Vous êtes sur la page 1sur 48

Monografa

Cifrado de Discos Almacenar la informacin


de manera segura

Universidad Tecnolgica de Panam Sede Regional de Veraguas. Asignatura de
Calidad de Servicios (QoS Quality of Service) Dictada por la profesora Serafina
Gonzlez

Diciembre 3,
2013
Daniel
[Escriba el nombre de la compaa]
[Seleccione la fecha]
.
.
.
Documento elaborado por los
estudiantes:
Daniel Urieta 9-734-93
Jos Quintero 9-735-2235



Introduccin y propsitos

El propsito de este documento es ayudar a entender las tecnologas de cifrado de
almacenamiento para los dispositivos de los usuarios finales y en la planificacin, implementacin
y mantenimiento de soluciones de cifrado de almacenamiento. Los tipos de dispositivos de usuario
final se abordan en este documento son las computadoras personales (de escritorio y porttiles),
dispositivos de consumo (por ejemplo, los asistentes personales digitales, telfonos inteligentes), y
medios de almacenamiento extrables (por ejemplo, Unidades flash USB, tarjetas de memoria,
discos duros externos, CDs y DVDs grabables). Este documento proporciona, orientacin en el
mundo real prctico para tres clases de tcnicas de cifrado de almacenamiento: disco completo
cifrado, el volumen y el cifrado de disco virtual, y el cifrado de archivos / carpetas. Tambin
discute importante elementos de seguridad de una implementacin de cifrado de
almacenamiento, incluida la gestin de claves criptogrficas y la autenticacin. Slo se discute el
cifrado de datos en reposo (de almacenamiento), y no aborda el cifrado de datos en movimiento
(transmisin).















Indice
Informacin general sobre seguridad y encriptacin1
Que es la encriptacin de disco....1
Archivo Fundamentales de almacenamiento.2
La necesidad de mantener la informacin segura3
Controles de seguridad para almacenamiento..6
Tecnologa para el cifrado de disco...8
Tipos comunes de almacenamiento cifrado Tecnologas..8
Cifrado de disco completo 8
Cifrado de disco virtual y el volumen cifrado ..11
Encriptacin de archivos/carpetas... 13
La proteccin proporcionada por el cifrado de tecnologas de almacenamiento 14
Comparacin de tecnologas de cifrado de almacenamiento ...19
Ejemplo de algunos casos prcticos para la encriptacin de discos ..21
Gestin de la tecnologa de cifrado de almacenamiento. 24
Almacenamiento cifrado Planificacin e Implementacin de Tecnologa .25
Identifique sus necesidades.27
Diseo de la solucin 29
Criptografa..31
Autenticacin..32
Implementar y prueba de prototipos. 35
Implementar la solucin.. 38
Gestione la Solucin... 39
Apndice A.. 41
Apndice B.. 43
Bibliografa.45



1
Informacin general sobre seguridad y encriptacin
Un dispositivo de usuario final es un ordenador personal (de sobremesa o porttil), dispositivo de
consumo (por ejemplo, personal digital asistente [PDA], telfono inteligente), o en medios
extrables de almacenamiento (por ejemplo, una unidad flash USB, tarjeta de memoria externa
disco duro, CD o DVD grabable) que puede almacenar informacin.
Seguridad de almacenamiento es el proceso de permitir slo las personas autorizadas para
acceder y utilizar la informacin almacenada. En esta seccin se presentan los conceptos bsicos
de la seguridad de almacenamiento para dispositivos de un usuario final.


Que es la encriptacin de disco
Encriptacin de disco tiene muchos nombres: cifrado de disco completo, cifrado de disco
completo, el cifrado de unidad, y otros miles de combinaciones que utilizan las palabras "disco" y
"unidad". En esencia, es el cifrado especficamente diseado para proteger todo el dispositivo de
almacenamiento en el equipo, en lugar de la proteccin de archivos electrnicos de forma
individual e independiente.












2
Archivo Fundamentales de almacenamiento
Un archivo es una coleccin de informacin lgicamente agrupada en una sola entidad y que hace
referencia un nico nombre, como un nombre de archivo. En los dispositivos de usuario final,
normalmente hay dos tipos de archivos: Archivos de datos, como documentos de texto, hojas de
clculo, imgenes y videos, y los archivos del sistema, como el sistema operativo y binario de la
aplicacin y las bibliotecas. Un sistema de archivos define la forma en que los archivos se
denominan, almacenan, organizan, y visitada. Directorios, tambin conocidos como carpetas, son
estructuras organizativas utilizadas por los sistemas de archivos a archivos de grupo.
Otra caracterstica de un sistema de ficheros es de metadatos, que son datos acerca de datos en el
contexto de un sistema de archivos, la informacin sobre los archivos y las carpetas en s, como los
nombres de archivos y carpetas, la creacin de fechas y horas, y tamaos.
Los sistemas de archivos estn diseados para almacenar carpetas, el sistema y los archivos de
datos y metadatos en medios de almacenamiento. Sin embargo, los medios de almacenamiento
tambin pueden contener datos residuales, que son datos de archivos borrados (incluso antes
versiones de los archivos existentes y los archivos temporales). Datos residuales a menudo pueden
ser recuperados de un usuario final dispositivo a travs de un anlisis forense. Los elementos
siguientes describen las formas comunes de datos residuales:
Unidades de asignacin de archivos no utilizados: Los sistemas de archivos almacenan
archivos en fragmentos conocidos como unidades de asignacin de archivos. Unidades de
asignacin de archivos no utilizados son las unidades dentro de una particin que
actualmente no estn siendo utilizados por la sistema de archivos. Cuando se elimina un
archivo, tpicamente no se borra de los medios de comunicacin, en su lugar , la
informacin en la estructura de datos del directorio que apunta a la ubicacin del archivo
est marcado como eliminado . Este medio que el archivo est siendo almacenada en los
medios de comunicacin, pero ya no se enumer por el sistema operativo ( OS). El sistema
operativo considera que este es el espacio no utilizado y se puede sobrescribir cualquier
porcin o el archivo eliminado todo en cualquier momento.
Slack Espacio. Incluso si un archivo requiere menos espacio que el tamao de unidad de
asignacin de archivos, un archivo completo unidad de asignacin es todava reservado
para el archivo. Por ejemplo , si el tamao de la unidad de asignacin de archivos es 32


3
kilobytes (KB ) y un archivo es de slo 7 KB , toda la 32 KB todava se asigna al archivo ,
pero slo 7 KB se utiliza , lo que resulta en 25 KB de espacio no utilizado. Este espacio no
utilizado se conoce como espacio de archivo de holgura, y puede contener datos
residuales, tales como porciones de los archivos eliminados.
Espacio libre. Espacio libre en disco es el rea de los medios de comunicacin que no est
asignado actualmente a una particin. esto a menudo incluye espacio en los medios de
comunicacin donde los archivos pueden haber residido en un punto pero ya han sido
eliminados. El espacio libre todava puede contener fragmentos de datos.

Antes de los medios de comunicacin pueden ser utilizados para almacenar los archivos, los
medios de comunicacin por lo general debe estar particionado y formateado en lgica
volmenes. El particionar es el acto de dividir lgicamente un medio de comunicacin en
porciones que funcionan como unidades separadas.
Un volumen lgico es una particin o un conjunto de particiones que acten como una sola
entidad que haya sido formateada con un sistema de archivos. Algunos tipos de papel pueden
contener una sola particin (y, en consecuencia, una lgica volumen), mientras que otros pueden
contener varias particiones.

La necesidad de mantener la informacin segura.
En el entorno informtico actual, hay muchas amenazas a la confidencialidad de la informacin
almacenada en poner fin a los dispositivos de usuario. Algunas amenazas son intencionales, tales
como errores humanos, mientras que otros son intencionales. Amenazas intencionales son
planteadas por personas con muchas motivaciones diferentes, incluyendo hacer travesuras y
interrupcin y cometer robo de identidad y otros fraudes. Una de las amenazas ms comunes es el
malware, tambin conocido como cdigo malicioso , que se refiere a un programa que se inserta
en un sistema , por lo general de forma encubierta , con la intencin de poner en peligro la
confidencialidad , integridad o disponibilidad de los datos de la vctima, aplicaciones o del sistema
operativo. Tipos de amenazas de malware son los virus, gusanos, cdigos mviles maliciosos,
troyanos, rootkits y spyware. El malware puede dar a los atacantes el acceso no autorizado a un
dispositivo, transferir informacin desde el dispositivo al sistema de un atacante, y realizar otras


4
acciones que pongan en peligro la confidencialidad de la informacin en un dispositivo. Otra
amenaza comn en contra de los dispositivos de los usuarios finales es un dispositivo prdida o
robo. Una persona con acceso fsico a un dispositivo tiene muchas opciones para tratar de ver el
informacin almacenada en el dispositivo. Esta es tambin una preocupacin por los ataques
internos, como por ejemplo un empleado tratar de acceder a la informacin sensible almacenada
en el dispositivo de otro empleado. Otra forma de informacin privilegiada ataque es un usuario
que intenta acceder a los archivos de otro usuario en un dispositivo que los dos usuarios
comparten.
Muchas de las amenazas en contra de los dispositivos de los usuarios finales pudieran causar la
informacin almacenada en los dispositivos para acceder a partes no autorizadas. Para evitar este
tipo de divulgacin de informacin, en particular de identificacin personal que informacin y
otros datos sensibles, la informacin debe ser asegurada. Asegurar otras componentes de los
dispositivos de usuario final, tales como sistemas operativos, tambin es necesario, sino que en
muchos casos medidas adicionales son necesarias para proteger la informacin almacenada. Por
ejemplo, sin estas medidas adicionales, un atacante que roba un dispositivo podra utilizar las
herramientas y tcnicas forenses para recuperar informacin directamente del soporte de
almacenamiento, que eludan las protecciones aplicadas por el sistema operativo del dispositivo.
Una serie de leyes y reglamentos obligan a las organizaciones a asegurar que la informacin
confidencial est protegida apropiadamente. La siguiente es una lista de los principales
reglamentos, normas y directrices que ayudan a definir necesidades de las organizaciones de
seguridad de almacenamiento:
Ley Federal de Informacin de Gestin de Seguridad de 2002 (FISMA): FISMA hace
hincapi en la necesidad para cada agencia federal para desarrollar, documentar y poner
en prctica un programa de toda la organizacin para proporcionar seguridad de la
informacin para los sistemas de informacin que apoyan sus operaciones y activos. NIST
Publicacin Especial (SP) 800-53, Controles de seguridad recomendada para los Sistemas
de Informacin Federal, fue desarrollado en apoyo de FISMA.5 NIST SP 800-53 es la fuente
primaria de la recomendada controles de seguridad para las agencias federales.




5
Se describe varios controles relacionados con la seguridad de almacenamiento, tales como
control de acceso a travs de la encriptacin de la informacin almacenada, lo que
restringe el acceso a la informtica mvil dispositivos y sistemas de informacin de los
medios, y almacenar el material en lugares fsicamente seguros.

OMB Memorando M-06-16: OMB ha emitido un memorando relacionado directamente
con la seguridad del almacenamiento. OMB M-06-16 se refiere a la proteccin de la
informacin de las agencias que se sea "acceder de forma remota o transportados
fsicamente fuera del permetro protegido de la agencia, fsica. Se requiere
especficamente que las agencias de cifrar todos los datos almacenados en los dispositivos
informticos mviles, como ordenadores porttiles y PDAs, a menos los datos se han
determinado por el funcionario de la agencia designada para no ser sensible. Similar
requisitos tambin se incluyen en OGP Memorando M-07 a 16.

Ley de Privacidad de 1974: La Ley de Privacidad regula la recogida, uso, mantenimiento y
difusin de la informacin personal sobre ciudadanos estadounidenses o extranjeros
admitidos legalmente como residentes permanentes. Lo se aplica a los registros
mantenidos por las agencias de la rama ejecutiva del gobierno.

Ley Gramm-Leach-Bliley (GLBA): GLBA requiere que las instituciones financieras para
proteger a sus clientes "informacin frente a las amenazas de seguridad. Esto incluye
garantizar "la seguridad y confidencialidad de los registros de clientes y la informacin "y
la proteccin" contra el acceso no autorizado o el uso de dichos registros o informacin








6
Controles de seguridad para almacenamiento
Los controles de seguridad principales para restringir el acceso a la informacin confidencial
almacenada en los dispositivos de usuario final son cifrado y autenticacin. El cifrado se puede
aplicar de forma granular, tales como a un archivo individual que contiene informacin sensible, o
en trminos generales, como el cifrado de todos los datos almacenados. El apropiada solucin de
cifrado para una situacin particular depende principalmente del tipo de almacenamiento, la
cantidad de informacin que debe ser protegido, los entornos en los que se encuentra el
almacenamiento y las amenazas que deben ser mitigados. La seccin 3 discute las opciones ms
comnmente utilizadas en detalle; en esta seccin se discute brevemente algunas opciones
adicionales. Soluciones de cifrado de almacenamiento requieren que los usuarios se autentican
con xito antes de acceder a la informacin que se ha cifrado.
Autenticacin comn mecanismos son las contraseas, nmeros de identificacin personal (PIN),
tokens criptogrficos, biometra, y tarjetas inteligentes. La combinacin de cifrado y autenticacin
ayuda a controlar el acceso a la almacenada informacin.
Las organizaciones tambin deben tener en cuenta la seguridad de las copias de seguridad de la
informacin almacenada. Algunas organizaciones permiten a los usuarios realizar copias de
seguridad de sus archivos locales a un sistema centralizado, mientras que otras organizaciones
recomiendan que sus usuarios realizar copias de seguridad locales (por ejemplo, la grabacin de
CD, medios de almacenamiento USB externo). En este ltimo caso, las organizaciones deben
asegurarse de que las copias de seguridad se aseguraron al menos tan bien como la fuente
original. Este que se podra hacer con controles similares, como el cifrado de las copias de
seguridad, o con diferentes tipos de controles, tales como el almacenamiento de cintas de copia
de seguridad en un cuarto protegido fsicamente dentro de las instalaciones de la organizacin.
Las organizaciones tambin deben implementar otras medidas que apoyen y complementen
cifrado de almacenamiento implementaciones. Estas medidas ayudan a asegurar que el cifrado de
almacenamiento se implementa en un entorno con la gestin, los controles operacionales y
tcnicos necesarios para proporcionar una adecuada de seguridad para la aplicacin de cifrado de
almacenamiento. Ejemplos de medidas de apoyo son los siguientes:


7
Revisar las polticas de organizacin, segn sea necesario para incorporar el uso apropiado
del cifrado de almacenamiento solucin. Las polticas deben servir de base para la
planificacin e implementacin de almacenamiento cifrado.

Asegrese de que los dispositivos de los usuarios finales estn bien sujetos y
correctamente, lo que debera reducir el riesgo de compromiso o mal uso. Esto incluye los
dispositivos de fijacin SOs, aplicaciones y comunicaciones (por ejemplo, el cifrado del
trfico de red por cable o Wi-Fi) y dispositivos, como exigir el resguardo seguro de que
porttiles pueden asegurar el uso de bloqueos de cable, cuando en hoteles, conferencias,
y otros lugares donde la tercera partes podran fcilmente tener acceso fsico a los
dispositivos. La seguridad fsica de los dispositivos es tambin una consideracin
importante en los ambientes del hogar, tales como la prevencin de otras personas dentro
de la casa emitida por la organizacin al mantener el dispositivo en un escritorio bajo llave
o habitacin.

Haga los usuarios tomen conciencia de sus responsabilidades para el cifrado de
almacenamiento, como el cifrado de archivos confidenciales, proteger fsicamente los
dispositivos mviles y medios extrables, y rpidamente informar la prdida o el robo de
dispositivos y medios de comunicacin.
Las organizaciones deben seleccionar e implementar los controles de seguridad necesarios en base
a las directrices existentes. Estndares de Procesamiento de Informacin Federal (FIPS) 199
establece tres categoras de baja seguridad, moderado y alto sobre la base de los posibles efectos
de un fallo de seguridad que implica un sistema en particular.
NIST SP 800-53 proporciona recomendaciones para el manejo mnimo, operacional y tcnica
controles de seguridad para los sistemas de informacin basados en la FIPS 199 categoras de
impacto. La recomendaciones NIST SP 800-53 deben ser tiles a las organizaciones en la
identificacin de los controles que son necesaria para proteger los dispositivos de los usuarios
finales, que deben ser utilizados, adems de las recomendaciones especficas para cifrado de
almacenamiento aparece en este documento.




8
Tecnologa para el cifrado de disco
Hay muchas tecnologas disponibles para el cifrado de los datos almacenados en dispositivos de
usuario final. En esta seccin describe las tecnologas ms utilizadas, analiza las protecciones
previstas por cada tipo, y explica cmo se administran tpicamente estas tecnologas.

Tipos comunes de almacenamiento cifrado Tecnologas
Esta seccin proporciona una descripcin de alto nivel de las opciones ms utilizadas para el
cifrado almacenada informacin: cifrado de disco completo, el volumen y el cifrado de disco
virtual, y el cifrado de archivos / carpetas. Lo define brevemente cada opcin y explica a un nivel
alto de cmo funciona.

Cifrado de disco completo
Full disk encryption FDE, tambin conocido como el cifrado de disco completo, es el proceso de
encriptacin de todos los datos en el disco duro se utiliza para arrancar una computadora,
incluyendo el sistema operativo del equipo, y permitir el acceso a los datos slo despus de una
autenticacin correcta para el producto FDE. La mayora de los productos estn FDE basado en
software, por lo que este seccin se centra en la explicacin de las capacidades y caractersticas de
las soluciones de FDE basados en software. Soluciones basadas en hardware se discuten
brevemente al final de esta seccin.
El software FDE funciona redireccionando al master boot record de un ordenador (MBR), que es
un sector reservado, por medio de inicio que determina qu software (por ejemplo, el sistema
operativo, la utilidad) se ejecutarn cuando el ordenador boote de los medios de almacenamiento.
Cuando el software FDE se instala en un ordenador, el MBR generalmente apunta al sistema
operativo principal de la computadora. Cuando se est utilizando el software de FDE, MBR de la
computadora se redirige a un entorno previo al inicio especial (PBE) que controla el acceso a la
computadora. Esta redireccin se representa en Figura 3-1. La PBE pide al usuario que autenticar
con xito, como introducir un ID de usuario y contrasea, antes de descifrar y arrancar el sistema
operativo. Esto se conoce como autenticacin previa al arranque (pre-boot authentication - PBA).


9
La mayora de los productos FDE apoyan el uso de la autenticacin basada en la red (por ejemplo,
Active Directory, PKI) y fuentes de autenticacin local (por ejemplo, almacenados localmente, en
cach local de origen de la red) para la PBA.
Una vez que se produce con xito PBA, el software FDE descifra el sector de arranque para el
sistema operativo, segn lo representado por el segunda flecha en la Figura 3-1, y el gestor de
arranque en el sector de arranque comienza a cargar el sistema operativo, ya que carga, el
Software FDE descifra los archivos del sistema operativo (que se almacenan en el volumen del
sistema), segn sea necesario, que se indican en Figura 3-1 en la tercera flecha. Una vez que el
sistema operativo ha terminado de arrancar, el usuario proporciona autenticacin del sistema
operativo y utiliza el equipo normalmente. Cuando el usuario necesita abrir archivos cifrados,
guardar archivos nuevos, o realizar otras operaciones relacionadas con el disco duro, el software
FDE transparente descifra y cifra los sectores necesarios del disco duro segn sea necesario. Esto
puede aumentar ligeramente el tiempo necesario para abrir o guardar archivo, pero el retraso en
general, slo debe ser perceptible para los archivos particularmente grandes. En un equipo
protegido FDE, los usuarios suelen notar un retraso de al menos unos segundos al arrancar el
ordenador o apagarlo. Los retrasos tambin pueden ocurrir al utilizar las funciones de hibernacin,
ya que el FDE software tiene para cifrar y descifrar el archivo de hibernacin grande (que incluye
una copia de la computadora de memoria) que se almacena en el disco duro. La duracin de los
retrasos depende del tamao de la memoria, la tamao y la velocidad del disco duro, y otros
factores.





Regiones del
Disco Duro


10
Debido a FDE altera cmo un equipo se inicia, puede causar problemas de funcionamiento. Por
ejemplo, la modificacin el MBR puede evitar que los equipos con configuraciones de inicio dual
funcionen correctamente, y el almacenamiento de la PBE en el espacio entre el MBR y el sector de
arranque puede causar conflictos con otro software, como herramientas de software a nivel de
disco, que tambin almacenar el cdigo en ese espacio. Dispositivos protegidos-FDE tambin
pueden tener problemas con herramientas de gestin de activos y el uso de Wake-on-LAN.
Software FDE es ms comnmente utilizado en las computadoras de escritorio y porttiles. El
requisito de pre-arranque autenticacin significa que los usuarios tienen que ser capaces de
autenticar utilizando los componentes ms fundamentales de la un dispositivo, tales como A,
controladores de nivel de sistema operativo teclado porque el sistema operativo no se carga
estndar no estn disponibles. Por ejemplo, una PDA o un telfono inteligente no podan mostrar
un teclado en pantalla para introducir una contrasea porque esa es una capacidad de nivel de
sistema operativo.
Como se mencion al principio de la seccin, FDE tambin puede ser integrado en un controlador
de disco duro Hardware y FDE basado en software ofrece capacidades similares a travs de
diferentes mecanismos. Cuando un usuario intenta arrancar un dispositivo protegido con FDE
basado en hardware, el disco duro pide al usuario que autenticar antes de permitir que un sistema
operativo se cargue. La capacidad FDE est integrado en el hardware de tal manera que no puede
desactivado o retirado de la unidad. El cdigo y los autenticadores de cifrado, como contraseas y
claves criptogrficas, se almacenan de forma segura en el disco duro. Debido a que el descifrado y
el cifrado son realizados por el propio disco duro, sin la participacin del sistema operativo, por lo
general hay muy poco rendimiento impacto.
Una diferencia importante entre el software y el FDE basado en hardware es que FDE basado en
software puede ser gestiona de forma centralizada, pero FDE basado en hardware slo puede
generalmente ser manejado localmente. Esto hace que la tecla acciones de gestin y recuperacin
considerablemente mucho ms engorroso para el hardware y la intensiva de recursos que
consume muchos recursos de software basado en. Otra diferencia importante es que debido a FDE
basado en hardware hace todo procesamiento criptogrfico en el hardware de la unidad de disco
duro, no necesita colocar su criptogrfica clave en la memoria del ordenador, lo que podra
exponer las claves para el malware y otras amenazas.


11
Una tercera diferencia importante es que FDE basado en hardware normalmente no altera el
MBR, por lo FDE basado en hardware no causa conflictos con el software que modifica el MBR (por
ejemplo, configuraciones de arranque dual).
Cifrado de disco virtual y el volumen cifrado
Cifrado de disco virtual es el proceso de cifrado de un archivo llamado un contenedor, que puede
contener muchos archivos y carpetas , y permitir el acceso a los datos dentro del contenedor slo
despus de la autenticacin adecuada es proporcionado , en cuyo punto el contenedor est
montado tpicamente como un disco virtual . Cifrado de disco virtual es utilizado en todo tipo de
dispositivo de almacenamiento del usuario final. El contenedor es un solo archivo que reside
dentro de una lgica volumen. Ejemplos de volmenes son de arranque, sistema y los volmenes
de datos en un ordenador personal, y un USB unidad de memoria flash formateada con un nico
sistema de archivos.
Cifrado de volumen es el proceso de encriptacin de todo un volumen lgico y permitir el acceso a
los datos sobre el volumen slo despus de la autenticacin apropiada es proporcionado. Cifrado
de volumen se realiza con mayor frecuencia en los volmenes de datos del disco duro y en base
volumen - medios extrables, como unidades flash USB y discos duros externos. Cifrado de
volumen de arranque y volmenes del sistema es esencialmente una forma especial de FDE.
A un alto nivel, el volumen y el cifrado de disco virtual se realizan de manera similar. El software se
ejecuta en el sistema operativo utilizado para acceder al volumen o contenedor maneja todos los
intentos de leer o escribir en el volumen protegido o contenedor. Una vez que el sistema
operativo ha sido cargado, si el usuario necesita usar el volumen o contenedor cifrado, ser
montado despus de que el usuario ha proporcionado la autenticacin necesaria. Entonces, el
programa descifrar y cifrar automticamente los sectores pertinentes, segn sea necesario. Esto
aumenta el tiempo necesario para abrir o guardar archivos, pero el retraso en general debe ser
perceptible slo para los archivos particularmente grandes. Hay Tambin puede haber pequeas
demoras asociadas con el montaje y desmontaje de un volumen o un contenedor cifrado.
La diferencia clave entre el volumen y el cifrado de disco virtual es que los contenedores son
porttiles y volmenes no son un contenedor se pueden copiar de un medio a otro, con el cifrado
intacto. Este permite a los contenedores para ser quemado en CD y DVD y para ser utilizados en
otros medios que no sean a base de volumen. Cifrado de disco virtual tambin hace trivial hacer


12
una copia de seguridad de los datos sensibles, el contenedor es simplemente copiado en el
servidor de copia de seguridad o medios de comunicacin. Otra ventaja de cifrado de disco virtual
en el volumen cifrado es que el cifrado de disco virtual se puede utilizar en situaciones en las que
el volumen-basadas medios extrables necesita tener almacenamiento protegido o no; el volumen
se puede dejar sin proteccin y un recipiente se coloca sobre el volumen de la informacin
sensible.
Algunos productos de cifrado de disco virtuales apoyan an ms la movilidad, ofreciendo
caractersticas que pueden poner ejecutables en el medio de la celebracin de un contenedor. El
medio puede ser movido a otro equipo y los ejecutables se ejecutan a travs de mtodos tales
como la instalacin de los controladores en el equipo o la ejecucin de una autenticacin y la
utilidad de descifrado. Los contenidos protegidos del medio a continuacin, se puede acceder por
un usuario despus de proporcionar la autenticacin solicitada.
Las responsabilidades de los usuarios de las soluciones de cifrado de disco y volumen virtuales
varan, principalmente en funcin de control de acceso de los dispositivos. Por ejemplo, si el
sistema operativo de un ordenador porttil est configurado de manera que un usuario slo
puede escribir archivos en un contenedor cifrado o el volumen, a continuacin, el usuario no tiene
que tomar medidas para garantizar que los archivos se guardan en la ubicacin adecuada. Sin
embargo, si el sistema operativo no est configurado de esta manera, permitiendo los usuarios
guardar archivos en diferentes lugares, o si el dispositivo encriptado es un medio extrable que no
est protegida a travs de funciones de control de acceso del sistema operativo, a continuacin,
los usuarios sern responsables de garantizar que se guardan los archivos en el ubicacin
adecuada. En este caso, si los usuarios no siguen los procedimientos necesarios y, a continuacin
algunos archivos que deban estar protegidos no lo estarn.








13
Encriptacin de archivos/carpetas
El cifrado de archivos es el proceso de cifrado de archivos individuales en un medio de
almacenamiento y permitir el acceso a los datos cifrados slo despus de la debida autenticacin
se proporciona. Cifrado de carpetas es muy similar al archivo cifrado, slo se ocupa de las carpetas
individuales en lugar de archivos. Algunos ofrecen sistemas operativos incorporados en el archivo
y / o carpeta capacidades de encriptacin, y muchos programas de terceros tambin estn
disponibles. Aunque el cifrado de carpetas y el cifrado de disco virtual suenan de forma parecida -
tanto una carpeta y un contenedor estn destinadas a contener y proteger varios archivos - hay
una diferencia. Un contenedor es un solo archivo opaco, lo que significa que nadie puede ver qu
archivos o carpetas estn dentro del recipiente hasta que se descifra el contenedor. El cifrado de
archivos / carpeta es transparente , lo que significa que cualquier persona con acceso al sistema
de archivos , puede ver los nombres y posiblemente otros metadatos de los archivos y carpetas
cifrados , incluidos los archivos y carpetas dentro de carpetas cifradas , si no estn protegidos por
las funciones de control de acceso del sistema operativo. El cifrado de archivos / carpetas se utiliza
en todos los tipos de almacenamiento para los dispositivos de usuario final.


El cifrado de archivos / carpetas se puede implementar de muchas maneras, incluso a travs de los
conductores, los servicios, y aplicaciones. Cuando un usuario intenta abrir un archivo cifrado
(cifrado ya sea por s mismo o situado en una carpeta cifrada), el software requiere que el usuario
para autenticar primero con xito. Una vez que ha sido hecho, el software descifrar
automticamente el archivo elegido. Debido a que descifra un solo archivo a la vez, el impacto en
el rendimiento de la encriptacin de archivos / carpetas debe ser mnimo. El cifrado de archivos /
carpetas es ms comnmente utilizado en los archivos de datos del usuario, como documentos y
hojas de clculo de procesamiento de textos. Archivo / carpeta soluciones de encriptacin a veces
pueden cifrar los archivos de intercambio, pero por lo general no ejecutables del sistema
operativo y la hibernacin archivos.




14
Muchos productos de cifrado de archivos / carpetas ofrecen varias opciones para seleccionar qu
archivos y carpetas deben ser cifrada y la definicin de la funcin del usuario en el uso de la
encriptacin permitiendo solucin manualmente para cada nueva archivo o carpeta que necesita
proteccin, recordando para almacenar archivos y carpetas en los lugares adecuados, o hacer
nada diferente porque los archivos y carpetas se cifran automticamente. Las opciones comunes
incluyen:
Confiando en que el usuario designe especficamente los archivos y carpetas.
Cifrar automticamente el contenido de las carpetas por el administrador designado.
Cifrar automticamente ciertos tipos de archivos, como los que tienen una extensin de
archivo en particular.
Cifrar automticamente todos los archivos escritos por las aplicaciones particulares.
Cifrar automticamente todos los archivos de datos para los usuarios particulares.
Tambin hay varias aplicaciones, como utilidades de compresin de archivos y suites de
productividad de oficina, que ofrecer capacidades de cifrado de archivos / carpetas limitadas.
Estas aplicaciones suelen ser completamente dependiente el usuario para asegurarse de que los
archivos necesarios se cifran, y estas aplicaciones a menudo no estn en el centro administrado,
que puede complicar la gestin de claves y otros aspectos de la gestin del uso de archivos /
carpetas caractersticas de cifrado de las aplicaciones.

La proteccin proporcionada por el cifrado de tecnologas de almacenamiento
A continuacin se explican los tipos de proteccin de cada tecnologa de cifrado de
almacenamiento pueden y no pueden proporcionar.
Cifrado de disco completo: Para un equipo que no arranca, toda la informacin cifrada por
el FDE es protegido, en el supuesto de que se requiere la autenticacin previa al arranque.
Al arrancar el dispositivo, luego FDE proporciona ninguna proteccin, una vez que se carga
el sistema operativo, el sistema operativo se convierte en plenamente responsable de
proteger la informacin sin cifrar. La excepcin a esto es cuando el dispositivo est en un
modo de hibernacin; ms productos FDE pueden cifrar el archivo de hibernacin.


15
Disco y el volumen cifrado virtual: Cuando se emplea el cifrado de disco virtual, el
contenido de contenedores est protegido hasta que el usuario es autenticado para los
contenedores. Si single sign-on est siendo utilizado para la autenticacin en la solucin,
esto por lo general significa que los contenedores estn protegidos hasta que el usuario
inicia una sesin en el dispositivo. Si no se utiliza inicio de sesin nico, entonces la
proteccin se proporciona tpicamente hasta que el usuario se autentica de forma
explcita a un contenedor. Cifrado de disco virtual no proporciona ninguna proteccin de
los datos fuera del contenedor, incluidos los archivos de intercambio e hibernacin que
podran contener el contenido de los archivos sin cifrar que fueron retenidos en la
memoria. Cifrado de volumen proporciona la misma proteccin de cifrado de disco virtual,
pero para un volumen en lugar de un contenedor.
Cifrado de archivos / carpetas: El cifrado de archivos / carpetas protege el contenido de
archivos cifrados (incluyendo archivos en carpetas cifradas) hasta que el usuario se
autentica a los archivos o carpetas. Si inicio de sesin nico es que se utiliza, esto por lo
general significa que los archivos slo estn protegidos hasta que el usuario inicia sesin
en el dispositivo. Si no se utiliza inicio de sesin nico, entonces la proteccin se
proporciona normalmente hasta que el usuario explcitamente autentifica a un archivo o
carpeta. El cifrado de archivos / carpetas no proporciona ningn tipo de proteccin para
los datos fuera de los archivos o carpetas protegidas, incluidos los archivos de intercambio
e hibernacin que podran contener el contenido de los archivos sin cifrar que fueron
retenidos en la memoria. Software de cifrado de archivos / carpeta tambin no puede
proteger la confidencialidad de los nombres de archivo y otros metadatos de archivos, que
a su vez podra proporcionar informacin valiosa a los atacantes (por ejemplo, archivos
que se denominan por el nmero de Seguro Social).
En muchos casos, especialmente para el cifrado FDE y el volumen, estos productos no
proporcionan ninguna proteccin para los archivos de copiado o movido desde el almacenamiento
cifrado a otro lugar (ya sea local o en la red), porque descifrar automticamente los archivos como
parte del proceso de copia o traslado. La ubicacin de destino es responsable de la proteccin de
los archivos, y no proporcionarn proteccin durante el transporte desde el origen al destino.



16
Sin embargo, algunas tecnologas de cifrado de almacenamiento permiten la proteccin que
deben conservarse si se desea. La mayora virtuales productos de cifrado de disco permite un
recipiente entero a transferir, incluyendo la proteccin del contenedor, pero los archivos o
carpetas individuales copiado o movido desde un contenedor no estarn protegidos. Algunos
archivos / carpetas productos de cifrado permiten que los archivos o carpetas que conservan su
proteccin cuando se copian o se mueven, en algunos casos slo dentro de un nico sistema de
archivos, y en otros casos, tanto dentro de un mismo sistema de ficheros ya otros sistemas de
archivos.
La principal amenaza que todos estos tipos de tecnologa de mitigar es el acceso no autorizado a la
informacin en una prdida o dispositivo robado. Disco virtual / cifrado de volumen y archivo /
tecnologas de cifrado de carpetas tambin pueden mitigar algunas amenazas de capa de
aplicacin y SO a informacin protegida que involucran malware, acceso remoto a la informacin,
y otros mtodos que dependen del sistema operativo que se arranca protegido, hasta que el
usuario se autentica correctamente a la solucin de cifrado . Una vez que se produce esta
autenticacin, entonces cualquier proceso que se ejecuta en el dispositivo (como malware) , con
acceso a los archivos del usuario puede obtener la informacin descifrada . Porque los archivos
slo estn protegidos hasta que se produce la autenticacin exitosa, puede ser beneficioso utilizar
una solucin que est configurado para cifrar nicamente los archivos necesarios (por ejemplo,
mediante el cifrado de archivos / carpetas para cifrar 10 archivos sensibles en lugar de usar el
cifrado para cifrar el volumen 10 archivos sensibles y 1.000 no sensibles archivos). Cuantos ms
archivos protegidos, ms pronto el usuario es probable que autenticarse en el almacenamiento
solucin de cifrado, lo que aumenta la ventana de exposicin para los archivos descifrados.
Algunos productos tambin permiten almacenamiento a ser cifrado o bien para un nico usuario o
por mltiples usuarios de una dispositivo. Si cifrado para un solo usuario, la confidencialidad de
almacenamiento cifrado de ese usuario est protegido de otros usuarios del dispositivo,
incluyendo (en la mayora de los casos) los administradores del dispositivo. Cifrado de mltiples
usuarios permite que los datos sensibles sean compartidos por los usuarios, al tiempo que protege
a los dems usuarios del dispositivo. Esto proporciona una cierta proteccin contra las amenazas
internas.



17
En algunos casos, mltiples tipos de tecnologa se pueden utilizar al mismo tiempo para proteger
contra diferentes clases de amenazas, por ejemplo, FDE se podra utilizar para proteger a todos los
datos en un dispositivo de prdida o robo del dispositivo, y cifrado de volumen, el disco virtual o
archivo / carpeta puede ser usado para proporcionar proteccin adicional para un subconjunto de
datos que es ms sensible que el resto de los datos.
Al pensar en las amenazas, las organizaciones deben ser conscientes de que la tecnologa de
cifrado despus de almacenamiento tiene han aplicado, puede haber datos residuales en el
dispositivo que permanece sin proteccin. Por ejemplo, cuando un archivo est cifrado mediante
el cifrado de archivos / carpetas y se elimina el archivo original, los restos de la original, archivo de
texto plano todava puede estar presente en los medios de almacenamiento. Otro ejemplo es el
cifrado FDE y el volumen productos que encriptan slo los sectores del disco que contienen los
archivos actuales, no los sectores del disco que slo contienen archivos u otros restos de los datos
eliminados. Estos restos pueden ser recuperables utilizando herramientas forenses por un
atacante que tiene acceso fsico a la computadora, sin tener que dar ningn tipo de autenticacin.
Las organizaciones deben tener en cuenta las amenazas en contra tanto de los archivos y los
restos de los archivos. Las organizaciones deben ser conscientes de que si un dispositivo de
usuario final se ve comprometida en cualquier momento, cualquier almacenamiento tecnologas
de cifrado en l pueden llegar a ser parcial o totalmente ineficaz. Por ejemplo, cuando el
dispositivo est en uso y el usuario se ha autenticado en la solucin de cifrado de
almacenamiento, el malware podra acceder a archivos y transferir copias de ellos descifrada para
los servidores externos o extraer informacin sensible de ellos.
Otros ejemplos son el atacante desactivar o volver a configurar el cifrado de almacenamiento,
malware instalar un keylogger que captura las contraseas utilizadas para la autenticacin de
cifrado de almacenamiento, o malware adquirir una copia de una clave de cifrado de
almacenamiento de la memoria del dispositivo (para el cifrado de almacenamiento basada en
software soluciones).





18
Las organizaciones tambin deben ser conscientes de que no deben confiar en las tecnologas de
cifrado de almacenamiento para proteger datos sin mantener regularmente la solucin de cifrado.
Por ejemplo, si un atacante adquiere una prdida, robado, o dispositivo retirado protegido por la
tecnologa de encriptacin de almacenamiento, y una vulnerabilidad en el almacenamiento
tecnologa de encriptacin se descubre en el futuro, el atacante puede ser capaz de explotarla
para acceder a los datos protegidos.




















19
Comparacin de tecnologas de cifrado de almacenamiento
La Tabla enumera varias caractersticas de las tecnologas de cifrado de almacenamiento como un
medio para comparar los tipos de tecnologas descritas en esta publicacin.

caracterstica Cifrado de disco
completo
cifrado de volmenes Encriptacin de
disco virtual
Cifrado de carpeta /archivos
Plataformas
tpicas
apoyadas
Las computadoras
de escritorio y
porttiles
Las computadoras de
escritorio y porttiles,
soportes extrables basados
en el volumen (por ejemplo,
unidades flash USB)
Todos los tipos
de dispositivos
de usuario final
Todos los tipos de dispositivos
de usuario final
Datos
protegidos por
encriptacin
Todos los datos en
los medios de
comunicacin
(archivos de datos,
archivos de
sistema, los datos
residuales y
metadatos)
Todos los datos en el
volumen (archivos de datos,
archivos de sistema, los
datos residuales y los
metadatos)
Todos los datos
del contenedor
(archivos de
datos, los datos
residuales y los
metadatos, pero
no los archivos
del sistema)
Los archivos individuales /
carpetas (archivos de datos
solamente)
Mitiga las
amenazas de
prdida o robo
de dispositivos?
S S S S
Mitiga
amenazas OS y
la capa de
aplicacin (por
ejemplo, las
amenazas de
malware y de
informacin
privilegiada)?
No Si el volumen de datos est
protegido, a veces mitiga
tales amenazas. Si el
volumen de datos no est
protegida, entonces no hay la
mitigacin de estas
amenazas.
A veces mitiga
tales amenazas
A veces mitiga tales amenazas
Impacto
potencial de los
dispositivos en
caso de fallo
solucin
La prdida de
todos los datos y la
funcionalidad del
dispositivo
La prdida de todos los datos
en volumen; puede causar la
prdida de la funcionalidad
del dispositivo, dependiendo
de que el volumen est
protegida
La prdida de
todos los datos
en contenedor
Prdida de todos los archivos /
carpetas protegidas
Portabilidad de
informacin
cifrada
No portable No portable Portable A menudo portable



20
Al seleccionar las tecnologas de cifrado de almacenamiento, una organizacin debe tener en
cuenta el grado a la que cada tecnologa requerir los dispositivos de usuario de infraestructura y
fin para ser cambiado. Para ejemplo, el uso de algunas tecnologas requiere la implementacin de
servidores adicionales y la instalacin de software en los dispositivos que deben protegerse,
mientras que otras tecnologas pueden utilizar los servidores existentes, as como el software
integrado en los dispositivos que deben protegerse, tales como caractersticas de cifrado FIPS
aprobados incorporados en funcionamiento de los dispositivos sistemas. En general, cuanto ms
numerosos son los cambios en la infraestructura y los dispositivos, es ms probable es que la
tecnologa de cifrado de almacenamiento causar una prdida de funcionalidad u otros problemas
con la dispositivos. Al evaluar las soluciones, las organizaciones deberan comparar la prdida de
funcionalidad con la ganancia en las capacidades de seguridad y decidir si la compensacin es
aceptable. Las tecnologas que requieren unos amplios cambios en los dispositivos de los usuarios
finales y de infraestructura se deben utilizar por lo general slo cuando otras tecnologas no
pueden satisfacer las necesidades de la organizacin.
Los siguientes son los casos de uso que ponen de relieve los tipos de tecnologas de cifrado de
almacenamiento que pueden ser adecuados para determinadas situaciones. Cada caso de uso se
presenta un breve panorama, incluyendo las amenazas que deben ser mitigados, y luego propone
posibles soluciones, ambas tecnologas de encriptacin y almacenamiento alternativo soluciones
(si es aplicable). Cada caso de uso slo las listas de soluciones de alto nivel que puede ser factible,
y no se pretende dar a entender que otras soluciones no son posibles o que estas soluciones son
preferibles a otros. Cada caso de uso tambin omite los controles de seguridad que son
universales a las soluciones, como la sensibilizacin de los usuarios y seguridad de punto final
general (por ejemplo, parches, software antivirus, control de acceso, la seguridad fsica de punto
final (dispositivos), as como la gestin de claves (por ejemplo, la generacin de claves y segura de
implementarlas en los dispositivos).






21
Ejemplo de algunos casos prcticos para la encriptacin de discos

Caso prctico 1: Distribucin de un ordenador porttil
Tres usuarios comparten un ordenador porttil. Uno de los usuarios utiliza la computadora porttil
para acceder a los datos que los otros dos usuarios no estn autorizado a acceder. Por estos datos,
las principales amenazas que la organizacin necesita para mitigar son una informacin
privilegiada amenaza de los otros dos usuarios, y la divulgacin no autorizada de los datos de la
prdida o robo de la computadora porttil. Las posibles soluciones son las siguientes:
Implementar el volumen, disco virtual, o el cifrado de archivos / carpetas en el ordenador
porttil. Proteger los datos del primer usuario utilizando el software de cifrado de
almacenamiento, con la autenticacin y claves criptogrficas implementadas de manera
que slo el primer usuario, y no los otros dos usuarios, pueden acceder a los datos
protegidos. Si existe la preocupacin sobre el primer usuario recordando siempre dnde
guardar los archivos, configurar el control de acceso de la computadora porttil para que
los datos del primer usuario est todo guarda en una ubicacin particular, y proteger esa
ubicacin con el almacenamiento software de cifrado.
Guarde los datos en un soporte externo, como una unidad flash o un disco duro externo, y
el uso de volumen, virtuales cifrado de disco o un archivo / carpeta a proteger a los
medios de comunicacin. El usuario necesita para proteger el acceso fsico a los medios de
comunicacin y de recordar para guardar los datos nuevos o modificados de los medios de
comunicacin.
Guarde los datos en un sistema remoto y dar el primer acceso de los usuarios a los datos a
travs de medios garantizados (por ejemplo, VPN). Proporcionar los datos de una manera
tal que no se guarda en el ordenador porttil por ejemplo, los puntos de vista de los
usuarios y modifica los datos remotos a travs de una interfaz web).





22
Caso prctico 2: Transferencia de archivos entre ordenadores
Un usuario edita documentos utilizando tanto una PC de escritorio en la oficina de la organizacin
y sea de propiedad personal ordenador en casa. Los documentos de las transferencias de usuario
entre los equipos de una base diaria usando un USB unidad flash. Los dos equipos ejecutan
diferentes tipos de sistemas operativos. Los documentos, la mayor amenaza que el organizacin
necesita para mitigar es la divulgacin no autorizada de los datos de prdida o robo de destello del
usuario conducir. Las posibles soluciones son las siguientes:
Adquirir y utilizar una unidad flash con capacidades de cifrado de almacenamiento
independientes, como el cifrado software y el almacenamiento seguro de claves.
Adquirir un volumen, disco virtual, o una solucin de cifrado de archivos / carpetas que
funcionar tanto en PC, e implementarlo. Cifrar los documentos utilizando la solucin y
almacenar los datos cifrados en una unidad flash.

Caso de uso 3: Compartir Datos con contratista
Un usuario quiere proporcionar un contratista con las copias de grandes conjuntos de datos en
una base diaria porque el contratista no tiene acceso directo al sistema que contiene los datos. El
usuario copia los datos en medios extrables para el contratista. Por estos datos, la mayor
amenaza que la organizacin necesita para mitigar no est autorizada la divulgacin de los datos
de prdida o robo de los medios extrables. Las posibles soluciones son las siguientes:
Implementar disco virtual o software de cifrado de archivos / carpetas para el usuario y las
computadoras del contratista. Encriptar los datos utilizando el software y grabar los datos
cifrados en CD o DVD.
Adquirir unidades flash USB o discos duros externos que se han incorporado en las
capacidades de cifrado de almacenamiento. Guarde las copias de los datos en las unidades
encriptados.
Adquirir unidades flash USB o discos duros externos. Implementar disco, volumen o
archivo / carpeta virtual software de cifrado para el usuario y las computadoras del
contratista. Cifrado de los datos utilizando el software y almacenarlo en las unidades



23
Caso de uso 4: Viajar con un ordenador porttil
Un usuario viaja de vez en cuando, en nombre de la organizacin y lleva un ordenador porttil que
contiene datos confidenciales. Por estos datos, la mayor amenaza que la organizacin necesita
para mitigar es la divulgacin no autorizada de datos de la prdida o robo de la computadora
porttil. Las posibles soluciones son las siguientes:
Utilizar las funciones de control de acceso el sistema operativo del ordenador porttil para
limitar estrictamente los que el usuario puede guardar los archivos. Implementar volumen,
disco virtual, o el cifrado de archivos / carpetas en la computadora porttil para proteger
los archivos del usuario.
Implementar FDE en el porttil, y requerir autenticacin previa al arranque.
Proporcione al usuario con un ordenador porttil en prstamo cuando sea necesario para
el viaje. Proteja los datos confidenciales del usuario en el ordenador porttil utilizando
cualquiera de los mtodos descritos anteriormente. Cuando el usuario regresa de viajes,
limpie y reconstruir el porttil en prstamo para eliminar cualquier rastro de datos
sensibles de ella. El uso de un ordenador porttil de prstamo en esta manera es
particularmente til si el porttil est siendo utilizado en entornos hostiles, donde el
ordenador porttil est en mayor riesgo de verse comprometidos.

Caso prctico 5: Viajar con un ordenador porttil de doble arranque
Un usuario viaja con frecuencia en nombre de la organizacin y lleva un ordenador porttil que
contiene datos confidenciales. El porttil es de arranque dual, con dos sistemas operativos. Para
los datos de los usuarios, la principal amenaza que las necesidades de la organizacin para mitigar
es la divulgacin no autorizada de los datos de la prdida o robo de la computadora porttil.
Posibles soluciones incluir lo siguiente:
Utilice las funciones de control de acceso de cada sistema operativo OS para limitar
estrictamente los que el usuario puede guardar los archivos. Implementar el volumen,
disco virtual, o el cifrado de archivos / carpetas en ambos sistemas operativos de la
computadora porttil para proteger el archivos del usuario.
Implementar una solucin FDE que soporta configuraciones de inicio dual.


24
Convertir el porttil a ser single-boot, y acceder a la segunda (retirada) OS a travs de una
mquina virtual dirigido por el sistema operativo principal.

Gestin de la tecnologa de cifrado de almacenamiento
La mayora de las implementaciones de cifrado de almacenamiento se gestionan de forma
centralizada. La gestin centralizada es ms a menudo realizada a travs de las utilidades de
administracin especiales proporcionadas por el proveedor de cifrado de almacenamiento. Si el
almacenamiento solucin de cifrado est incorporado en los sistemas operativos de los
dispositivos, entonces la causa puede ser gestionada a travs de los mecanismos de ya en el lugar
para manejar configuraciones del sistema operativo. Las capacidades de las utilidades de
administracin centralizada para tecnologas de cifrado de almacenamiento varan
considerablemente. Los ejemplos de las capacidades comnmente aplicadas son de la siguiente
manera:
Implementar software de cifrado de almacenamiento de dispositivos adicionales
Software de cifrado de almacenamiento Actualizacin (por ejemplo, parches,
actualizacin)
Configuracin de software de cifrado de almacenamiento, tales como la especificacin de
algoritmos de cifrado y el establecimiento polticas de autenticacin (en algunos casos, las
polticas son especficas para tipos de dispositivos, grupos de usuarios, y / o usuarios
individuales)
Autenticadores de cifrado de almacenamiento Gestin y claves criptogrficas
Recoleccin y revisin de los registros relacionados con el cifrado de almacenamiento
La recuperacin de la informacin almacenada de fallas del dispositivo
Realizacin del mantenimiento rutinario del sistema
Habilitar el cifrado de datos y la gestin de almacenamiento cifrado
Algunos productos de cifrado de almacenamiento, en particular los destinados a la
implementacin independiente, se pueden gestionar a nivel local. La administracin local se
realiza normalmente un administrador del sistema (para los dispositivos administrados) o una
usuario (para los dispositivos no administrados) que tenga acceso fsico al dispositivo que ejecuta


25
el cifrado de almacenamiento la tecnologa. Una tarea comn de gestin local se est recuperando
datos; muchos productos permiten a los usuarios recuperar sus propios datos mediante la
ejecucin de una utilidad de recuperacin. Por ejemplo, un dispositivo con FDE podra
experimentar un fracaso que impide que arranque el sistema operativo, un usuario podra ejecutar
una utilidad de recuperacin del entorno previo al inicio o un CD para extraer los datos desde el
dispositivo.
Las organizaciones pueden optar por implementar el cifrado de almacenamiento sin una
capacidad de gestin centralizada y realizar toda la gestin a nivel local. Esto es generalmente
aceptable para despliegues autnomos y despliegues muy pequea escala, sobre todo los que
tienen que hacer rpidamente, sin esperar a una infraestructura de administracin centralizada a
implementar. Sin embargo, para todas las otras implementaciones, se recomienda la gestin
centralizada, ya que es ms eficaz y eficiente para la mayora de tareas de gestin, incluyendo la
verificacin y aplicacin de polticas, gestin de claves, la gestin de autenticador, y recuperacin
de datos.

Almacenamiento cifrado Planificacin e Implementacin de Tecnologa
Esta seccin trata sobre las consideraciones para la planificacin e implementacin de tecnologas
de cifrado de almacenamiento para los dispositivos de los usuarios finales. Al igual que con
cualquier implementacin de la nueva tecnologa, La planificacin del cifrado de almacenamiento
y la implementacin de la tecnologa debe ser abordado en forma gradual. Una implementacin
exitosa se puede lograr por despus de una clara planificacin paso a paso y de ejecucin. El uso
de un enfoque por fases para la implementacin puede minimizar los problemas imprevistos e
identificar peligros potenciales al inicio del proceso. Este modelo tambin permite la incorporacin
de los avances en las nuevas tecnologas y la adaptacin de la tecnologa a la Empresa en
constante cambio. El siguiente es un ejemplo de las fases de planificacin y ejecucin:





26
Identifique sus necesidades. La primera fase consiste en la identificacin de las
necesidades de almacenamiento para cifrar los dispositivos del usuario final, la
determinacin de qu dispositivos y los datos necesitan proteccin, y la identificacin de
los requisitos relacionados (por ejemplo, el rendimiento mnimo). Esta fase tambin
incluye la determinacin de la mejor manera se puede satisfacer esa necesidad (por
ejemplo, FDE, cifrado de disco virtual) y decidir dnde y cmo la seguridad se debe
implementar.

Diseo de la solucin. La segunda fase consiste en todas las facetas del diseo de la
solucin. Ejemplos incluir consideraciones arquitectnicas, mtodos de autenticacin
poltica criptogrfica, y el apoyo a controles de seguridad.


Implementar y probar un prototipo. La siguiente fase consiste en la implementacin y
prueba de un prototipo de la solucin diseada en un laboratorio o entorno de prueba.
Los objetivos principales de la prueba son evaluar la funcionalidad, el rendimiento, la
escalabilidad y la seguridad de la solucin, y para identificar cualquier problema con los
componentes, tales como los problemas de interoperabilidad.

Implementar la solucin. Una vez que la prueba se ha completado y todos los problemas
se resuelven, la siguiente fase incluye el despliegue gradual de la tecnologa de cifrado de
almacenamiento en toda la empresa.


Gestione la Solucin. Despus de la solucin se ha implementado, se gestiona a travs de
su ciclo de vida. El tratamiento incluye el mantenimiento de los componentes de cifrado
de almacenamiento y soporte para las cuestiones operativas. El proceso de ciclo de vida se
repite cuando las mejoras o cambios significativos deben ser incorporados en la solucin.






27
Identifique sus necesidades
El propsito de esta fase es identificar las necesidades de proteger la informacin almacenada en
los dispositivos de usuario final y determinar la mejor manera en que se pueden satisfacer esas
necesidades. Requisitos especficos para el cifrado de almacenamiento que debe ser considerado
son los siguientes:
Requisitos externos. La organizacin puede estar sujeta a la supervisin o revisin por
parte de otra organizacin que requiere cifrado de almacenamiento. Un ejemplo es un
requisito legal para proteger PII almacenada.

Sistema y Red entornos. Es importante entender las caractersticas de los sistemas y de
red entornos de la organizacin para que las soluciones de cifrado de almacenamiento
pueden ser seleccionados que ser compatible con ellos y poder proporcionar la
proteccin necesaria. Aspectos a tener en cuenta incluye lo siguiente:
Las caractersticas de los dispositivos que necesitan proteccin, sobre todo los
sistemas operativos, las aplicaciones y los sistemas de archivos que utilizan, y sus
capacidades y caractersticas de hardware.
Los atributos tcnicos de las interfaces de otros sistemas con los que la solucin
de cifrado de almacenamiento puede estar integrado, como los servicios de
autenticacin, servidores de registro centralizado y la informacin de seguridad y
gestin de eventos de software (SIEM), y software de gestin de parches.

Limitaciones en el soporte: La organizacin debera identificar los impactos negativos que
las tecnologas de cifrado de almacenamiento podran tener sobre los mecanismos de
apoyo de proveedores existentes. Por ejemplo, la instalacin de una tecnologa de cifrado
de almacenamiento en un dispositivo de usuario final podra violar los trminos de un
contrato de soporte para el software existente en el dispositivo del usuario final o anular
una garanta para otro producto utilizado en o con el dispositivo de usuario final.




28
El resultado del anlisis de la organizacin debe ser una determinacin de qu archivos o tipos de
archivos deben ser encriptados y qu tipos de amenazas que el software de cifrado de
almacenamiento deben proteger en contra, declarando las preocupaciones ms especfica posible.
Por ejemplo, la organizacin puede decidir para cifrar la informacin sensible en todos los
dispositivos utilizados fuera de las instalaciones de la organizacin y para cifrar ciertos tipos de
informacin sensible sobre los dispositivos utilizados desde cualquier lugar.
El anlisis tambin debera conducir a la identificacin del tipo o tipos de tecnologas de cifrado de
almacenamiento que pueden satisfacer las necesidades de seguridad de la organizacin. Otro
resultado del anlisis es la documentacin de los requisitos para las tecnologas de cifrado de
almacenamiento en s, incluyendo las capacidades de seguridad (por ejemplo, la autenticacin, la
criptografa, la gestin de claves), los requisitos de rendimiento, requisitos de gestin (incluyendo
la confiabilidad, interoperabilidad, escalabilidad), la seguridad de la propia tecnologa, usabilidad
(por administradores y usuarios), y los requisitos de mantenimiento (por ejemplo, la aplicacin de
actualizaciones).
En la mayora de los casos, un producto de cifrado de almacenamiento solo no puede satisfacer
todas las necesidades identificadas de la organizacin. Por ejemplo, la organizacin puede
necesitar para proteger la informacin en dispositivos que ejecutan varios sistemas operativos
diferentes, pero ningn producto adecuado puede trabajar en todas esas plataformas. Algunos
dispositivos tambin podran no cumplir con los requisitos mnimos de hardware para productos
de cifrado de almacenamiento. Las organizaciones pueden resolver este problema
de varias maneras, tales como la adquisicin de varios productos, el uso de varios tipos de
tecnologas de cifrado de almacenamiento, en sustitucin de los dispositivos ms antiguos, o la
identificacin de los controles de compensacin para ser usados en lugar de cifrado de
almacenamiento que proporcionan el mismo nivel de proteccin. Las organizaciones deben
asegurarse de que las soluciones eficaces son identificados para todos los tipos de dispositivos de
usuarios finales que necesitan la proteccin de su informacin almacenada, si es posible, y que se
crea un proceso de exencin para los casos excepcionales que no pueden ser abordados por las
soluciones identificadas.




29
Diseo de la solucin
Una vez que las necesidades han sido identificadas y el tipo apropiado (s) de la tecnologa de
cifrado de almacenamiento ha sido seleccionada, la siguiente fase es el diseo de una solucin que
satisfaga las necesidades. Si estas decisiones de diseo son correctas, entonces la aplicacin de
cifrado de almacenamiento ser ms susceptible a hacer concesiones. Los principales aspectos de
diseo de la solucin que son particularmente importantes para el cifrado de almacenamiento son
los siguientes:
La criptografa: Algoritmos de proteccin de encriptacin e integridad deben ser
seleccionados, as como la fuerza clave para los algoritmos que admiten varias longitudes
de clave. La gestin y la proteccin de la clave es otro componente importante del diseo
de la solucin.

Autenticacin: Los mtodos de autenticacin se deben elegir para usuarios y
administradores. Las decisiones tambin deben hacerse con respecto a la proteccin de
los propios autenticadores.


Arquitectura de la solucin: La arquitectura de la aplicacin de cifrado de
almacenamiento se refiere a la seleccin de dispositivos y software para proporcionar
servicios de cifrado de almacenamiento y la colocacin de elementos centralizados dentro
de la infraestructura de red existente , como los servidores de credenciales de
autenticacin , servidores Web para la recuperacin de auto-servicio , y servidores de
administracin . Cada dispositivo de usuario final debe tener un hardware y / o software
que proporciona proteccin para la informacin almacenada. El diseo de la arquitectura
incluye la colocacin de componentes, redundancia, confiabilidad e interoperabilidad.







30
Otros controles de seguridad: este apoyo y este complemento de la aplicacin de cifrado
de almacenamiento. Por ejemplo, las organizaciones deben contar con polticas
relacionadas con el uso aceptable de las tecnologas de cifrado de almacenamiento. Las
organizaciones tambin pueden establecer normas mnimas de seguridad para los
dispositivos de los usuarios finales , como las medidas de endurecimiento de acogida
obligatorias y niveles de parches , y especificar los controles de seguridad que deben ser
empleados , tales como firewalls basados en host personales, software antivirus y
software anti spyware.

Requisitos mnimos para los dispositivos de usuario final: Los requisitos mnimos para el
hardware, sistema operativo y el software de soporte deben ser definidos. Deben basarse
en los requerimientos suministrados por el proveedor del producto y los requisitos de
desempeo de la organizacin.
Otro aspecto del diseo de la solucin es la planificacin de la logstica de la implementacin de la
solucin. Por ejemplo, la organizacin puede que tenga que sustituir los dispositivos que no
cumplen los requisitos mnimos o se ejecutan en una plataforma que la organizacin no va a
apoyar para el cifrado de almacenamiento. Esto podra hacer que las actualizaciones o reemplazos
de hardware, sistemas operativos y el software de soporte fuera de ciclo. Otra consideracin
logstica es cmo se va a implementar la solucin para poner fin a los dispositivos de usuario. Si los
dispositivos necesitan ser actualizados a nivel local, tales como la mejora el sistema operativo, la
sustitucin de la unidad de disco duro, copias de seguridad de archivos de usuario, o la instalacin
de software de cifrado de almacenamiento, entonces las organizaciones necesitan para planificar
que llevar a cabo estas acciones y, cuando y donde el trabajo ser hecho. Algunas organizaciones
pueden tener que establecer zonas de estacionamiento y obtener personal adicional para llevar a
cabo este trabajo.







31
Criptografa
Tecnologas de cifrado de almacenamiento utilizan una o ms claves de cifrado para cifrar y
descifrar los datos que protegen. El nmero de teclas y los tipos de claves que se utilizan son los
productos y dependiente de la implementacin. Por ejemplo, la criptografa de clave pblica utiliza
un par de claves, y la criptografa simtrica utiliza una sola tecla. Algunos productos apoyan el uso
de una clave de recuperacin que se puede utilizar para recuperar los datos cifrados si se pierde la
llave regular. Adems, algunas tecnologas permiten el almacenamiento cifrado para ser
compartida por varios usuarios, lo que podra ser posible gracias a que tiene una clave diferente
para cada usuario. A menudo, las claves de los usuarios no se utilizan directamente para descifrar
a sus datos almacenados; lugar, esas teclas se utilizan para descifrar otra clave, que a su vez se
utiliza para descifrar los datos almacenados.
Si una llave se pierde o se daa, puede que no sea posible recuperar los datos cifrados. Por lo
tanto, las organizaciones deben asegurarse de que todas las claves que se utilizan en una solucin
de cifrado de almacenamiento estn protegidas y manejadas adecuadamente para apoyar la
seguridad de la solucin. Las organizaciones deben realizar una planificacin exhaustiva de los
procesos clave de gestin, procedimientos y tecnologas antes de implementar tecnologas de
cifrado de almacenamiento. Esta planificacin debe incluir todos los aspectos de la gestin de
claves, incluyendo la generacin de claves, el uso, el almacenamiento, la recuperacin y la
destruccin. Las organizaciones deben considerar cuidadosamente cmo las prcticas de gestin
de claves pueden apoyar la recuperacin de datos cifrados si una clave se destruye
inadvertidamente o se vuelve disponible de otro modo (por ejemplo, un usuario de salir de forma
inesperada una organizacin o perder un token criptogrfico que contiene una clave). Un ejemplo
de preparacin de la recuperacin es el almacenamiento de duplicados de llaves en un repositorio
centralizado, asegurada llave o en un medio extrable fsicamente seguros.
Organizaciones de Planificacin en la encriptacin de medios extrables tambin deben considerar
cmo cambiar las claves afectar el acceso al almacenamiento cifrado en los medios de
comunicacin y el desarrollo de soluciones factibles, como la retencin de las claves anteriores en
caso de que sean necesarios.



32
Otra decisin que puede tener que ser hecho es donde se deben almacenar las claves locales. Para
algunas tecnologas de cifrado, como FDE y muchos productos de cifrado de archivos / carpetas, a
menudo hay varias opciones para la ubicacin de la clave, incluyendo el disco duro, una unidad
flash USB, un token criptogrfico, o un mdulo de plataforma segura (TPM) chip. Algunos
productos tambin permiten claves para ser almacenados en un servidor centralizado y
recuperado automticamente cuando el usuario se autentica correctamente. Para el volumen y el
cifrado de disco virtual, la clave principal de cifrado se almacena encriptado a menudo dentro del
volumen o recipiente. Algunos productos de cifrado de almacenamiento no almacenan una clave,
sino que realizan una funcin de hash criptogrfica de la contrasea introducida por el usuario y el
uso que de hash como clave.
Las organizaciones deben asegurarse de que el acceso a las llaves (que no sean las destinadas a
estar a disposicin de otros, tales como claves pblicas) est debidamente restringido. Soluciones
de cifrado de almacenamiento debern exigir la utilizacin de uno o ms mecanismos de
autenticacin, tales como contraseas, tarjetas inteligentes y tokens criptogrficos, descifrar o
acceder a una clave de cifrado de almacenamiento de otro modo. Las teclas propias se deben
asegurar lgicamente (por ejemplo, encriptado) o fsicamente seguro (por ejemplo, el
almacenamiento en un token criptogrfico a prueba de manipulaciones). Los autenticadores se
utilizan para recuperar claves tambin deben ser asegurados adecuadamente.

Autenticacin
Hay dos tipos de autenticacin importantes para el cifrado de almacenamiento. Los
administradores autentican de manera que puedan realizar funciones de gestin de cifrado de
almacenamiento, incluida la reconfiguracin y actualizacin de software de encriptacin, gestin
de cuentas de usuario, y la recuperacin de datos cifrados. Los usuarios se autentican para que
puedan acceder a la informacin cifrada. Si un nico autenticador se utiliza (a menudo un ID de
usuario y contrasea, a veces un token), que un usuario normalmente concede el acceso al
software de cifrado de almacenamiento de la clave utilizada para cifrar y descifrar la informacin
almacenada. Si se usa la autenticacin de dos factores, tpicamente uno de los factores de
concesiones de acceso a la informacin asegurada en otro factor, que luego se utiliza para obtener
acceso a la clave de cifrado de almacenamiento.


33
Por ejemplo, un PIN o contrasea se podran utilizar para recuperar una clave de una tarjeta
inteligente o token criptogrfico; que la clave podra entonces ser utilizada para descifrar la clave
de cifrado de almacenamiento.
Algunos productos de cifrado de almacenamiento permiten el uso de varios ID de usuario en un
dispositivo nico. Si los identificadores estn vinculados a una clave de cifrado de almacenamiento
nico, cada usuario puede acceder a la misma informacin protegida. Si cada ID est vinculada a
una clave de identificacin, entonces el acceso depende de cmo se utilizan para las teclas
ejemplo, un contenedor puede ser encriptado usando una clave nica para que slo un usuario
puede acceder a ella, o cifrada utilizando varias claves para que los usuarios pueden compartir el
contenido del recipiente.
Para la autenticacin de cifrado de almacenamiento, las organizaciones a menudo quieren
aprovechar las soluciones de autenticacin empresarial existentes (por ejemplo , Active Directory,
RADIUS , PKI , verificacin de identidad personal [ PIV ] Tarjetas ), en lugar de aadir otro
autenticador para los usuarios. En general, el uso de una solucin de autenticacin existente es
aceptable slo si proporciona autenticacin de mltiples factores. El uso de un autenticador de
factor nico para mltiples propsitos debilita considerablemente la proteccin que proporciona
la autenticacin. Por ejemplo, reutilizacin de contrasea el sistema operativo de un usuario para
la autenticacin previa al arranque en una implementacin de FDE permitira a un atacante para
aprender una sola contrasea para tener acceso completo a la informacin del dispositivo. La
contrasea podra potencialmente ser adquirido a travs de medios tcnicos, tales como infectar
el equipo con malware, oa travs de medios fsicos, tales como ver un tipo de usuario de una
contrasea en un lugar pblico. Otro ejemplo es tener un volumen de disco virtual o archivo /
carpeta del producto de cifrado que utilice la autenticacin del sistema operativo para un solo
sign-on (SSO). Una vez que un usuario se autentica en el sistema operativo al iniciar la sesin , el
usuario puede acceder a los archivos cifrados sin necesidad de autenticacin, por lo que la
seguridad de la solucin depende en gran medida de la fuerza del autenticador OS . Las
organizaciones deben considerar cuidadosamente las implicaciones de seguridad de la utilizacin
de la misma de un solo factor autenticador para mltiples propsitos. En particular, las
organizaciones no deben usar contraseas de correo electrnico y otras contraseas de
transmisin a veces en texto plano como autenticadores de factor nico para cifrado de
almacenamiento.


34
Adems, las organizaciones preocupadas por los ataques dirigidos , como que alguien le robe un
ordenador porttil especial para tener acceso a los datos de un usuario especfico , no debe usar
slo contraseas para la autenticacin de cifrado de almacenamiento debido a la relativa facilidad
de capturar la contrasea de un usuario (por ejemplo , viendo un ser contrasea mecanografiado).
Las organizaciones tambin necesitan asegurarse de que los autenticadores de cifrado de
almacenamiento estn protegidos adecuadamente. Esto incluye tanto los mecanismos tcnicos,
tales como la encriptacin de contraseas o almacenar hashes criptogrficos de contraseas y
mecanismos operativos y de gestin. Por ejemplo, la poltica debe establecer y los usuarios deben
ser conscientes de que los autenticadores no deben almacenarse en las proximidades del
dispositivo de usuario final (por ejemplo, una contrasea no debe estar en un pedazo de papel en
una caja del ordenador porttil), y que para los de dos factores autenticacin, mltiples
autenticadores no deben almacenarse entre s (por ejemplo, una contrasea o PIN no debe ser
escrito en el reverso de un token de hardware).
Dado que los controles de autenticacin de acceso a las claves de cifrado de almacenamiento, la
prdida de autenticadores puede impedir el acceso a los datos cifrados. Las organizaciones deben
determinar cmo se manejar la prdida de autenticadores (tanto de los usuarios y de nivel de
administrador) antes de implementar el cifrado de almacenamiento. La mayora de los productos
ofrecen mecanismos de recuperacin para la autenticacin de usuario basada en contrasea. Por
ejemplo, un usuario que ha olvidado una contrasea escoge una opcin de recuperacin en el
equipo protegido. El sistema proporciona un cdigo especial para el usuario, que luego utiliza otro
equipo para acceder al sitio Web de recuperacin de cifrado de almacenamiento de la
organizacin. El usuario proporciona el cdigo para el sitio Web y da prueba de identidad, tales
como responder a las preguntas sobre las preferencias personales (por ejemplo, el color favorito)
que el usuario ha configurado previamente. El sitio Web proporciona entonces la contrasea de
usuario o de un cdigo de recuperacin de una sola vez que el usuario introduce en el ordenador
para volver a tener acceso. Un proceso similar se puede realizar tambin haciendo que los
usuarios llaman a un servicio de asistencia en lugar de acceder a un sitio web en particular.




35
Los mecanismos de recuperacin aumentan la disponibilidad de la solucin de cifrado de
almacenamiento para los usuarios individuales, pero tambin pueden aumentar la probabilidad de
que un atacante puede obtener acceso no autorizado al almacenamiento cifrado abusando de los
mecanismos de recuperacin. Las organizaciones deben considerar el equilibrio entre la
disponibilidad y la seguridad en la seleccin y planificacin de los mecanismos de recuperacin.
Algunos productos de cifrado de almacenamiento tambin ofrecen proteccin contra los intentos
de autenticacin de adivinanzas. Por ejemplo, si hay demasiados intentos de autenticacin fallidos
consecutivos, algunos productos pueden bloquear la computadora por un perodo de tiempo o
aumentan el retraso entre los intentos. En particular las situaciones de alta seguridad, algunos
productos se pueden configurar para que demasiados intentos fallidos hace que el producto para
limpiar todos los datos protegidos desde el dispositivo. Este enfoque favorece fuertemente la
seguridad sobre la funcionalidad.

Implementar y prueba de prototipos
Despus de la solucin ha sido diseado, el siguiente paso es implementar y probar un prototipo
del diseo. Idealmente, la implementacin y las pruebas primero se deben realizar en los
dispositivos de laboratorio o pruebas. Slo las implementaciones en las pruebas finales deben
llevarse a cabo en los dispositivos de produccin. Aspectos de la solucin para evaluar incluyen los
siguientes:
Proteccin: Cada tipo de informacin que necesita la proteccin debe estar protegido de
acuerdo con la informacin recopilada durante la fase de identificacin de necesidades.
Este debe ser verificado mediante el uso de herramientas forenses para confirmar que la
informacin est cifrada. Para los dispositivos que utilizan FDE y ofrecen la hibernacin, en
espera, o de otro tipo "suspender" los modos, el cifrado debe ser verificado en cada
modo, y si el modo no escribe el contenido de la memoria a disco y cifrarlo, la informacin
puede ser fcilmente disponible sin cifrar.





36
Autenticacin: Realizacin de la prueba robusta de autenticacin es importante,
especialmente para soluciones de autenticacin ms complejos que dependen de los
servicios de autenticacin centralizados; una prdida de esos servicios podra causar una
prdida de servicios de cifrado de almacenamiento.

OS y compatibilidad de aplicaciones: La solucin no debe romper o interferir con el uso de
configuraciones de sistema operativo existente y aplicaciones de software. Ejemplos de las
aplicaciones que pueden ser particularmente problemticos son, por FDE, herramientas
de software a nivel de disco, el software de gestin de activos y configuraciones de
arranque dual, y para todas las tecnologas de cifrado de almacenamiento, servicios de
copia de seguridad, herramientas forenses y otros programas de cifrado de
almacenamiento.

Gestin: Los administradores deben ser capaces de configurar y gestionar todos los
componentes de la solucin eficaz y segura. Es particularmente importante para evaluar la
facilidad de implementacin y configuracin, incluyendo la facilidad con que la solucin
puede ser gestionada como la solucin se escala para grandes despliegues. Otra
preocupacin es la capacidad de los administradores para desactivar las opciones de
configuracin para que los usuarios no puedan eludir la seguridad prevista. La gestin de
inquietudes deben incluir los efectos de parches / actualizacin de software, cambiar la
configuracin de software (por ejemplo, el cambio de algoritmos criptogrficos o tamaos
de clave), desinstalar o deshabilitar el software de cifrado, el cambio de claves de cifrado /
descifrado, y cambiar las contraseas de usuario o de administrador.

Registro: Las funciones de registro y gestin de datos deben funcionar correctamente, de
acuerdo con las polticas y estrategias de la organizacin.


Rendimiento: La solucin debe ser capaz de proporcionar un rendimiento adecuado
durante el uso normal. Las pruebas deben incorporar una variedad de dispositivos,
sistemas operativos y aplicaciones, especialmente aquellas que son ms propensos a ser
afectados por los problemas de rendimiento, tales como los que manipulan archivos de
gran tamao.



37
Seguridad de la Aplicacin: La aplicacin de cifrado de almacenamiento en s puede
contener vulnerabilidades y debilidades que los atacantes podran explotar. Las
organizaciones con necesidades de alta seguridad pueden querer realizar evaluaciones
extensas de vulnerabilidad frente a los componentes de cifrado de almacenamiento. Otra
de las preocupaciones de seguridad comn es la seguridad de los autenticadores y claves
criptogrficas.

Recuperacin: La solucin debe ser analizada para determinar lo bien que puede
recuperarse de los fallos, como autenticadores perdidas u olvidadas, llaves perdidas,
hardware del dispositivo o del software / daos y prdida de potencia.

Interoperabilidad: Para una solucin que proteja a los medios extrables que se utilizar
en varios dispositivos, la organizacin debe asegurarse de que la informacin cifrada en los
medios de comunicacin por un dispositivo puede ser descifrado por otro dispositivo
despus de la autenticacin con xito.

Repercusiones operativas: Las organizaciones deben determinar cmo la solucin podra
afectar las operaciones, tales como obstaculizar las acciones de respuesta de apoyo e
incidentes tcnicos que involucran dispositivos de usuario final.
Las organizaciones deben considerar la aplicacin de los componentes en un entorno de prueba
primero, en lugar de un entorno de produccin, para reducir la probabilidad de problemas de
aplicacin de alteracin del entorno de produccin. Cuando los componentes estn siendo
desplegados en la produccin, las organizaciones deben utilizar el cifrado inicialmente en un
pequeo nmero de los ejrcitos. Implementacin a muchos hosts a la vez podra abrumar a los
servidores de administracin o identificar otros cuellos de botella debido a la prdida de la
disponibilidad. Muchos de los problemas que se presentan son probables de ocurrir en varios
hosts, por lo que es til para identificar este tipo de problemas, ya sea durante el proceso de
prueba o al desplegar los primeros anfitriones, por lo que esos problemas pueden ser abordados
antes de la implementacin generalizada. Un despliegue por etapas tambin es til en la
identificacin de posibles problemas con la escalabilidad.



38
Acciones que pueden resultar prudentes realizar antes de instalar el software de cifrado de
almacenamiento en los dispositivos de los usuarios finales son los siguientes:
Asegrese de que los archivos que van a ser cifrados pueden ser restaurados. Los ejemplos
incluyen copias de seguridad de archivos de usuario y tener una imagen de disco para el
sistema operativo del ordenador
Vuelva a colocar los componentes de hardware (por ejemplo, reemplazar un viejo disco
duro) o todo el dispositivo en caso de necesidad (por ejemplo, equipos que se considera
demasiado lento o poco fiable).
Asegrese de que el sistema operativo est correctamente asegurado, incluyendo el que
est con todos los parches y que otros controles de seguridad necesarios, tales como el
software antivirus, estn instalados y configurados correctamente. Si el sistema operativo
no se asegura correctamente, el dispositivo tiene ms probabilidades de estar en peligro,
lo que podra debilitar la proteccin que ofrece la solucin de cifrado de almacenamiento.
Escanear el dispositivo en busca de malware y, o bien eliminar cualquier malware que se
detecta o reconstruir el equipo.

Implementar la solucin
Una vez finalizadas las pruebas y cualquier problema se ha resuelto, la prxima fase del modelo de
planificacin y puesta en prctica implica el despliegue de la solucin. Una estrategia prudente es
migrar gradualmente los dispositivos y los usuarios a la nueva solucin. El despliegue por etapas
proporciona a los administradores la oportunidad de evaluar el impacto de la solucin y resolver
problemas antes de la implementacin en toda la empresa. Tambin proporciona tiempo para que
el personal de TI (por ejemplo, administradores de sistemas, mesa de ayuda) y los usuarios de ser
entrenados.
La mayora de los problemas que pueden surgir durante la implementacin son los mismos tipos
de problemas que se producen durante cualquier despliegue de TI de gran tamao. Adems de los
posibles problemas descritos anteriormente en esta publicacin, otro problema tpico es que las
tecnologas de cifrado de almacenamiento pueden no funcionar correctamente en algunos
dispositivos debido a incompatibilidades con determinadas configuraciones de hardware.


39
Gestione la Solucin
La ltima fase del modelo de planificacin y ejecucin es la ms larga duracin. La gestin de la
solucin consiste en operar la solucin implementada y el mantenimiento de la arquitectura de
almacenamiento de seguridad, polticas, programas, y otros componentes de la solucin. Ejemplos
de acciones tpicas son las siguientes:
Probando y aplicar parches al software de cifrado de almacenamiento. Es beneficioso
tener al menos un host (uno para cada tipo de plataforma) que se utiliza estrictamente
para actualizaciones de prueba. Esto puede ayudar a identificar los posibles conflictos
entre una actualizacin y las funciones normales de los dispositivos. Actualizaciones de
software deben ser probados y desplegados usando las mismas prcticas que se utilizaran
para la actualizacin de las otras grandes controles de seguridad, como programas
antivirus.
Implementacin de tecnologas de cifrado de almacenamiento a otros tipos de
dispositivos.
Configuracin de dispositivos adicionales para utilizar las tecnologas.
Realizacin de tareas de gestin de claves (por ejemplo, la emisin de nuevas
credenciales, revocar las credenciales para sistemas comprometidos o salen usuarios).
Realizacin de acciones de recuperacin (por ejemplo, recuperar el acceso a los datos
cifrados cuando el autenticador se ha perdido o el soporte de almacenamiento est
daado).
Adaptar las polticas como los requisitos de cambio. Un ejemplo est cambiando a un
algoritmo de cifrado ms fuerte o aumentando el tamao de la clave.
El seguimiento de los componentes de almacenamiento cifrado para las cuestiones
operativas y de seguridad.
Realizar peridicamente pruebas para verificar que el cifrado de almacenamiento funciona
correctamente.
Realizacin de evaluaciones de vulnerabilidad regulares.
Recibir notificaciones de los vendedores de los problemas de seguridad con componentes
de cifrado de almacenamiento, y responder adecuadamente a las notificaciones
Dispositivos para la baja o enajenacin Preparacin. Dispositivos y medios de
comunicacin que utilizan las tecnologas de cifrado de almacenamiento deben ser


40
desinfectados o destruidos, incluso para los dispositivos que utilizan FDE. Otro problema
de confiar en el cifrado de almacenamiento para proteger los datos en dispositivos
retirados o dispuestos es que todas las copias de todas las claves utilizadas para el cifrado
de almacenamiento deberan ser destruido, lo que puede ser muy difcil.
Los archivos de usuario en el dispositivo deben ser respaldados antes de realizar las
principales acciones de mantenimiento, como la instalacin o actualizacin del software
de cifrado de almacenamiento y el cambio de los algoritmos de cifrado o tamaos de
clave.





















41
Apndice A - Alternativas al cifrado de almacenamiento a los dispositivos de usuarios finales
Los trminos seleccionados utilizados en la publicacin se definen a continuacin:
Contenedor: El archivo utilizado por una tecnologa de cifrado de disco virtual para abarcar y
proteger a otros archivos.
Dispositivo para el usuario final: Un ordenador personal (de sobremesa o porttil), dispositivo de
consumo (por ejemplo, un asistente personal digital [PDA], telfono inteligente), o medio de
almacenamiento extrable (por ejemplo, una unidad flash USB, tarjeta de memoria, disco duro
externo, CD grabable o DVD) que puede almacenar informacin.
Archivo: Una coleccin de informacin lgicamente agrupadas en una sola entidad y que hace
referencia un nombre nico, como un nombre de archivo.
Cifrado de archivos: El proceso de cifrado de archivos individuales en un medio de
almacenamiento y permitir el acceso a los datos cifrados slo despus se proporciona la debida
autenticacin.
Sistema de archivos: Un mecanismo para nombrar, almacenar, organizar y acceder a archivos en
volmenes lgicos.
Carpeta: Una estructura organizativa que utiliza un sistema de archivos para archivos de grupo.
Encriptacin de carpetas: El proceso de encriptacin de carpetas individuales en un medio de
almacenamiento y permitir el acceso a los archivos cifrados dentro de las carpetas slo despus se
proporciona la debida autenticacin.
Cifrado de disco completo (Full Disk Encryption - FDE): El proceso de cifrado de todos los datos en
el disco duro se utiliza para arrancar un ordenador, incluyendo el sistema operativo del ordenador,
y permitiendo el acceso a los datos slo despus de autenticacin correcta con el producto de
cifrado de disco completo.
Malware: Un programa que se inserta en un sistema, por lo general de forma encubierta , con la
intencin de poner en peligro la confidencialidad, integridad o disponibilidad de los datos de la
vctima , las aplicaciones o del sistema operativo.


42
Master Boot Record ( MBR) : una regin especial en medio de inicio que determina qu software
(por ejemplo, sistema operativo, servicios pblicos) se ejecuta cuando se inicia el equipo de los
medios de comunicacin.
Metadatos: Datos acerca de los datos, en el contexto de un sistema de archivos , la informacin
sobre los archivos y carpetass mismos, como archivos y carpetas nombres , fechas y horas de
creacin y tamaos .
Particionamiento : El acto de dividir lgicamente un medio de comunicacin en porciones que
funcionan como unidades separadas .
Boot Pre -Authentication (PBA ) : El proceso de solicitar al usuario autenticarse con xito antes de
descifrar y arrancar un sistema operativo.
Datos Residual: Los datos de los archivos borrados o versiones anteriores de los archivos
existentes.
Sector: La unidad ms pequea que se puede acceder a los medios de comunicacin.
Seguridad del almacenamiento: El proceso de permitir que slo las personas autorizadas tengan
acceso a la informacin almacenada.
Mdulo de plataforma segura ( TPM) Chip: Un circuito integrado a prueba de manipulaciones
integrado en alguna computadora placas base que pueden realizar operaciones de cifrado
(incluyendo la generacin de claves ) y proteger a los pequeos cantidades de informacin
sensible , como contraseas y claves criptogrficas .
Cifrado de disco virtual: El proceso de encriptacin de un contenedor, que puede contener
muchos archivos y carpetas, y permitir el acceso a los datos dentro del contenedor slo despus
de que se proporciona la debida autenticacin.
Volumen: Una unidad lgica de almacenamiento que comprende un sistema de archivos.
Encriptacin de volumen: El proceso de cifrado de un volumen completo y permitir el acceso a los
datos sobre el volumen slo despus de que se proporciona la debida autenticacin.



43
Apndice B Acrnimos
Acrnimos seleccionados utilizados en la publicacin se definen a continuacin.
AES: Advanced Encryption Standard Cifrado Estandar Avanzado
BIOS: Basic Input/Output System - Sistema Bsico de Entrada / Salida
CAVP: Cryptographic Algorithm Validation Program - Programa de Validacin de cifrado Algoritmo
CCM: Counter with Cipher Block Chaining-Message Authentication Code
CMAC: Cipher-Based Message Authentication Code
CMVP: Cryptographic Module Validation Program - Programa de validacin de mdulos criptogrficos
COTS: Commercial Off-the-Shelf
DRM: Digital Rights Management - Gestin de derechos digitales
EFS: Encrypting File System - Sistema de archivos cifrados
EPHI: Electronic Protected Health Information - Informacin Protegida de Salud Electrnica
FDE: Full Disk Encryption Encriptacion de Disco Completo
FIPS: Federal Information Processing Standards - Estndares Federales de Procesamiento de Informacin
FISMA: Federal Information Security Management Act - Ley Federal de Gestin de la Seguridad
GLBA: Gramm-Leach-Bliley Act
HIPAA: Health Insurance Portability and Accountability Act - Ley de Responsabilidad de Seguro de
Salud de Portabilidad
HMAC: Keyed-Hash Message Authentication Code
IT: Information Technology - Tecnologa de la Informacin
ITL: Information Technology Laboratory - Laboratorio de Tecnologas de la Informacin
KB: Kilobyte


44
MBR: Master Boot Record
NIST: National Institute of Standards and Technology - Instituto Nacional de Estndares y Tecnologa
NTFS: New Technology File System Nueva tecnologia de sistemas de archivos
NVD: National Vulnerability Database - Base de datos Nacional de Vulnerabilidad
OMB: Office of Management and Budget - Oficina de Administracin y Presupuesto
OS: Operating System Sistema Operativo
PBA: Pre-Boot Authentication Pre Boot Autenticacin
PBE: Pre-Boot Environment Entorno de Pre Boot
PDA: Personal Digital Assistant - Asistente Personal Digital
PII: Personally Identifiable Information - Informacin de Identificacin Personal
PIN: Personal Identification Number - Nmero de Identificacin Personal
PKI: Public Key Infrastructure - Infraestructura de Clave Pblica
RADIUS: Remote Authentication Dial In User Service - Autenticacin remota telefnica de usuario
en servicio










45
Bibliografa
Computer Forensics Tool Testing (CFTT) Project
http://www.cftt.nist.gov/

Cryptographic Algorithm Validation Program (CAVP)
http://csrc.nist.gov/groups/STM/cavp/index.html

Cryptographic Module Validation Program (CMVP)
http://csrc.nist.gov/groups/STM/cmvp/index.html

Full Disk Encryption mailing list and discussion group
http://www.full-disc-encryption.com/

Modes of Operation for Symmetric Key Block Ciphers
http://csrc.nist.gov/CryptoToolkit/modes/