ISO 27001 – Anexo A.10: Criptografía

¿Cuál es el objetivo del Anexo A.10.1?

El Anexo A.10.1 trata sobre controles criptográficos. El objetivo de este control del Anexo A es garantizar el uso adecuado y eficaz de la criptografía para proteger la confidencialidad, autenticidad y/o integridad de la información. Es una parte importante del sistema de gestión de seguridad de la información (SGSI), especialmente si desea obtener la certificación ISO 27001.

A.10.1.1 Política sobre el uso de Controles Criptográficos

El cifrado y los controles criptográficos a menudo se consideran una de las armas clave del arsenal de seguridad; sin embargo, por sí solos no son la “solución milagrosa” que resuelve todos los problemas. La selección incorrecta de tecnologías y técnicas criptográficas o la mala gestión del material criptográfico (por ejemplo, claves y certificados) pueden crear vulnerabilidades en sí mismas.

El cifrado puede ralentizar el procesamiento y la transmisión de información, por lo que es importante comprender todos los riesgos y equilibrar los controles a un nivel adecuado sin dejar de cumplir los objetivos de rendimiento.

Una política sobre el uso de cifrado puede ser un buen lugar para identificar los requisitos empresariales sobre cuándo se debe utilizar el cifrado y los estándares que se deben implementar. También se deben tener en cuenta los requisitos legales en materia de cifrado.

A.10.1.2 Gestión de claves

Un buen control describe cómo se debe desarrollar e implementar una política sobre el uso y protección de Claves Criptográficas a lo largo de todo su ciclo de vida. Uno de los aspectos más importantes tiene que ver con la creación, distribución, cambios, copias de seguridad y almacenamiento del material de claves criptográficas hasta el final de su vida útil y su destrucción.

La gestión del material de claves suele ser el punto más débil del cifrado y los atacantes pueden intentar atacar esto en lugar del cifrado en sí. Por lo tanto, es importante contar con procesos sólidos y seguros a su alrededor. Tratar las claves comprometidas también es importante y, cuando corresponda, también debe vincularse al Anexo A.16 Gestión de incidentes de seguridad.

Aplicar cifrado

ISMS.online ofrece algunas orientaciones y consejos para una buena política de cifrado; sin embargo, esta es una de las pocas áreas en las que es exclusivo de su negocio y de las actividades operativas en las que utilizaría el cifrado.

Contamos con una lista de socios que brindan asesoramiento especializado y productos relacionados con el cifrado, por lo que si esta es un área en la que necesita ayuda durante su implementación, háganoslo saber y también lo pondremos en contacto con expertos confiables.