¿Qué es el BYOK y cómo se relaciona con la ciberseguridad?

El termino Bring Your Own Key, BYOK, se ha posicionado como uno de los recursos más efectivos en términos de protección de datos en la nube.

Las amenazas de ciberseguridad evolucionan siguiendo los pasos de los avances tecnológicos. Por ello, contar con recursos innovadores que optimicen la seguridad de la información es un condicionante crítico para el desarrollo y crecimiento de los negocios.

Si has ingresado a nuestro artículo con la intención de conocer más detalles sobre este tema, te recomendamos que separes un tiempo en tu agenda para dedicarte a su lectura.

En nuestro contenido, encontrarás abundante información sobre el BYOK:

  • Concepto
  • Importancia
  • Funcionamiento
  • KEK
  • Principales beneficios
  • ¡Y mucho más!

¡Adelante!

¿Qué es el BYOK?

En la actualidad, el cifrado de datos es el método más efectivo para promover la ciberseguridad en México y muchas otras partes del mundo. Ante este contexto, el Bring Your Own Key, conocido en español como Trae Tu Propia Llave, se ha convertido en una de las alternativas más conocidas en el universo de la nube.

Si bien es una tendencia, la expresión popular referente a la gestión de las llaves de seguridad de las aplicaciones cloud aún no cuenta con una definición definitiva.

Para ayudar a entender mejor el universo del flamante abordaje, la Cloud Security Alliance, CSA, en su documento Key Management in Cloud Services”, ha englobado numerosos puntos describiendo varios significados que, en definitiva, han permitido mitigar una serie de dudas recurrentes y establecer ciertos puntos en común.

Más allá de las variaciones en cuanto a su definición, el concepto consiste en un sistema de administración de claves de cifrado cuya principal finalidad es posibilitar que las empresas cifren sus datos, controlen el proceso y gestionen las llaves del modo que crean conveniente.

En algunos casos, el BYOK carga las claves en su infraestructura Cloud Service Provider -CSP-, haciendo que la empresa pierda, al menos parcialmente, el control de las llaves.

De hecho, esta cuestión genera expresivas interrogantes en el ámbito empresarial, ya que la contratación de un proveedor implica la entrega del dominio de las llaves. Como resultado, el partner de negocio obtiene prácticamente total acceso a los datos organizacionales.

Efectivamente, este puede ser un gran problema si tenemos en cuenta que una empresa o industria lidia a diario con un elevado flujo de información sigilosa y que su exposición puede acarrear serias consecuencias, incluso, en cuanto a su reputación.

En virtud de la importancia de incrementar los niveles de seguridad y confianza, surge la necesidad de que cada empresa tenga su llave y aquí es donde el enfoque BYOK toma mucha relevancia.

Denominada CSEK (Customer Supplied Encryption Key), es un modelo de gestión en el que el proveedor otorga la llave de cifrado a su cliente, tomando de esta manera el control y optimizando el almacenamiento de datos en el medio cloud.

Frente a la esencia de este modelo, queda claro que una de las ventajas más notables del CSEK es su capacidad de almacenar las claves fuera de la nube separando el bloqueo o cifrado de la llave.

¿Cuál es su importancia?

Bajo la mecánica del Bring Your Own Key, las empresas que buscan proteger sus datos mediante la implementación de un sistema de criptografía pueden optimizar aún más la fiabilidad de la información protegiendo sus llaves.

En esencia, al contar con el abordaje, las organizaciones pueden generar internamente su llave maestra y transferirla a su proveedor de manera segura. Esto incrementa la seguridad de los datos durante los trámites entre diferentes ambientes en la nube, incluso, cuando usamos múltiples nubes.

Pero, en esencia, ¿por qué debemos contar con este tipo de solución?

En primer lugar, debemos hacer hincapié en el modelo de seguridad de responsabilidad compartida en la nube, cuya esencia radica en que los consumidores deben ocuparse de la seguridad de los datos almacenados en los sistemas de consumo cloud como Software como Servicio (SaaS), Infraestructura como Servicio (IaaS) y Plataforma como Servicio (PaaS).

El abordaje BYOK obedece el modelo adjudicando al usuario corporativo la responsabilidad de crear y gestionar sus llaves y, así, garantizar la protección de los datos sigilosos en la nube.

De este modo, el modelo permite que las empresas se responsabilicen de la seguridad de las transacciones en línea proporcionando los medios adecuados para encriptar los datos sin perjudicar su flujo y el alcance.

En definitiva, el BYOK se ha consolidado como una tendencia de gestión y automatización de ciberseguridad en el medio corporativo.

¿Cómo funciona el BYOK?

El crecimiento de las prácticas y herramientas de Cloud Computing ha ocasionado discusiones acerca de la vulnerabilidad de los sistemas y la posible filtración de datos.

En efecto, las brechas de seguridad representan una gran amenaza para la integridad, fiabilidad y confidencialidad de la información empresarial. Los peligros inminentes aumentan exponencialmente cuando la empresa no cuenta con soluciones efectivas en términos de cifrado de datos.

Como señalamos al inicio de nuestro artículo, el BYOK subsana esta necesidad permitiendo que un negocio controle las llaves de los datos cifrados bajo una sistemática que separa los procesos de encriptado y de almacenamiento.

La gestión de las llaves en el entorno cloud puede realizarse de varias formas, como:

  • Ingresando la identificación en cada dispositivo y gestionando las claves de la nube creadas por su proveedor.
  • Buscando una fuente para generar llaves y, luego, usar los comandos CLI del proveedor de la nube con la finalidad de descargar claves criptográficas para posteriormente cargarlas.

Para alcanzar un buen nivel de separación e independencia, es necesario contar con un tercero que genere claves para poner en marcha el cifrado y el descifrado de las llaves de datos, conocidas como DEK y producidas por el proveedor CSP.

Vale la pena señalar que la llave creada por un tercero para cifrar la DEK producida por un CSP se denomina llave de cifrado de llaves o KEK.

¿Qué es y cuál es el rol del KEK en BYOK?

La Key Encryption Key es una llave que asegura la inviolabilidad de otra llave ante terceros. De modo simplificado, podemos decir que la KEK posibilita que solo la empresa que retiene el control, la gestión y la propiedad de dicha llave pueda descifrar la DEK.

En términos prácticos esto significa que solo los usuarios corporativos habilitados pueden acceder a la información almacenada en el CSP, proceso denominado ajuste de llaves.

Frente a la necesidad de incluir un tercer proveedor en el proceso para generar la llave de encriptado de llaves y, así, promover la envoltura de la DEK, debes considerar dos opciones:

Módulos de seguridad de hardware (HSM)

Las soluciones basadas en softwares para la gestión de secretos son potencialmente menos seguros que las soluciones basadas en hardwares. Bajo esta perspectiva, es importante tener en cuenta que los procedimientos criptográficos diarios como la firma de token y la administración de llaves de criptografía son vulnerables a las ciberamenazas.

Los módulos de seguridad de hardware, conocidos como HSM, son recursos físicos que lidian directamente con las funciones criptográficas. Por lo general, se presentan bajo el formato de dispositivo separado o de tarjeta complementaria que se puede conectar a un ordenador o notebook corporativo.

Como todas las actividades de cifrado se llevan a cabo en el HSM, el servicio de encriptación de la nube nativa puede satisfacer las solicitudes en nombre de la empresa, por lo que tanto el cifrado como el descifrado son transparentes. No obstante, el acceso a las llaves, así como las operaciones criptográficas se mantienen en el HSM.

Así pues, los HSM posibilitan:

  • Mejorar la seguridad de la firma de token considerando los límites criptográficos empresariales.
  • Controlar el acceso para garantizar que apenas usuarios registrados y habilitados accedan y usen las llaves.
  • Optimizar el desempeño, así como el rendimiento para soportar un elevado flujo de información.

De hecho, los módulos son piezas muy seguras, pero pueden generar expresivos costos para el negocio. Incluso, pueden demandar la implementación de nuevas tecnologías que permitan conectarse al ambiente cloud.

Ventajas del HSM

  • Cuando el proveedor cloud ofrece un servicio de gestión de claves, el BYOK es compatible con los servicios en la nube: IaaS, PaaS y SaaS.
  • No ocurre la exposición de la clave en el ambiente externo al HSM.
  • Proporciona protección aprobada por FIPS.
  • FIPS de alto nivel (FIPS 140-2 considerando el nivel 3 o superior), que cumplen con dispositivos basados en un hardware y atienden los requisitos reglamentarios.
  • Permite la ejecución de todas las funciones desde un HSM local, como generar, almacenar y rotar claves e interfaces API para dirigir el cifrado en la nube.
  • Promueve la protección del contenido criptográfico.
  • Hardware y software dedicado en pro de funciones seguras.

Sistema de gestión de llaves (KMS)

Consiste en un software instalado en servidores, fomentando así la flexibilidad, buena administración y economía de costos. 

Bajo este módulo, las organizaciones importan sus propias claves maestras en la nube, sin embargo, el proveedor utiliza llaves de cifrado de datos derivadas del maestro tanto para cifrar como descifrar fuera de los HSM.

Al utilizar este modelo, la empresa acepta que el proveedor de nube controle tanto el hardware como el software subyacentes pudiendo elegir el cifrado entre uno u otro manteniendo de esta manera, la seguridad de las llaves de cifrado derivadas.

Ventajas del KSM

  • Su utilización no requiere amplios conocimientos específicos.
  • Habilita el uso de la criptografía en productos existentes.
  • En los productos heterogéneos, permite centralizar el punto de administración de claves.
  • Integración nativa con servicios como bases de datos, administración de sistemas, herramientas de desarrollo de aplicaciones y almacenamiento.

En la actualidad, los proveedores de servicios en la nube están evaluando la posibilidad de que los materiales clave se ubiquen en este ambiente. Para eso, han añadido capas externas a los BYOK con la intención de optimizar la gestión de las llaves en la interfaz del sistema sin la necesidad de controlar o almacenar todas las llaves disponibles.

Entre los mejores ejemplos en la actualidad, encontramos al programa de gestión de llaves externas de la nube de Google.

El EKM de THALES, por ejemplo, posibilita que los usuarios administren el acceso a las claves gestionadas en el medio externo, independientemente de que los datos se encuentren en las instalaciones o en la nube.

¿Cuáles son los principales beneficios del BYOK?

El desarrollo del abordaje Bring Your Own Key ha sido uno de los grandes resultados de la transformación digital orientada a la ciberseguridad.

Una solución BYOK proporciona a las organizaciones datos confiables y de elevada calidad que efectivamente contribuyen a una visión holística y precisa de los negocios.

Gracias a la protección mediante llaves, los equipos corporativos pueden tomar decisiones eficientes considerando datos valiosos y confiables.

A continuación, conoce los beneficios más notables del recurso BYOK para el medio empresarial:

1. La empresa controla los datos

El sistema BYOK fomenta la transparencia, puesto que permite a las organizaciones controlar sus datos. Esto ocurre gracias a la separación de la llave y de la cerradura, alternativa que viabiliza el uso de los propios softwares de gestión de llaves de cifrado para almacenarlas en locales externos a la nube.

Además, el abordaje habilita a la empresa a incorporar datos propietarios como parte de su planificación y predicciones encriptando, auditando y protegiendo datos confidenciales en el espacio de trabajo.

Otro punto que merece nuestra atención es la posibilidad de gestionar el acceso a la información de acuerdo con el puesto y las necesidades informativas de cada colaborador. De hecho, esta segmentación del acceso permite proteger tanto los derechos individuales como de privacidad.

2. Minimiza el riesgo de exposición de los datos

Esta es una excelente solución para los negocios que priorizan la protección de los datos, mitigando así el riesgo de exposición, ya sea ante usuarios desconocidos o de modo no intencional. Fíjate en el siguiente ejemplo:

Cuando una compañía contrata un proveedor de servicios en la nube, este es responsable de crear un sistema y gestionar las claves de cifrado. Para eso, la empresa partner pone en marcha los procedimientos teniendo en cuenta sus medidas de seguridad, incluyendo auditoría y seguimiento.

Para muchos clientes, esta puede ser una medida sumamente eficiente, en especial, cuando se trata de una micro o pequeña empresa que no cuenta con profesionales de TI.

Asimismo, delegar la encriptación de llaves puede ser una opción interesante para las organizaciones que no consideran como un problema el hecho de que su proveedor de nube administre todos los procesos relativos a la encriptación.

En esencia, esta confianza es fruto de la contratación de un excelente proveedor, que aporta todas las condiciones y protecciones necesarias para crear claves y gestionar los datos empresariales de la mejor manera posible.

Considerando todos los puntos señalados hasta el momento, el servicio de cifrado BYOK se convierte en una medida sumamente eficaz principalmente para las empresas que necesitan o quieren centralizar el control del acceso y de la difusión de sus datos.

3. Facilita los procedimientos

Otro beneficio extraordinario del servicio de encriptación BYOK consiste en facilitar la gestión de una gran cantidad de llaves de cifrado (cientos o miles).

En este sentido, debemos hacer hincapié en los problemas operativos y de ciberseguridad inherentes a la administración de numerosas llaves en diferentes plataformas como nube, nube múltiple y centro de datos. En efecto, esta gestión suele ser compleja, demorada y vulnerable a la acción de terceros maliciosos.

Cuando contamos con un modelo de cifrado Bring Your Own Key, las empresas logran administrar todas sus llaves en una única plataforma por lo que cuentan con una interfaz integrada y unificada tanto para crear y rotar como para archivar las llaves de cifrado.

De este modo, si la organización cuenta con datos localizados en múltiples ambientes cloud, pueden centralizarlos en un único administrador llave.

4. Promueve el cumplimiento

El BYOK es un poderoso aliado del compliance, pues permite que las empresas respeten a rajatabla las normativas y regulaciones específicas en términos de administración de llaves de cifrado.

Como dijimos en otros momentos de nuestro post, podemos encontrar empresas que se sienten más seguras gestionando y centralizando el dominio de sus datos y otras que prefieren contar con el apoyo de un proveedor cloud experto en la administración de llaves de cifrado.

En cuanto a esta segunda alternativa, vale la pena recalcar que configura una solución muy atractiva cuando la empresa contratante confía plenamente en su partner de negocio.

De hecho, a partir del momento en que una empresa contrata un proveedor que gestione y almacene las llaves y los datos en la nube, espera que el vínculo favorezca su cumplimiento ante los órganos gubernamentales y reguladores.

Esto ocurre porque al delegar los procedimientos inherentes al cifrado, no puede administrar plenamente sus llaves, debiendo así confiar en el desempeño de la empresa partner.

Así pues, la responsabilidad de configurar las normativas de control como el vencimiento y la rotación de las llaves recae sobre el proveedor. ¡De ahí la necesidad de contar con un excelente partner!

Beneficios del servicio BYOK para la nube

Al llegar hasta aquí, es probable que consideres la necesidad de optar por una solución que permita al negocio gestionar sus propias llaves. Pero recuerda, para tomar la mejor decisión debes tener presente todos los puntos señalados en nuestro artículo.

Asimismo, necesitas considerar las necesidades particulares de tu empresa y el monto de inversión necesario para poner en marcha el proyecto, así como evaluar si cuentas con un grupo de profesionales debidamente capacitados para actuar de forma rápida en el caso de violaciones o robos de llaves.

Si consideras que tu empresa puede lidiar con el hecho de controlar su propia seguridad hasta cierto punto y, a su vez, confiar el resto al proveedor cloud, el BYOK para la nube puede ser una opción magnífica.

El servicio BYOK cloud soluciona la cuestión inherente a la protección de los datos separando la llave de criptografía de los datos criptografiados, así la empresa puede garantizar que su información continúe sigilosa y dentro de su pleno dominio.

Mientras los datos quedan almacenados en el proveedor cloud, la empresa mantiene su llave de cifrado bajo su supervisión, evitando de este modo, que terceros malintencionados accedan, violen y/o modifiquen su secreto.

Entre los principales puntos positivos del BYOK en la nube, destacamos:

  • Gestión de llaves transparente y accesible.
  • La empresa puede auditar y encriptar sus datos.
  • Disminuye el tiempo de configuración y los costos de mantenimiento para el cliente.
  • Fomenta el compliance, pues los CSP conocen y atienden las exigencias de los entes reguladores.
  • Reduce la demanda de infraestructura en lo que se refiere a la seguridad.

¿Cómo seleccionar un buen proveedor de BYOK en la nube?

Ahora que conoces la importancia de introducir el BYOK al cotidiano de tu negocio y los beneficios de contar con el apoyo del servicio de cifrado de llaves en la nube, descubre 2 consejos fundamentales para seleccionar el mejor proveedor para tu empresa:

Identifica las características de tu negocio

Reflexiona sobre las demandas de tu organización principalmente en cuanto a la seguridad de los datos. Bajo esta perspectiva, debes evaluar el nivel de dominio que la empresa desea tener sobre sus claves y datos.

Verifica la reputación de cada proveedor

Luego, analiza las diferentes alternativas de proveedores disponibles en el mercado considerando aspectos técnicos y puntos críticos como su política de cumplimiento y compromiso con los clientes.

Como ves, el sistema BYOK es un poderoso aliado de la ciberseguridad por lo que incorporarlo a tu negocio se ha convertido en una necesidad no solo para afianzar la protección de los datos internos, sino también para incrementar la reputación de la empresa ante su público.

O sea, podemos decir que el abordaje Bring Your Own Key configura una robusta ventaja competitiva para las organizaciones modernas.

Si al finalizar la lectura de nuestro artículo, crees conveniente complementar tus conocimientos en BYOK profundizándote en el tema de la seguridad cloud, recomendamos que accedas a la página de ciberseguridad disponible en nuestro sitio.

SUSCRÍBETE A NUESTRO BOLETÍN

Mantente al día de nuestras últimas noticias y productos.

Consentimiento(Required)