La confidencialidad de la información (ii)

Siguiendo con el tema de la “confidencialidad” de la información, que indica que la información “únicamente debe ser consultada y/o procesada por las personas autorizadas para ello”, es importante mencionar algunas medidas y herramientas que nos ayudarán a este propósito.

Las prácticas de seguridad que comentamos acá, aplican tanto para proteger información personal así como corporativa, aunque las herramientas pueden o no diferir.

Por ejemplo, para mantener el acceso restringido a la información en las PC’s, Servidores, Mainframes u otro, basta con tener una buena práctica en el uso del password, o mejor dicho la passphrase, pero ese tema será para otro post… gracias a Dios, tengo la libertad de abordar y dirigir el curso de estos temas.

Una de las herramientas más confiables y necesarias para asegurar la confidencialidad de la información es la encripción, que nos garantiza que aunque algún equipo o medio, se extravíe o sea robado, la información no será legible. Esta práctica es tan básica e importante que incluso la legislación de algunos países obligan a utilizarla y algunas empresas las utilizan para asegurar sus transacciones.

La encripción de la información debe ser parte de las políticas de seguridad de toda empresa. Esta es útil por ejemplo, para prevenir el acceso no autorizado a la información de las Copias de Seguridad o el caso del equipo móvil utilizado por personal de las empresas. Cabe indicar que si el equipo móvil es propiedad de la empresa o del empleado, toda vez tenga información de la empresa “se tienen que aplicarle las políticas de seguridad empresarial”, y en este caso la encripción, caso contrario se puede proceder a sancionar.

Ahora bien, existen muchos libros que explican sobre la criptografía, para quienes no conozcan acerca del tema les recomiendo leer el libro titulado “Criptografía y Seguridad en Computadores” de Manuel José Lucena L., personalmente considero que debe ser un libro de texto.

Adicionalmente, existen muchas herramientas para encriptar la información, algunas para encriptar las comunicaciones como el GnuPG y otras para encriptar grandes cantidades de información como el TrueCrypt. Los enlaces a estas y otras herramientas están en la página principal del blog y, por supuesto que, todas las recomendaciones y sugerencias son bienvenidas.

TrueCrypt es una herramienta Open Source orientada a la seguridad y encriptamiento de grandes cantidades de información, incluyendo USB, particiones de disco, discos duros, etc. Utiliza los algoritmos AES, Blowfish, CASTS, Serpent, TripleDES, Twofish, AES-Twofish, AES-Twofish-Serpent, Serpent-AES, Serpent-Twofish-AES y Twofish-Serpent. Soporta passphrase de hasta 64 caracteres, mientras la cantidad de caracteres y combinación de caracteres sea mayor, estará mejor asegurada la información.

El software es muy fácil de utilizar. En el sitio oficial hay una secuencia de imágenes que describen su funcionalidad, también está la documentación.

Es software está disponible para los sistemas operativos GNU/Linux y windows y puedes descargarlo desde acá www.truecrypt.org/downloads.php.