Comprender la importancia del cifrado de dispositivos para el cumplimiento y la seguridad

Completado

En esta unidad, aprenderá por qué el cifrado de dispositivos es un elemento fundamental de la estrategia de seguridad de su organización, cómo reduce el riesgo de exposición de datos cuando se pierde o se roba un dispositivo y su rol dentro de una arquitectura de Confianza cero.

La vulnerabilidad de los datos en reposo

Un error común en la administración de puntos de conexión es que una contraseña de inicio de sesión segura de Windows o macOS protege completamente los datos en el disco duro local. En realidad, una pantalla de bloqueo solo protege el sistema operativo en ejecución.

Si se pierde o se roba un portátil sin cifrar, un actor malintencionado no necesita adivinar la contraseña del usuario. Simplemente pueden quitar la unidad de estado sólido (SSD), conectarla a otro equipo y leer directamente cada archivo, correo electrónico almacenado en caché y credenciales guardadas. Como alternativa, pueden arrancar el portátil desde una unidad USB y omitir por completo el sistema operativo nativo.

El cifrado de disco completo (FDE), como BitLocker para Windows o FileVault para macOS, mitiga este riesgo mediante la codificación criptográfica de los datos de la unidad. Sin la clave de descifrado correcta (que está asociada al inicio de sesión seguro del usuario y al módulo de plataforma segura o TPM del dispositivo), los datos permanecen completamente ilegibles.

Cómo cambia el cifrado el impacto de un dispositivo perdido o robado

Muchas organizaciones deben proteger los datos empresariales personales y confidenciales y notificar a las partes afectadas cuando esos datos se exponen. Si un dispositivo perdido o robado desencadena esas obligaciones a menudo depende de si los datos del dispositivo eran legibles para una persona no autorizada.

Considere los escenarios siguientes:

• Escenario sin cifrar: Un empleado deja un portátil corporativo sin cifrar en un espacio público. El portátil contiene datos confidenciales del cliente. Dado que cualquier persona con acceso físico puede leer los datos de la unidad, la organización debe tratarlos como una posible exposición de datos y seguir sus procesos de respuesta a incidentes y notificaciones.
• Escenario cifrado: Un empleado deja un portátil corporativo cifrado en un espacio público. Dado que los datos de la unidad están protegidos criptográficamente y no se pueden leer sin la clave de descifrado, el riesgo técnico de exposición de datos se reduce drásticamente. La organización puede centrarse en recuperar o limpiar de forma remota el hardware en lugar de responder a una exposición de los propios datos.

Los equipos legales, de privacidad y de cumplimiento determinan qué obligaciones se aplican a su organización y cuándo se requieren las notificaciones. El cifrado de dispositivos es uno de los controles técnicos que ayuda a reducir el riesgo de exposición de datos en escenarios como estos.

Nota:

El cifrado de dispositivos protege los datos en reposo. No protege los datos en tránsito (que se basan en protocolos como HTTPS/TLS) ni los datos en uso (que se basan en la protección de memoria y la seguridad de la aplicación).

Cifrado de dispositivos en una arquitectura de Confianza cero

En un modelo de seguridad de Confianza cero, ningún dispositivo es de confianza implícita, independientemente de si está conectado a la red corporativa. Cada vez que un dispositivo intenta acceder a los recursos de la organización, debe demostrar que es correcto y seguro. El cifrado de dispositivos es un requisito de línea base para esta evaluación de estado.

1. Evaluación: Microsoft Intune directivas de cumplimiento consultan el hardware del dispositivo para comprobar que BitLocker o FileVault se están ejecutando activamente.
2. Cumplimiento: Si un usuario deshabilita intencionadamente el cifrado o si una infección de malware daña el estado de cifrado, Intune marca inmediatamente el dispositivo como No compatible.
3. Acción: Microsoft Entra acceso condicional lee esta señal no conforme y revoca automáticamente el acceso del dispositivo a recursos corporativos (como Microsoft 365 o VPN) hasta que se vuelve a cifrar la unidad.

Administración de claves moderna

Históricamente, la administración de claves de recuperación era una carga administrativa importante. Si se perdió una clave de cifrado, los datos no se recuperan.

La administración moderna de puntos de conexión resuelve esto mediante la custodia de clave automatizada:

• Intune implementa un perfil de Endpoint Security que habilita el cifrado de forma silenciosa sin necesidad de interacción del usuario final.
• El dispositivo genera una clave de recuperación única.
• El dispositivo transmite de forma segura esa clave directamente a su registro de objeto de dispositivo en Microsoft Entra ID.
• Si un usuario está bloqueado, los administradores del departamento de soporte técnico pueden recuperar la clave de recuperación de la Centro de administración Microsoft Entra, o bien los usuarios pueden acceder a ella de forma segura a través del portal de autoservicio MyAccount.