Agilidad Criptográfica

La agilidad criptográfica es la capacidad de un sistema que le permite pasar de un sistema criptográfico a otro, mediante configuración o políticas, sin afectar a la infraestructura circundante. En pocas palabras, la agilidad criptográfica consiste en la capacidad de reemplazar el sistema de cifrado con un mínimo impacto en las aplicaciones y los sistemas.

Lamentablemente, lograr una gestión ágil de la criptografía no resulta sencillo. Como se señala en la publicación especial (SP) 1800-38B del Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST): «Casi todos los sistemas de información carecen de esta capacidad; es decir, no están diseñados para facilitar la rápida adopción de nuevas primitivas y algoritmos criptográficos sin realizar cambios importantes en la infraestructura del sistema. Como consecuencia, una organización podría tener dificultades para modificar o reemplazar fácilmente sus mecanismos criptográficos cuando sea necesario». 

Importancia de la Agilidad Criptográfica

La agilidad criptográfica no es un concepto nuevo. A pesar de la advertencia del NIST sobre la agilidad criptográfica (mencionada anteriormente en este Blog), las organizaciones han podido reemplazar las claves criptográficas con un impacto relativamente mínimo en las aplicaciones o la infraestructura, como por ejemplo la transición de claves Rivest-Shamir-Adleman RSA de 1024 bits a 2048 bits.

Muchos algoritmos criptográficos han demostrado una notable estabilidad y seguridad a lo largo del tiempo. El algoritmo RSA, introducido en la década de 1970, sigue siendo ampliamente utilizado y constituye la base de numerosos estándares de Internet. Otro algoritmo criptográfico de clave pública muy utilizado es la criptografía de curva elíptica (ECC), que se propuso por primera vez en la década de 1980, se ha utilizado extensamente durante más de 20 años.

La seguridad de los algoritmos RSA y ECC se basa en la dificultad para resolver problemas matemáticos complejos. Un principio fundamental de esta seguridad es que los ataques de fuerza bruta con computación tradicional, que intentan descifrar las claves mediante la prueba de todas las combinaciones posibles, no son viables. Con el aumento de la capacidad de procesamiento, esta seguridad se ha mantenido mediante el incremento de la longitud de las claves criptográficas.

Por ejemplo, en la década de 1990, las claves RSA solían tener una longitud de 1024 bits, pero actualmente suelen tener 4096 bits para garantizar la seguridad frente a la creciente capacidad de procesamiento de los computadores modernos. Un principio similar se aplica a los algoritmos simétricos, ya que la longitud de las claves y la longitud de los resúmenes de los algoritmos de hash también han ido aumentando con el tiempo.

Esto ha implicado que, durante los últimos 30 años, se haya mantenido un conjunto estable de algoritmos, aumentando los niveles de seguridad (es decir, la longitud de las claves) sin modificar el algoritmo subyacente. Sin embargo, muchas organizaciones aún tardan mucho tiempo en migrar a algoritmos más seguros.

El algoritmo de hash seguro (SHA-1), publicado por primera vez en 1993, fue rápidamente retirado y reemplazado tras tan solo dos años. Esto nos recuerda que los algoritmos criptográficos nunca son definitivos y siempre están sujetos a evolución. Tener en cuenta esta posibilidad de cambio puede contribuir a fomentar una mentalidad ágil en materia de seguridad criptográfica dentro de la organización.

Personas, Procesos y Tecnología

Comprender las diferentes dimensiones de la agilidad criptográfica es fundamental para las organizaciones que buscan mejorar su seguridad. Estas dimensiones abarcan el personal, los procesos y la tecnología lo que proporciona una definición más útil y aplicable a toda la organización.

Personas

La agilidad en materia de criptografía comienza con la capacidad y la concientización del personal.

Algunos elementos clave relacionados con el factor humano son los siguientes:

• Responsabilidad. Todo comienza con la responsabilidad. Debe haber una persona o un equipo responsable de la estrategia, las políticas y las prácticas relacionadas con la gestión de los activos criptográficos. La gestión de la criptografía (o la agilidad criptográfica) debería formar parte de las descripciones de puesto de estos profesionales.

• Entrenamiento y concientización. Los equipos de desarrollo y operaciones de TI deben comprender las mejores prácticas en criptografía, así como las amenazas y los riesgos. Los departamentos legales, de cumplimiento y los responsables de negocio deben colaborar para comprender cómo la protección de datos tanto limita como impulsa el crecimiento del negocio.

• Liderazgo ejecutivo. La alta dirección y el consejo de administración son responsables de la estrategia de crecimiento. Necesitan que los equipos de producto puedan entregar resultados más rápidamente, manteniendo el cumplimiento normativo. Deben comprender y gestionar los riesgos, y priorizar (es decir, asignar presupuesto) las inversiones para desarrollar la capacidad de adaptación a la criptografía en toda la organización.

Procesos

Los procesos proporcionan la estructura necesaria para gestionar los cambios criptográficos de forma sistemática y repetible. Los procesos constituyen la base de una gestión criptográfica eficaz, ya que determinan cómo las prácticas de gobernanza, cumplimiento normativo y gestión de riesgos influyen en la capacidad de una organización para adaptarse a las necesidades criptográficas cambiantes. Algunos elementos clave en la dimensión de los procesos incluyen:

• Gestión y gobernanza de políticas: Políticas y prácticas documentadas para la gestión de activos criptográficos.

• Riesgos y cumplimiento: Estándares criptográficos alineados con marcos regulatorios como el PCI DSS, HIPAA, el RGPD, NIST, entre otros.

• Requisitos de proveedores y terceros: Divulgación de los mecanismos criptográficos y soporte para la flexibilidad de los algoritmos.

• Gestión del cambio y respuesta a incidentes: Planificación de cambios de forma segura. Planificación y preparación para fallos criptográficos.

• Trazabilidad y auditoría: Documentación y revisión de las decisiones. Realización de auditorías de cumplimiento.

Tecnología

La tecnología constituye la base que permite (o impide) la agilidad en materia de criptografía, a través del diseño de sistemas y las herramientas utilizadas. Los siguientes pilares representan la amplitud de capacidades que las organizaciones deben implementar para lograr la agilidad criptográfica:

• Identificar: No se puede solucionar un problema que no se detecta. La tecnología debe permitir realizar un inventario de todos los recursos criptográficos de la organización, incluyendo claves, certificados, secretos e implementaciones criptográficas.

• Control: Se debe poder gestionar de forma centralizada y dinámica las políticas de seguridad, aplicarlas a todos los puntos de la organización donde se utilice la criptografía, y evaluar el cumplimiento normativo e identificar los riesgos.

• Automatizar: Es necesario automatizar el ciclo de vida de todos los recursos criptográficos.

La agilidad criptográfica, cuando se implementa correctamente, no se limita a la seguridad. También abarca la resiliencia, la eficiencia y la flexibilidad empresarial. En realidad, la agilidad criptográfica resuelve un problema empresarial que se esconde tras un problema técnico. Por lo tanto, es fundamental explicar mejor el valor que aporta la agilidad criptográfica a la empresa: la reducción de riesgos, la prevención de interrupciones, la mejora de la eficiencia operativa, el cumplimiento normativo y la posibilidad de innovar de forma escalable son solo algunos de sus beneficios.

Basado en “Cryptography for Dummies” de Lawrence Miller