Uso de Controles Criptográficos
1 Objeto
El objetivo de esta política es establecer directrices para el uso de controles criptográficos dentro de la organización, garantizando la protección de la confidencialidad, integridad y disponibilidad de la información en conformidad con la norma ISO/IEC 27001.
2 Alcance
Esta política aplica a todos los empleados, contratistas, terceros y cualquier entidad que tenga acceso a la información de la organización y que utilice mecanismos criptográficos para la protección de datos.
3 Definiciones
- Cifrado
- Que está escrito con letras, símbolos o números que solo pueden comprenderse si se dispone de la clave (llave criptográfica) necesaria para descifrarlos.
- Cifrar
- Es un procedimiento que utiliza un algoritmo de cifrado con cierta clave (clave de cifrado) que transforma la información, sin atender a su estructura lingüística o significado, de tal forma que sea incomprensible o, al menos, difícil de comprender a toda persona que no tenga la clave secreta.
- Llaves criptográficas
- Son códigos (algoritmos) que se generan de forma automática y se guarda en un directorio especial durante la instalación. Habitualmente, esta información es una secuencia de números o letras mediante la cual, en criptografía, se especifica la transformación del texto plano en texto cifrado, o viceversa.
4 Responsabilidades
| Tarea | Responsabilidades | |||||
|---|---|---|---|---|---|---|
| R | A | S | C | I | ||
|
Supervisar la implementación y cumplimiento de la política de Uso de Controles Criptográficos
|
||||||
|
Cumplir con los procedimientos establecidos para el uso de criptografía
|
||||||
|
Gestionar y mantener las herramientas y claves criptográficas utilizadas en la organización
|
||||||
|
Supervisar la implementación y cumplimiento de la política de Uso de Controles Criptográficos
|
||||||
|
Redactar instrucciones detalladas sobre el uso de las herramientas de encriptación (si fuera necesario)
|
||||||
|
Garantizar que todo sistema de información que requiera procesamiento de datos confidenciales cuente con mecanismos de cifrado apropiados
|
||||||
|
Aplicar de forma correcta los controles particulares sobre encriptación
|
||||||
5 Desarrollo
Con el fin de garantizar la confidencialidad e integridad de algunos documentos designados como confidenciales/sensibles, la Organización debe utilizar sistemas y técnicas criptográficas para la protección de la información.
5.1 Uso de Criptografía
Se empleará criptografía para proteger la información clasificada como sensible o crítica.
Se deberá utilizar algoritmos criptográficos robustos y recomendados por organismos internacionales como NIST o ISO.
5.2 Gestión de Claves Privadas
Las claves criptográficas deben ser generadas, almacenadas, distribuidas y eliminadas de manera segura, principalmente mediante el sistema passbolt.cysmanagement.com.
Se deben establecer periodos de validez para las claves y mecanismos de renovación periódica, nunca superiores a dos años.
El acceso a claves criptográficas estará restringido a personal autorizado (Personal IT).
Las claves privadas o secretos criptográficos deben permanecer en todo momento fuera de los repositorios de código fuente de la organización, almacenandose preferentemente en archivos .env específicos de cada entorno (producción, preproducción y desarrollo). Estos archivos de configuración o equivalentes serán excluidos del control de versiones, o serán enmascarados para evitar fugas de claves privadas o secretos.
5.3 Almacenamiento y Transmisión Segura
La información sensible almacenada en sistemas y dispositivos debe ser cifrada.
Durante la transmisión de datos sensibles se utilizarán protocolos seguros como HTTPS, SSL, TLS o VPN cifradas, nunca protocolos sin cifrar.
5.4 Autenticación y Firma Digital
Se fomentará el uso de firma digital para garantizar la autenticidad e integridad de documentos electrónicos.
Se deben utilizar certificados digitales emitidos por una Autoridad de Certificación confiable (CA de primer o segundo nivel). Consultar lista en https://ccadb.my.salesforce-sites.com/microsoft/IncludedCACertificateReportForMSFT.
5.1 Información encriptada
De acuerdo con la clasificación de la información realizada por la Organización, como también por sus obligaciones legales y contractuales, ésta debe proteger a los sistemas individuales o a la información a través de los siguientes controles encriptados:
| Nombre del Sistema / Tipo de información | Herramienta encriptada | Algoritmo de encriptación | Longitud de la clave |
|---|---|---|---|
| Emails con información confidencial | Fichero cifrado de Windows | Proporcionado por Windows | Superior a 1024 bits |
5.2 Claves Criptográficas
En la mayoría de los casos, la Organización no podrá controlar las claves criptográficas porque están integradas en el canal de comunicación, (por ej.: el uso del protocolo HTTPS / SSL mientras navega por el sitio web).
En el caso de que pueda hacerlo, el responsable de Sistemas es el responsable de establecer las siguientes reglas sobre la gestión de claves:
- Generación de claves criptográficas privadas y públicas.
- Activación y distribución de claves criptográficas.
- Definición del plazo para el uso de las claves y de su actualización periódica (de acuerdo con la evaluación de riesgos).
- Archivo de claves inactivas que son necesarias para archivos electrónicos encriptados. Destrucción de claves.
Las claves son administradas por sus propietarios, en conformidad con las reglas mencionadas anteriormente.
Las claves criptográficas serán protegidas por clave. En el caso de pérdida, corrupción o destrucción, las claves serán recuperadas por el responsable de Sistemas, generando una nueva clave que el usuario deberá́ cambiar en el primer registro que se utilice.
5.3 Archivo y Registro
| Nombre del Registro | Ubicación del archivo | Responsable de su custodia | Tiempo de retención |
|---|---|---|---|
| Registro de gestión de claves criptográficas | Carpeta de Sistemas | Responsable de Sistemas | 4 años |
5.4 Cumplimiento y Auditoría
Se realizarán auditorías periódicas (anuales) para verificar el cumplimiento de esta política.
Cualquier incumplimiento será evaluado y podrá derivar en sanciones disciplinarias según las políticas internas de la organización.
5.5 Revisión y Actualización
Esta política será revisada anualmente o cuando existan cambios significativos en la normativa aplicable o en el entorno de seguridad de la organización.
5.6 Sanciones
El incumplimiento de esta política podrá dar lugar a medidas disciplinarias, incluyendo la terminación del contrato, según la gravedad de la infracción.
6 Anexos
N/A
7 Formatos
N/A
8 Registros
N/A
9 Documentos Relacionados
N/A
10 Referencias Normativas
- ISO27001:2022 4.3 Determinación del alcance del sistema de gestión de la seguridad de la información.