El verbo encriptar existe en castellano: ha sido acogido por la RAE como alternativa a la primera acepción de cifrar: transcribir en guarismos, letras o símbolos, de acuerdo con una clave, un mensaje o texto cuyo contenido se quiere proteger. Con frecuencia, la palabra encriptación se cuela en las noticias. Sin ir más lejos, con el debate entre Apple y el FBI acerca de la inviolabilidad del iPhone. Más reciente: los gobiernos francés y alemán exhortan a la Comisión Europea a prohibir la encriptación completa de los mensajes Whatsapp o Telegram, aduciendo razones de seguridad. Es discutible si es más elegante decir encriptación que cifrado, pero el autor declara preferir la segunda opción.
No hay discusión posible, en cambio, sobre la conveniencia de proteger los datos de las empresas encriptándolos o cifrándolos. Es recomendable, vale, pero ¿se hace? Once años lleva la empresa francesa Thales e-Security, con el auxilio del Ponemon Institute, dedicada a estudiar cómo practican las empresas sus prácticas criptográficas para garantizar la integridad de sus datos. La última edición, 2016 Global Encryption Trends Study, ofrece no sólo una radiografía actual del estado de la cuestión, sino también una útil retrospectiva a lo largo de la última década. Y lo hace apoyándose en más de 5.000 entrevistas a ejecutivos de 11 países, entre los que no aparece España.
A quien le interese: Alemania sería el país más concienciado sobre esta cuestión, seguido de Estados Unido y Reino Unido. De la lectura del informe se desprende que las empresas están adoptando soluciones de cifrado, en primer lugar, para minimizar los riesgos de deslealtad de sus empleados – seguida por la ciberdelincuencia organizada – y para cumplir con las normativas relativas a la privacidad. Es también, según dicen, un medio de diferenciarse de los competidores evitando incurrir en daños de imagen. En general, los ámbitos de aplicación son muy variados: redes, bases de datos, PKI, pagos, almacenamiento en servicios de cloud pública o privada, etcétera. El documento entra en detalles.
Las brechas y ataques cibernéticos han elevado la necesidad de mejorar la seguridad y, en consonancia, la importancia de tener los estrategas de la criptografía – como la empresa patrocinadora del estudio – agudizan su olfato. Para el 37% de los encuestados, sus organizaciones disponen de planes consistentes, y tan sólo el 15% reconoce no tenerlos. Por comparación, diez años antes, en 2015, los porcentajes eran inversos: 15% y 38%. O sea que se ha mejorado.
Otra conclusión informa de que las líneas de negocio ganan influencia a la hora de determinar y enfocar las estrategias de seguridad. El 32% sigue afirmando que el departamento de TI es el más influyente, el 27% que lo son los departamentos de gestión, el 16% que es competencia del área de seguridad y sólo un 2% lo atribuye a la obligación de cumplir con la normativa vigente (de lo que no debería deducir que si no existiera no lo harían). Pero el recorrido retrospectiva confirma algo que se podía intuir; el departamento de TI ha perdido influencia, bajando 18 puntos porcentuales.
En su parte descriptiva, el estudio examina 14 categorías de criptografía, para mostrar un sustancial aumento de quienes afirman que dentro de sus organizaciones se hace un uso extensivo de estas prácticas, no meramente parches puntuales. El uso extensivo quiere decir que la tecnología de encriptación se distribuye coherentemente en toda la organización; también en este plano se ha avanzado mucho en los últimos diez años.
El cumplimiento normativo es, huelga decirlo, el principal argumento para invertir en un plan extensivo de criptografía. El 61% de los consultados identifica este factor como el principal para desplegar esa estrategia. El siguiente en la escala, un 50%, es la salvaguarda de la propiedad intelectual. Entre los criterios menos importantes aparece uno que apunta a la hipocresía: evitar la mala reputación que sobreviene tras una fuga de datos (8%).
Claro está que el uso extensivo varía considerablemente en función del sector que se analiza. Los más sometidos a regulaciones – finanzas y salud – tienen tasas más altas de implantación, mientras que la fabricación y el consumo tienen las más bajas. Con todo, la tendencia de los últimos cuatro años sugiere un incremento generalizado, con especial relevancia en el sector público, comercio minorista y, por cierto, en la industria de las TI.
Otro apartado de interés es el origen de las amenazas. Los errores de los empleados son el riesgo más importante para los datos sensibles de las empresas, según el 52% de la muestra, mientras el 30% se decanta por las disfunciones de los sistemas y procesos internos, el 28% carga las culpas sobre la delincuencia. El hecho de que las dos más importantes vuelquen la balanza internamente, es significativo por el uso creciente de novísimas herramientas digitales y de movilidad.
Ahora bien, ¿cuál es el mayor reto a la hora de desplegar tecnologías de cifrado? Pues el 57% afirma que el desafío más complejo es descubrir dónde residen los datos más sensibles dentro de la organización. No sería sorprendente (según los autores del estudio) porque la proliferación es consecuencia de la creciente conectividad y por el uso más frecuente del cloud computing.
El documento publicado por Thales e-Security advierte acerca del rápido aumento de la transferencia de datos sensibles o confidenciales a través de la nube: se prevé que en volumen alcancen el 84% en los próximos dos años. La principal motivación para que las empresas desplieguen soluciones de cifrado estaría, precisamente, en el uso de cloud; lo que no obsta para que sólo un tercio de los encuestados diga que mantiene una estrategia consistente de cifrado en este capítulo.
Del estudio de las 14 categorías de encriptación, no se deduce ninguna tecnología dominante, dado que las empresas tienen necesidades diversas. La encriptación de bases de datos es la más usual, pero sorprende que la menos usada sean la de repositorios de big data, los servicios de cloud pública y la infraestructura de cloud privada.
Ciertas características de las tecnologías son más importantes que otras, a juzgar por el estudio. Las tres más importantes son, en este orden, la capacidad de soporte para el despliegue (tanto on premise como cloud), el rendimiento del sistema y la integración con otras herramientas de seguridad.
Como corolario de todo lo anterior, el porcentaje medio del gasto en encriptación, medido sobre el total del dedicado a la seguridad de las TI, ha crecido desde que se elabora este estudio anual, y la tendencia indica que seguirá al alza: durante los diez años pasados, la partida destinada a este fin ha pasado del 9% en 2005 al 18% en 2015.
[informe de Lola Sánchez]