Ir al contenido principal

28. Procedimiento de Gestión de Claves Públicas y Privadas

👉 Esta actividad te ayuda a cumplir los siguientes controles:

  • ISO 27001 en su versión 2013: A.10.1.2, A.12.1.1

  • ISO 27001 en su versión 2022: A.5.37, A.8.24

¿Para qué me sirve esta actividad? 📚

Esta actividad te ayudará a definir el uso adecuado de las claves criptográficas (públicas y privadas) que se utilizan para cifrar la información transmitida dentro y fuera de la empresa.

💡 El uso de estas claves también es conocido como criptografía asimétrica. Su principal objetivo es proteger la confidencialidad, integridad y autenticidad de la información que almacenas, procesas y/o transmites.

¿Qué tengo que hacer? 🚀

Antes de documentar este procedimiento, es importante comprender cómo funciona este método criptográfico, y recordar que es un requisito normativo 🤓.

¿Cómo funcionan las claves públicas y privadas?

La clave pública, como su nombre lo indica, es pública y se puede distribuir a todos aquellos que deseen comunicarse con tu empresa (esto puede segregarse más a ciertos colaboradores o áreas involucradas en este procedimiento).

Mientras que la clave privada no debe compartirse con nadie, ya que sirve para descifrar el mensaje que ha sido encriptado con la clave pública.

Estas claves sirven tanto para cifrar mensajes, como para comprobar la autenticación de los destinatarios.

Ahora bien, para documentar este procedimiento te sugerimos considerar las siguientes actividades:

  1. Solicitud de claves. Es importante definir cómo se deben solicitar estas claves y qué información se debe proporcionar en dicha solicitud, como por ejemplo el nombre del interesado, la justificación de la necesidad de claves, el uso que se les dará, etcétera.

  2. Revisión y autorización de la solicitud. Revisar la información brindada en la solicitud y definir los criterios de aceptación es un filtro de seguridad importante para asegurarnos que la información estará protegida, y que se les dará un buen uso a las claves criptográficas. Además, debes asignar un área o persona responsable de autorizar las solicitudes. Con esto podrás tener una gestión adecuada de las claves, dando cumplimiento a los requisitos normativos.

  3. Generación y notificación. Con ayuda del equipo de Tecnología o área equivalente dentro de tu empresa, deberán establecer cómo se generan estas claves, cómo deben ser entregadas al solicitante y las posibles restricciones que se deben tener en cuenta a la hora de ejecutar este paso. Además, es esencial comunicar al solicitante las medidas de seguridad que debe aplicar para dar buen uso de las claves.

  4. Monitoreo. Recomendamos monitorear el uso de las claves criptográficas de manera periódica para identificar a tiempo cualquier uso indebido, anomalía o actividad sospechosa. También será importante indicar las acciones a realizar en caso de encontrar dichas irregularidades y documentar la aplicación de estas revisiones, ya que te servirán como evidencia de cumplimiento.

Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Establece criterios de aceptación adecuados para las solicitudes de nuevas claves, ya que es muy importante que la necesidad para su uso esté debidamente justificada.

  • El uso de los métodos criptográficos puede variar dependiendo de la necesidad que cada empresa tenga, por lo que es súper importante que ajustes el procedimiento al contexto real de tu organización.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
26. Procedimiento de Gestión de Backups
31. Procedimiento de Gestión de Vulnerabilidades
40. Procedimiento de Transferencia de Información por Medios Extraíbles
17. Procedimiento de Gestión de Claves Criptográficas
16. Política de Gestión de Claves Criptográficas
¿Ha quedado contestada tu pregunta?