Marco de cifrado - AWS Guía prescriptiva
Clasificación de datosClasificación del entornoCambie los eventos y los procesos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Marco de cifrado

En este contexto, un marco se refiere a un conjunto de procedimientos operativos estándar que deben seguirse al modificar las normas o la política de cifrado. El marco es el andamiaje que le ayuda a implementar los estándares. Ayuda a convertir las palabras en acciones. El marco vincula a las personas que definen las normas con las personas que las implementan.

Los marcos suelen incluir los siguientes temas:

Clasificación de datos

La clasificación de los datos desempeña un papel fundamental en la creación de una estrategia de cifrado. La clasificación de datos es el proceso de asignar datos a una categoría en función de la confidencialidad de los datos. Las siguientes son categorías de clasificación de datos comunes, en orden creciente de sensibilidad: públicas, privadas, internas, confidenciales y restringidas.

Su marco de cifrado debe incluir la siguiente información sobre la clasificación de los datos:

  • Las categorías de clasificación de datos de su empresa.

  • Los criterios de clasificación utilizados para clasificar los datos en la categoría adecuada. Por ejemplo, la fórmula comercial de una empresa podría clasificarse como restringida, la PII de los empleados podría ser confidencial y la comunicación interna entre los empleados a través de los canales oficiales podría ser interna.

  • Proceso que se utiliza para ascender y degradar los datos de una categoría a otra.

  • Los criterios de acceso para cada categoría de clasificación de datos.

  • El tipo de clave de cifrado necesaria para cada categoría.

Clasificación del entorno

Su empresa puede tener varios entornos, como los de desarrollo, pruebas, entorno aislado, preproducción y producción. Cada entorno puede contener distintos tipos de datos y tener distintos requisitos de cifrado.

Su marco de cifrado debe incluir la siguiente información sobre sus entornos:

  • Defina sus entornos empresariales.

  • Defina los requisitos de cifrado para cada entorno. Por ejemplo, puede utilizar una única clave de cifrado para todas las categorías de datos de su entorno de desarrollo y, en su entorno de producción, puede utilizar claves de cifrado diferentes para cada aplicación empresarial o categoría de clasificación de datos.

Cambie los eventos y los procesos

Los estándares de cifrado están sujetos a cambios frecuentes para que pueda mantenerse al día con las últimas tecnologías, mejores prácticas e innovaciones. Los siguientes son cambios habituales que podrían provocar una revisión de sus estándares de cifrado:

  • Cambios en la longitud mínima de las claves de cifrado

  • Cambios en la fuerza de un algoritmo de cifrado

  • Cambios en quién o cómo puede acceder a las claves de cifrado

  • Cambios en los intervalos de rotación de las claves

  • Cambios en el proceso de eliminación de claves

  • Cambios en la ubicación o las políticas de almacenamiento de claves

  • Cambios en el proceso de creación de copias de seguridad y restauración de las claves

Su marco de cifrado debe incluir lo siguiente para ayudar a preparar a su organización para gestionar, implementar y comunicar los cambios en las normas o políticas de cifrado:

  • Proceso de control de cambios: el objetivo de este proceso es planificar y prepararse para el próximo cambio. Cuando necesite cambiar sus estándares o políticas de cifrado, este proceso repetible y escalable está diseñado para definir:

    • Cómo evalúa su organización el impacto del cambio

    • ¿Quién puede iniciar los cambios

    • ¿Quién es responsable de implementar el cambio

    • ¿Quién es responsable de aprobar el cambio

    • Cómo revertiría su organización el cambio, si fuera necesario

  • Cambiar el proceso de auditabilidad y trazabilidad: este proceso define la forma en que su organización audita y rastrea los cambios, tanto a nivel de metadatos como a nivel de datos. Debe definir cómo se mantienen y acceden a los registros de:

    • ¿Qué ha cambiado

    • ¿Cuándo se cambió

    • ¿Quién inició, aprobó e implementó el cambio

    Por ejemplo, si su organización cambia la seguridad mínima de la clave de cifrado, debería poder determinar los requisitos originales y nuevos, cuándo se hizo efectivo el cambio y quién participó en el proceso de cambio.

  • Proceso de implementación del cambio: el objetivo de este proceso es definir cómo su organización implementa el cambio una vez que usted haya decidido realizarlo. Este proceso define:

    • ¿Quiénes son las partes interesadas

    • Si debe completar un piloto o una prueba de concepto

    • ¿Cómo y cuándo debe comunicar el estado del cambio

    • Cómo revertir el cambio, si es necesario.

    • Cuál debería ser el período de observación después de implementar el cambio.

    • ¿Cuál será el proceso de observación para monitorear el impacto del cambio, incluida la forma de recopilar comentarios sobre el cambio y evaluar la efectividad

  • Proceso de retirada: el objetivo de este proceso es definir la forma en que su organización gestiona la retirada de los recursos y la información relacionados con el cifrado. Incluye instrucciones para la jubilación real, así como el proceso de comunicación para la jubilación.