eCLIPse Sistema de seguridad empresarial IT Business and Marketing Solutions Inc. 6710, Sherbrooke Este, oficina 200 Montreal, Quebec H1N 1C9 Teléfono: +1 514-764-0133 www.itbms.biz Email: [email protected] Printed in Canada eCLIPse Sistema de seguridad empresarial Introducción En estos últimos años hemos sido testigos de lo costoso que resulta la pérdida o hurto de computadoras que contienen información importante, confidencial, crítica, y en muchos casos irremplazable. En general, estos ataques informáticos, han permitido a los piratas ‘’hackers’’ acceder a bases de datos bancarias que contenían informaciones sensibles de sus clientes, tales como su nombre, su número de cuenta, hipoteca, tarjetas de crédito, etc. Estos hechos han llevado a las corporaciones a tomar cada vez mayores medidas de protección, resultando en un aumento de costos operativos y de seguridad para la administración de nuevas tarjetas de crédito; la creación de nuevos números de cuentas bancarias; campañas para sensibilizar y aconsejar la clientela afectada por los cambios; evitar fraudes internos, y a revisar su responsabilidad ante las pérdidas. Riesgos similares corren las empresas y sectores de mercados tales como abogados, investigadores médicos, aseguradoras, militares, y gobiernos. Hoy existe una necesidad urgente de proteger la confidencialidad de los archivos electrónicos que las corporaciones almacenan en las computadoras portátiles o en la red. Mientras el canal de comunicaciones sea el responsable de asegurar los datos durante la transferencia, el archivo recibido no se debe transmitir o almacenar en la computadora en un formato visible y legible. Para una protección máxima de datos, el remitente debe crear y enviar un archivo encriptado que el receptor podrá desencriptar cuando sea requerido. Además, los encargados de bases de datos deben asegurarse que la información confidencial es encriptada con seguridad. Cabe resaltar, que los programas de antivirus no son siempre eficaces contra una clase de programas malévolos llamados ‘’spyware’’. Algunos de estos últimos, se introducen en la computadora del usuario, observan con cautela los archivos que este último manipula durante una sesión, y sigilosamente los transmiten al archivo del sistema criminal externo. Este riesgo está siempre latente cuando los datos confidenciales son almacenados sin ser encriptados. El rol de la encriptación de datos y porqué es importante En la época de los griegos, mataban a los mensajeros para obtener los mensajes; en aquel entonces, los mensajes eran encriptados para evitar que sean leídos por el enemigo. En ambientes a riesgo en donde las computadoras portátiles, o los sistemas pueden ser substraídos o comprometidos, es necesaria la encriptación por el remitente y la desencriptación por parte del receptor. Hoy día existen varios métodos de seguridad, uno de ellos requiere encriptar el disco duro completamente; otro apenas los ficheros de datos; y un tercero, exige encriptar ambos: los archivos con los datos y el disco duro. Encriptación completa del disco duro La sección siguiente se ha extraído de Wikipedia, la enciclopedia libre. La encriptación completa del disco duro tiene varias ventajas comparadas al “archivo regular”, “encriptación de la carpeta”, o “encriptación de la caja fuerte”. A continuación, algunas ventajas de la encriptación completa del disco duro: 1. – Aquí casi todo se encripta, incluyendo el espacio de intercambio y los ficheros temporarios. Encriptar estos archivos es importante, pues pueden revelar datos confidenciales sensibles. 2. - Encriptación completa del disco duro: esta alternativa inhabilita al usuario en la toma de decisión, y no le permite priorizar cuales son los archivos que se deben encriptar. 3. - Y vía las extensiones del BIOS, ayuda a la autentificación previa cuando se inicia el sistema. 4. - La destrucción inmediata de los datos, tales como la simple destrucción de las llaves encriptadas rinde el contenido de los datos inútil. Sin embargo, si potenciales agresiones a la seguridad es una preocupación vital, se aconseja la purga de los datos o la destrucción física para disminuir los riesgos. Vulnerabilidad de la encriptación del disco duro Después que el usuario se registra en una computadora con disco encriptado, el sistema operativo le presenta sus datos confidenciales visibles. De hecho, a este nivel, todo el sistema es visible por el usuario. Más aún, si un virus de tipo spyware se ha instalado en le sistema como una clave de ingreso del usuario, el programa puede hacer la transferencia de archivos y transmitir los datos de manera visible a un sitio web remoto, sin el conocimiento de su dueño. Nivel de encriptación del fichero Según lo mencionado en la sección anterior, la encriptación completa del disco duro tiene sus ventajas y riesgos. La encriptación del nivel del archivo ofrece las siguientes ventajas: • El fichero se encripta previamente antes de su transmisión a la computadora portátil. • Y continúa encriptado en el computador portátil. • Se desencripta vía el sistema eCLIPse inmediatamente para visualizarlo por la memoria o vía el fichero temporario. • El sistema puede visionar un archivo inmediatamente desencriptado; esta funcionalidad se puede programar para suprimir el fichero inmediatamente tan pronto como se termine su visualización o cuando el archivo se cierra. Encriptacion combinada de fichero y disco duro Es difícil indicar si éste es el mejor de ambos. Los aspectos negativos de la encriptación del disco duro prevalecen. Si el disco se daña parcialmente, todos los archivos encriptados en él son irrecuperables. ¿Qué es eCLIPse? – Sistema de seguridad empresarial eCLIPse es un sistema de seguridad que permite encriptar ficheros y bases de datos usando una llave USB física o una llave USB virtual programada. eCLIPse protege los ficheros electrónicos confidenciales de manera simple, eficaz y accesible. A través de una llave USB física o virtual, su empresa disminuye los riesgos de pérdida de la información y cumple con las últimas normas que regulan la protección de datos estándares FIPS 140-2 del nivel 3. Una llave USB, es una computadora inteligente, con un microprocesador almacenado en el formato de una llave programada para el uso del sistema de seguridad eCLIPse. Este último, comunica utilizando la llave para autentificar y almacenar informaciones tales: la identificación del número personal (PIN), las reglas criptográficas, las combinaciones de llaves, los elementos de control y otras informaciones de la administración. La arquitectura del programa eCLIPse consiste en 5 componentes importantes de los cuales proporcionamos los componentes básicos, sus usos y herramientas. A través de su Sistema Operativo Microsoft, eCLIPse encriptará sus archivos de MS Office (Word, Excel, PowerPoint), bases de datos, ficheros, y otras informaciones críticas de su organización. Su empresa, podrá utilizar estas interfaces dentro de sus propias aplicaciones. Los lenguajes de programación compatibles incluyen: C, C++, VB, VBA, y MS FoxPro. Figura 1.- Vista de los componentes de eCLIPse Aplicaciones y Herramientas de eCLIPse Componentes básicos de eCLIPse Open Source/ SaaS / Freeware Interfaz de software Microsoft y compatibles ( Word, Excel, other) Aplicaciones Cliente (C,C++, VB, VBA, Foxpro) Componentes básicos de eCLIPse • Una llave USB y un dispositivo CSI de Spyrus Inc. (opción) • Una llave USB para el servidor virtual (opción) • Herramientas del administrador de sistema • Módulo de la seguridad del usuario • Interfaces de seguridad del usuario (Foxpro, COM y DLL estándares) • Interfaz del servidor web del cliente para reactivación remota del PIN • Documentación del desarrollo de aplicaciones incluyendo ejemplos. Alternativas de configuración eCLIPse usos y herramientas • Herramienta de la escritura de eCLIPse (encriptación del fichero, entrenamiento del desarrollador). • Explorador de eCLIPse • Caja fuerte de eCLIPse • eCLIPse correo seguro (para el texto, los anexos y actualización de futuras versiones). Los tres diagramas siguientes describen algunos ejemplos de configuraciones posibles. - La primera configuración representa un ejecutivo que se desplaza con una computadora portátil y es una configuración completa sin conexión a la red. El administrador configura la llave USB y la entrega al usuario final. - La siguiente presenta una configuración de red simple en la cual algunos usuarios utilizan la llave USB real, otros utilizan la llave USB virtual y algunos utilizan ambas. - En la tercera vemos una configuración de red virtual más compleja, pudiendo incluir servidores virtuales además de las configuraciones precedentes. Dado al alto nivel de fiabilidad y rentabilidad, la industria financiera eligió el algoritmo DES3 y sus variantes sobre otros algoritmos por la economía de recursos de computadoras y servidores. DES3 es una variante de gran alcance del algoritmo DES. Es utilizado por sus cualidades tales como su alta velocidad en la encriptación, el encadenamiento de datos, y el bajo consumo de recursos. DES3 cumple con las normas de encriptación estándar de datos. eCLIPse ¿Cómo funciona? A través de una llave USB física o virtual, Ud. puede encriptar ficheros, protegerlos y disminuir los riesgos de pérdida de información con un programa que cumple con las últimas normas que regulan la protección de datos estándares FIPS 140-2 del nivel 3. La llave USB, es una computadora inteligente con microprocesador almacenado en el formato de una llave. Las llaves USB y la computadora se configuran para el uso del sistema de seguridad eCLIPse. En el sistema virtual, eCLIPse, almacena las informaciones de la conexión, encriptación, desencriptación de llaves y las informaciones administrativas. eCLIPse protege sus ficheros electrónicos confidenciales de manera, eficaz, y accesible Figura 2.- 1PSUBCMF0÷JOF&OWJSPONFOU XJUIPVU/FUXPSL F$-*1TF "ENJOJTUSBUPS %FTLUPQ 6TFS-BQUPQ 53"4OKEN 53"4OKEN 53"4OKEN Arquitectura básica de eCLIPse: - Un administrador para manejar las llaves USB. Esto incluye el inventario virtual, las asignaciones de las llaves (USB), su inicialización virtual incluyendo las reglas de conexión, la administración de la conexión, su autorización, el uso de las cuentas, y la encriptación de las llaves. - Un usuario con acceso al sistema para PC que permite la conexión a la llave USB y el acceso a la información almacenada en la llave, y si procede, una actualización de la llave. - Desarrolladores API y algunos ejemplos de aplicación del código de uso para interconectar con otras aplicaciones. Figura 3.- 6TFS/FUXPSL&OWJSPONFOU XJUI7JSUVBM64#5PLFOBOEPS64#5PLFO 5 $ 1 * 1 F$-*1TF "ENJOJTUSBUPS 5 $ 1 * 1 %FTLUPQ1$ F$-*1TF "%.*/ 7.F$-*1TF4FSWFS 7JSUVBM 64#5PLFO 7JSUVBM 64#5PLFO4FSWFS 5$1*1 $MJFOU "QQMJDBUJPO F$-*1TF "QQMJDBUJPO F$-*1TF *OUFSGBDF F$-*1TF6TFS 4FDVSJUZ La arquitectura extendida de eCLIPse incluye: - Las llaves USB virtuales y una base de datos en la plataforma del servidor del sistema, esta última puede actuar como llave alternativa cuando el usuario está conectado en su sistema interno. - Una conexión a múltiples máquinas virtuales (sistemas VM) en una organización donde todos los usuarios utilizan el mismo servidor virtual. Representación en figura 4. Figure 4.- F$-*1TF7JSUVBM64#5PLFO/FUXPSL 7JSUVBM.BDIJOFT 7. $MJFOU "QQMJDBUJPO F$-*1TF "QQMJDBUJPO 7. $MJFOU "QQMJDBUJPO F$-*1TF "QQMJDBUJPO F$-*1TF *OUFSGBDF F$-*1TF *OUFSGBDF F$-*1TF6TFS 4FDVSJUZ F$-*1TF6TFS 4FDVSJUZ F$-*1TF "ENJOJTUSBUPS 7.F$-*1TF 7JSUVBM 64#5PLFO 7JSUVBM 64#5PLFO4FSWFS 5 $ 1 * 1 F$-*1TF "%.*/ 5$1*1 %FTLUPQ1$ 5$1*1 F$-*1TF6TFS 4FDVSJUZ F$-*1TF6TFS F$-*1TF6TFS 4FDVSJUZ 4FDVSJUZ F$-*1TF6TFS F$-*1TF6TFS 4FDVSJUZ 4FDVSJUZ F$-*1TF *OUFSGBDF F$-*1TF *OUFSGBDF F$-*1TF *OUFSGBDF $MJFOU "QQMJDBUJPO F$-*1TF "QQMJDBUJPO $MJFOU "QQMJDBUJPO F$-*1TF "QQMJDBUJPO $MJFOU "QQMJDBUJPO F$-*1TF "QQMJDBUJPO 5 $ 1 * 1 $MJFOU "QQMJDBUJPO F$-*1TF "QQMJDBUJPO F$-*1TF *OUFSGBDF F$-*1TF6TFS 4FDVSJUZ 5FSNJOBM$MJFOU eCLIPse: ejemplo de uso corporativo Una compañía configura un parque de 80 PC portátiles idénticos para 100 usuarios. Cuando un usuario necesita un PC portátil para visitar un cliente, él puede utilizar cualquier PC pre-configurado. En la oficina del cliente, utiliza su llave USB para recuperar, desencriptar y revisar ficheros. A continuación, carga las informaciones confidenciales, y los vuelve a encriptar. El usuario regresa a la compañía, descarga los archivos, y devuelve el PC portátil. Como la llave USB maneja la seguridad y el cociente es de 80 PC portátiles por 100 usuarios, esto permite compartirlos y tener un ahorro sustancial de 20 licencias y 20 PC portátiles. Elección del algoritmo de encriptación eCLIPse se subscribe a los estándares de encriptación de datos DES y al triple DES (DES3) pudiendo incluir otros algoritmos en versiones futuras. DES y DES3 y sus variantes ofrecen un alto nivel de seguridad y funcionamiento eficaz de su PC. ¿Cómo utilizo eCLIPse? Administrador • El administrador, proporciona de manera segura los valores de las llaves a los usuarios. Las claves se incorporan en la base de datos encriptada, los valores de las llaves se registran en papel, se guarda en un sobre sellado y se almacenan en una caja fuerte. • El administrador autorizado de eCLIPse, debe configurar las llaves USB y guardarlas en el almacén de llaves encriptadas, ídem para los números con informaciones personales (PIN), los controles operacionales y otros datos usando el administrador del sistema de eCLIPse (Él desconoce cuales son las llaves que se utilizan para la encriptación o la desencriptación o el orden de las llaves USB). Enseguida, los representantes autorizados de la compañía instalan las llaves de seguridad en la base de datos del administrador y las llaves de la1era o 2da porción de manera tal que nadie conozca la clave USB completa. Usuario • Utiliza el explorador del sistema eCLIPse para mantener un índice y abrir los archivos seleccionados. • Utiliza Microsoft Windows © para abrir automáticamente los archivos encriptados con eCLIPse. • Utiliza Microsoft Explorer© para enviar sus archivos normales a eCLIPse usando ''enviar a'' • Modifica su propio sistema para interconectar con el API de eCLIPse para procesar archivos, base de datos y otros documentos. (Microsoft Visual FoxPro ©, C/C++ ©, Visual Basic ©) • La llave USB apoya certificados y firmas, y es compatible con Netscape, Internet Explorer y Outlook. • El módulo de correo electrónico seguro para textos y anexos de eCLIPse (en desarrollo). La llave USB de eCLIPse se valida al nivel de seguridad FIPS 140-1, nivel 3 y cumple con las últimas normas del National Institute of Standards and Technology, de los Estados Unidos. Para conocer más detalles sobre las características del sistema eCLIPse u otras funcionalidades que respondan a las necesidades específicas de su empresa, solicite un representante autorizado o contacte la oficina de ItBMS más próxima en su región. Desarrollo futuro Estamos comprometidos con las mejoras constantes del producto para ofrecer una solución de seguridad de encriptación de datos respetando las últimas normas y estándares industriales y gubernamentales. eCLIPse Sistema de seguridad empresarial IT Business and Marketing Solutions Inc. 6710, Sherbrooke Este, oficina 200 Montreal, Quebec H1N 1C9 Teléfono: +1 514-764-0133 www.itbms.biz Email: [email protected] Printed in Canada