientes razones:

  • Rendimiento: Con el cifrado basada en fichero, el rendimiento de la CPU y del disco duro no sufren impacto alguno debido a que evita la constante encriptación y desencriptación del sistema operativo y de otros ficheros que no requieren protección.
  • Proceso de Instalación: Puede resultar un proceso abrumador y temible para los usuarios cuando todos sus datos están “revueltos”. El cifrado basado en fichero permite al usuario cifrar sólo algunos archivos, hasta tanto se convenza de que ni un error del operador, o un problema técnico, destruirá sus datos. Esta característica contrasta con el sistema de encriptación total de disco que cifra todo en el momento de la instalación.
  • Facilidad de despliegue: Entre las ventajas de Safend Encryptor sobre los productos FDE tradicionales se incluye su despliegue más fácil para el usuario, ofreciendo el alto grado de seguridad, necesaria para proteger datos confidenciales.