Artículo en Attitudes
Contents
1. Si esta pensando en utilizar las API Cryptographic de IBM QC3ENCDT QOc3EncryptData para encriptar campos de bases de datos le interesa seguir leyendo Creemos que el Sistema Operativo del System 1 no ofrece una soluci n fuera de lo normal para la encriptaci n de campos de bases de datos especialmente considerando los requerimientos para una administraci n integrada de claves controles y pistas de auditor a En cualquier caso los usuarios deben decidir si deber an intentar construir su propio sistema de encriptaci n Utilizando las API de IBM o adquirir un producto especializado que encaje con sus necesidades Los programadores pueden pensar que construir un sistema de encriptaci n propio puede ser un trabajo in teresante y motivador Sin embargo el tiempo y coste de dedicaci n pueden desbordar f cilmente las previsiones iniciales Mas aun si la soluci n creada no se adapta co rrectamente los riesgos potenciales pueden ser extrema damente altos para una Organizaci n Las fugas de datos Data breach son una realidad que exige un alto nivel de especializaci n Se citan a continuaci n los puntos mas interesante a tener en cuenta cuando se esta considerando construir un sistema propio de encriptaci n CREANDO UNA SOLUCI N PROPIA Si una Organizaci n esta considerando crear su propio sistema de encriptaci n debe en primer lugar tener un buen conocimien to de todas las reglas y necesidades PCI Payment2. cam po a encriptar es alfanum rico y es divisible por 16 o por 24 entonces el Crypto Complete permitir almacenar los campos encriptados en el campo existente En otro caso el Crypto puede almacener esos valores encriptados en un fichero externo separado que ser creado y manejado au tom ticamente PREGUNTA USUARIO Tiene que cambiarse los campos de tipo num rico a tipo alfa para almacenar los valores encriptados RESPUESTA ATT El Crypto Complete puede en criptar campos num ricos y almacenar los valores encrip tados en un fichero externo separado que ser creado y manejado autom ticamente Esto evita tener que cambiar los campos num ricos en campos tipo alfa PREGUNTA USUARIO Qu pro gramas tendr n que ser modificados para encriptar los valores de los cam pos RESPUESTA ATT El Crypto Com plete puede autom ticamente encriptar valores de campos cuando son a adidos o cambiados en el fichero sin que ello requiera modificaci n de los programas existentes Ello se consigue a trav s del uso de eficientes SQL triggers de la base de datos que capturan cualquier inser ci n o modificaci n de un campo PREGUNTA USUARIO C mo se controlar que usuarios pueden encriptar o desencriptar informaci n RESPUESTA ATT Con Crypto Complete los usua rios pueden pueden encriptar o desencriptar informaci n si est n autorizados a los objetos del Key Stores donde se contiene los Data Encryption Keys Los Key S
3. requerimientos y cual es su objetivo PREGUNTA USUARIO Ha pasado la soluci n t cnica de encriptaci n de Crypto la auditor a PCI RESPUESTA ATT El Crypto Complete ha sido ins talado en cientos de Organizaciones y Empresas en donde ha sido sometido con xito a auditor as PCI ACTUALIZACIONES SISTEMA OPERATIVO PREGUNTA USUARIO Ser compa tible la aplicaci n Crypto Complete con con futuros releases del Sistema Operativo del System i RESPUESTA ATT El fabricante Linoma Software Desarrollador de Programas reconocido por IBM lo cual le permite recibir prereleases del Sistema Operativo antes de su anuncio p blico Ello permite probar el funciona miento y acomodaci n de la aplicaci n a las novedades y modificaciones del nuevo release Si son necesarias algunas modificaciones del Software de Crypto para hacerlo compatible con el nuevo Sistema Operativo se creara una nueva versi n que se distribuir entre los clientes para su incorporaci n cuando lo crean necesario 4 INVERSI N COSTES y Cu ntas horas son requeridas por sus programadores para adquirir los conoci mientos necesarios acerca de las t cnicas de encriptaci n administraci n de claves API de IBM etc Cu ntas horas ser an necesarias para cambiar todas las aplicaciones donde se necesita la encrip taci n de alg n campo Cu ntas horas ser an necesarias para probar y docu mentar todos los cambios en las aplicaciones Cons
4. Card Industry y DSS Data Security Standard que afectan a su Organizaci n Su personal de desarrollo tiene que aprender como utilizar las t cnicas de encriptaci n y des encriptaci n as como convertirse en un experto en la ad ministraci n de claves y en las necesidades de seguridad y auditor a Las Organizaciones que han tratado de crear y aplicar su propia soluci n han experimentado multitud de incon venientes y deficiencias algunos de los cuales citamos Como encriptar informaci n en el System i e Las API de encriptaci n de IBM tiene una pronun ciada curva de aprendizaje y puede ser dif cil su aplicaci n y tambi n su configuraci n correcta e A menudo es necesario hacer significativos cam bios en las aplicaciones para llamar las API de en criptaci n cuando informaci n sensible es a adida o cambiada e Definiciones de campos a menudo tienen que ser cambiados para acomodar la informaci n encrip tada resultante por ejemplo cambiando el tipo de campo de Num rico a Alfanum rico y o cambian do el tama o del mismo e Informaci n sensible no se encripta cuando se entra o cambia desde fuera de las aplicaciones por ejemplo utilizando herramientas tipo DBU o DFU e La administraci n de claves a menudo no coincide con las exigentes especificaciones PCI Payment Card Industry y DSS Data Security Standard e Hay una falta de controles en qui n crea y admi nistra las claves e Las claves
5. bre de campo el nombre del fichero clave de encriptaci n y algoritmo y si alg n trigger SQL debe ser usado autom ticamente para encriptar los valores del campo Campos adicionales pueden a adirse en el Registro en cualquier momento en el futuro PREGUNTA USUARIO Se pueden crear claves adicionales o cambiarlas en el futuro RESPUESTA ATT Crypto Complete por medio del Key Management permite a los usuarios autorizados crear claves adicionales y cambiar los atributos de las existen tes cuanto sea necesario Las nuevas claves pueden ser especificadas para encriptar nuevos campos y las claves pueden ser rotadas en los campos existentes en cualquier momento DOCUMENTACI N PREGUNTA USUARIO Existir documentaci n sobre como se ha montado la soluci n de encriptaci n para que otros programadosres puedan mante nerla RESPUESTA ATT Cryp to Complete incluye una amplia Gu a del Usuario y tambi n una Gu a del Programador La Gu a del Usuario proporciona instrucciones detalladas de c mo utilizar la Administra ci n de Claves y el Registro de Campos a trav s de Men s y Mandatos Esta Gu a incluye una secci n para Iniciar el Manejo y tambi n diagramas de ayuda as como un apar tado de Preguntas y Respuestas La Gu a del Programador proporciona documentaci n de c mo manejar las API del Crypto Complete con ejem plos de programas Ejemplos en c digo fuente se incluyen para facilitar la comprensi n E
6. el System 1 Las claves almacenadas en Key Stores son en criptadas con un Master Encryption Key y no pueden ser utilizadas sin la adecuada autoridad PREGUNTA USUARIO C mo se proteger n las Data Encryption Keys de un uso no autorizado RESPUESTA ATT Crypto Complete permite que una Organizaci n asegure el acceso al Key Stores en donde se guardan las Data Encryption Keys utilizando la seguridad sobre objetos del System 1 Si un usuario intenta utilizar una clave de un Key Store ser debidamente registrado por el Audit Journal del Crypto Complete PREGUNTA USUARIO Pueden ser vistos por programadores u otros usuarios los valores de los Data Encryption Keys RESPUESTA ATT Crypto Complete permite que una Organizaci n especifique si los valores de las Data Encryption Keys pueden ser vistos o exportados Por de fecto los valores de estas claves DEK no pueden ser vistos ni exportados y permanecen encriptados dentro del Key Stores PREGUNTA USUARIO Estar n las Data Encryption Keys protegidas Encriptadas con Master Keys C mo se controla qui n crea y administra los Master Keys RESPUESTA ATT Crypto Complete encripta las Data Encryption Keys utilizando Master Keys Para cada entorno pueden crearse hasta 8 Master Keys La Organi zaci n puede indicar que usuarios Key Officers est n autorizados para crear y manejar Master Keys PREGUNTA USUARIO Qu pistas de seguridad se generar n cuando las claves
7. iderando las horas necesarias a invertir Cuan to le costar a al cliente la soluci n de encriptar algunos campos Si la soluci n no es aplicada correctamente cuales ser an los riesgos y potenciales perjuicios para la Organ1 zaci n e taci n de la informaci n sensible as como el alto riesgo y perjuicios derivados de un dise o incorrecto o incompleto muchas Organizaciones escogen normalmente la incorporaci n de soluciones probadas rea lizadas por especialistas en la materia comoes el caso de la soluci n Crypto Complete CONCLUSI N Teniendo en cuenta la cantidad de tiempo y costes de crear una soluci n para la encrip Sistema Integrado de Encriptaci n Crypto Complete es una completa aplicaci n que protege la informaci n altamente sensible alojada en su iSeries mediante la encriptaci n la gesti n integrada de las claves y una eficaz auditor a Todo ello realizado a trav s de sus pantallas intuitivas y su tecnolog a probada La encriptaci n se realiza a nivel de campos e incluso de backup Librerias objetos ficheros sav Crypto Complete le ayudara a implementar la encriptaci n en su organizaci n sin necesidad de costosos y laboriosos cambios en sus aplicaciones E E E Tel 93 3191612 Fax 93 3191 59 att att es
8. l personal de soporte de Linoma Software y de Ame rican Top Tools puede ser contactado para cualquier pre gunta duda o problema que se plantee Si otro campo necesita ser encriptado en el futuro Existe documentaci n de c mo un programador puede efectuar la encriptaci n y desencriptaci n correcta de ese campo La Gu a de Usuarios indica detallada mente como configurar los campos en el Field Encryption Registry La Gu a del Pro gramador incluye instrucciones y ejemplos de c mo desencriptar los campos en las aplicaciones PREGUNTA USUARIO Puede el cliente confiar en que la soluci n de Crypto cumple con las regulaciones Standard para la Industria para la Administraci n de las Claves y la protecci n de la Informaci n Sensible RESPUESTA ATT Crypto Complete ha sido dise a do la mejor t cnica de administraci n de claves y protec ci n de datos posibles para el System 1 El sistema ha sido revisado por expertos en la materia y ha pasado todas las auditor as de seguridad de la infor maci n necesarias PCI STANDARDS PREGUNTA USUARIO Cumple Crypto Complete las regulaciones citadas en las secciones 3 4 3 5 y 3 6 del PCI Data Security Standard 1 1 RESPUESTA ATT Las secciones 3 4 3 5 y 3 6 del PCI Data Security Standard contienen requisitos para protecci n de informaci n de tarjetas de cr dito y para una efectiva administraci n de claves Se proporciona informaci n de c mo el fabricante atiende a esos
9. mbiados o quitados e Cuando se crean Master Encryption Keys MEK e Cuando Key Stores son creados o mo dificados e Cuando Data Encryption Keys DEK son creadas exportadas cambiadas o borradas e Cuando entradas en el Field Encryp tion Registry son a adidas cambiadas quitadas activadas o desactivadas e Cuando cualquier funci n es denegada por autoridad insuficiente e Cuando la informaci n es encriptada o desencrip tada con una Key que requiere log de esos eventos Estos apuntes son almacenados en un fichero journal de IBM y no pueden ser modificados Los informes de auditor a pueden ser generados por usuario per odos de tiempo con fecha y hora y tipo de auditor a PREGUNTA USUARIO C mo podr a su Organiza ci n recuperar las claves en un caso de emergencia RESPUESTA ATT Crypto Complete incluye una f cil y detallada documentaci n con los protocolos a seguir para ejecutar los Backup y Restauraci n de las claves en caso de emergencia Tambi n se contempla la replicaci n de claves para sistemas de Alta Diponibilidad HA FLEXIBILIDAD PREGUNTA USUARIO Si nece sita encriptar alg n otro campo en el futuro Se puede hacer f cilmente RESPUESTA ATT Crypto Com plete por medio del Field Encryption Registry permite a los usuarios autori zados especificar r pidamente los campos a encriptar en sus bases de datos Para cada campo entrado en el Re gistro el usuario puede especificar el nom
10. no est n adecuadamente protegidas de usos no autorizados e Es dif cil la rotaci n de claves sin reencriptar toda la informaci n existente e No existen pistas de audiror a o est n limitadas e Los propios programadores conocen demasiado del sistema adoptado incrementando el riesgo de la Organizaci n en el caso de abandonarla e Una soluci n propia normalmente no consigue cu brir las necesidades de la Organizaci n La cantidad de tiempo y dinero que ser an necesarios para el desarrollo pruebas y documentaci n de la solu ci n propia de encriptaci n no es eficiente ni pr ctica en la mayor parte de los casos Una soluci n propia puede tambi n ocasionar riesgos si no se incorpora adecuada PRODUCT ENCRYPTION KEY MASTER ENCAYPTION KEY DATA DATA ENCRAYPTION ENCRYPTION KEYS KEYS KEY STOHE KEY STORE i mente y no cumple las reglas de seguridad PCI Payment Card Industry y DSS Data Security Standard TEMAS A CONSIDERAR AL CREAR UNA SOLUCI N A MEDIDA A continuaci n aparecen las preguntas que una Organizaci n debe hacerse cuando esta considerando crear su propia aplicaci n de encriptado en el System 1 Cada pregunta viene segui da de la respuesta proporcionada utilizando una conocida aplicaci n externa como el Crypto Complete GESTI N CLAVES ENCRIPTACI N PREGUNTA USUARIO C mo ser n creadas la Data Encryption Keys RESPUESTA ATT Crypto Comple te permite que una Organi
11. sean crea das cambiadas o borradas RESPUESTA ATT Crypto Com plete crea autom ticamente apuntes en el log de auditor a cuando las claves son creadas cambiadas o borradas Estos apuntes son almacenados en fichero jour nal de IBM y no pueden ser modificados Los informes de auditor a pueden ser ge nerados por usuario per odos de tiempo con fecha y hora y tipo de auditor a PREGUNTA USUARIO C mo se hace la rotaci n de Data Encryption Keys Hay que reencriptar la informaci n ya encriptada RESPUESTA ATT Crypto Complete permite que una Organizaci n organice la rotaci n de Data Encryp tion Keys en cualquier momento sin tener que modifucar los programas fuente de las aplicaciones y sin tener que reencriptar la informaci n encriptada existente PREGUNTA USUARIO C mo se recuperar n las Data Encryption Keys en una situaci n de desastre o emergencia RESPUESTA ATT Crypto Complete almacena las Data Encryption Keys en los Key Stores que son objetos con listas de validaci n en el sistema La Organizaci n deber salvar estos objetos como parte de sus Backup nor males y restaurarlos en caso de emergencia ENCRIPTACI N DE LA INFORMACI N E INTEGRIDAD PREGUNTA USUARIO Ou campos deber n cambiar el tama o para ontener los valores en criptados RESPUESTA ATT Con Crypto Complete en la ma yor parte de los casos no tendr que aumentar el tama o de los campos para contener valores encriptados Si el
12. tores pue den ser autorizados a nivel individual perfiles de grupo y listas de autorizaci n PREGUNTA USUARIO C mo puede encriptar in formaci n entrada a trav s de utilidades de bases de da tos como DBU DFU Surveyor etc RESPUESTA ATT El sistema de trigger SQL utili zado por el Crypto Complete encriptar autom ticamente los valores de los campos que se a adan o modifiquen en el fichero Los triggers capturar n y encriptar n la infor maci n introducida con cualquier aplicaci n utilidades de base de datos o fuentes externas como JDBC y ODBC PREGUNTA USUARIO C mo puedo estar seguro de que la informaci n ha sido encriptada correctamente y puede ser desencriptada por usuarios autorizados RESPUESTA ATT Crypto Complete es una solu ci n aplicada desde hace a os en numerosas Empresas y entornos Si la documentaci n es seguida con precisi n por cualquier Organizaci n la informaci n ser desen criptada por los usuarios autorizados PREGUNTA USUARIO C mo ser n generadas las pistas de auditor a cuando informaci n sensible es desencriptada RESPUESTA ATT Crypto Complete incluye m lti ples pistas de auditor a para cumplir con los m s estrictos requerimientos de seguridad Las entradas del log de audi tor a son generadas por los siguientes eventos e Cuando se cambia cualquier clausula de la pol tica de claves Key Policy e Cuando usuarios autorizados Key Officers son a adidos ca
13. zaci n especifique si las cla ves pueden ser generadas aleatoriamente generadas con passphrase Cadena de palabras y caracteres que usted in troduce para autentificarse o entradas manualmente PREGUNTA USUARIO C mo controlar que usuarios pueden crear cambiar y borrar Data Encryption Keys RESPUESTA ATT Crypto Complete permite que una Organizaci n especifique que usuarios Key Officers pueden crear cambiar y borrar Data Encryption Keys In cluso usuarios con autorizaci n para FALLOBJ o SE CADM pueden no estar autorizados a manejar Data En cryption Keys PREGUNTA USUARIO C mo crear un doble control que obligue a que dos o tres personas conociendo solo su parte de la clave manejen conjuntamente la clave completa RESPUESTA ATT Crypto Complete permite que una Organizaci n especifique la partes de contrase a que deben ser entradas para generar una clave Master Cada parte de contrase a puede ser requerida para ser entrada por un nico usuario Este dispositivo de doble control de seguridad impide que un solo usuario sea capaz de recons truir una clave por si solo Guardar el valor de la clave en el programa fuente o en un rea de datos no cumple con los est ndares PCI PREGUNTA USUARIO D nde se guardar n las Data Encryption Keys en el System i RESPUESTA ATT Crypto Complete las Data En cryption Keys DEK en el almac n Key Stores en el que son creadas como objetos VLDL Validation List en
Download Pdf Manuals
Related Search