CRIPTOGRAFÍA

En principio se debe considerar aspectos criptográficos para la información clasificada con Nivel de Seguridad Restringida (N2) y Confidencial (N3), como así también en estos escenarios:

  • En dispositivos móviles como laptops, tablets o smartphones.

  • En discos removibles autorizados, como memorias USB

  • Cuando la información es transmitida por Internet u otras redes públicas.

  • Cuando se usen servicios en la nube (Ej. IaaS, PaaS, SaaS, etc.).

MANEJO DE CLAVES

Es vital que las claves sean adecuadamente administradas para evitar pérdidas, modificaciones, accesos no autorizados, etc.

Los procedimientos para el correcto uso de las claves criptográficas deben considerar:

  • Su generación, distribución y almacenamiento.

  • Copias de seguridad, protección y recuperación ante pérdidas.

  • Actualización luego de su fecha de expiración.

  • Revocación ante un compromiso

  • Almacenamiento una vez expirada.

  • Destrucción cuando no sean más necesarias.

  • Registro y auditoría de las actividades relacionadas con el manejo de las mismas.

LINEAMIENTOS

Los procesos relevantes deberían seguir este lineamiento en criptografía

Almacenamiento de datos en la nube.

  • Cifrado con AES-256 para datos almacenados

  • Las llaves criptográficas no deben estar en poder del proveedor del servicio.

Comercio Electrónico sobre Internet

  • Criptografía simétrica en combinación con asímetrica para el intercambio de claves

  • RSA debe usarse para la generación de claves públicas y privadas y los certificados obtenidos de un proveedor reconocido.

Protección de en dispositivos removibles

  • Encriptación simétrica.

  • AES 256 o superior.

Protección de Contraseñas del sistema

  • Todas las contraseñas deben tener su hash implementado.

  • MD5 o SHA debe ser usado como hash.

Seguridad en el Correo Electrónico

  • Criptografía simétrica y asimétrica usando S/MIME.

  • Las características disponibles en el cliente de correo deben ser usadas para simplificar el proceso.

Accesos Remotos

  • Usar VPN con TLS.

  • Una red VPN con el uso de IPSec se debe usar cuando las políticas lo permitan.

©2020 por Seguridad en el teletrabajo. Creada con Wix.com