Política de controles criptográficos

La Política de controles criptográficos (P18) establece los controles obligatorios que rigen el uso de mecanismos criptográficos en toda la organización para garantizar la confidencialidad, integridad y disponibilidad (CID) y la autenticidad de toda la información sensible y datos regulados. Reconociendo que la criptografía es fundamental para las comunicaciones seguras, el cumplimiento normativo y la protección de datos, esta política describe requisitos detallados alineados con normas globales líderes y mandatos regulatorios en evolución. El propósito principal es garantizar que los métodos criptográficos adecuados se apliquen de forma consistente allí donde los datos sensibles se transmitan, se traten o se almacenen, generando confianza organizativa y respaldando operaciones seguras en todos los dominios empresariales. La política se aplica a toda la organización e incluye todas las funciones empresariales, todo el personal y los proveedores terceros de servicios relevantes que participen en operaciones criptográficas. La cobertura se extiende a los entornos de producción, desarrollo, preproducción, sistemas de respaldo y entorno de recuperación ante desastres, con referencia explícita a sistemas que tratan datos Confidencial, Altamente Confidencial o Datos regulados. Los casos de uso criptográficos abarcan cifrado simétrico y asimétrico, firmas digitales, hashing seguro y cifrado a nivel de interfaces de programación de aplicaciones, así como generación, distribución y destrucción robustas de claves, incluidas tecnologías como módulos de seguridad de hardware (HSM), módulos de plataforma de confianza (TPM) y sistemas de gestión de claves (KMS). Se establece un marco de gobernanza sólido, liderado por el Responsable de Seguridad de la Información o el Director de Seguridad de la Información (CISO), quien es propietario de la política y garantiza su cumplimiento con ISO/IEC 27001:2022 Anexo A Control 8.24, entre otros. El Responsable de Operaciones Criptográficas mantiene la Lista de métodos criptográficos aprobados (ACML) y el Registro de gestión de claves, liderando la revisión e integración de nuevas tecnologías. Los superiores jerárquicos, administradores de sistemas, propietario del activo, desarrolladores y proveedores terceros reciben responsabilidades claras para la aprobación, configuración, aplicación y revisión de controles criptográficos en sus áreas. Se exigen revisiones anuales y revisiones de diseño criptográfico (CDR) para todos los despliegues nuevos o modificados, garantizando la alineación con las amenazas actuales y los requisitos regulatorios. Los requisitos de implantación de la política son exhaustivos. Solo pueden utilizarse algoritmos y protocolos aprobados por la organización, incluidos AES-256 para cifrado simétrico, RSA 2048+/ECC para asimétrico, SHA-256/SHA-3 para hashing y TLS 1.2+ para transporte. Se define un proceso formal de gestión de claves, gestionado de forma centralizada, que cubre la generación, almacenamiento, uso, rotación, revocación, destrucción y renovación de certificados de forma segura. La segregación de funciones y la custodia dual para operaciones sensibles garantizan la rendición de cuentas y reducen el riesgo interno, mientras que la monitorización continua identifica la caducidad de certificados, el uso de cifrados obsoletos y el acceso no autorizado a claves. El tratamiento del riesgo, las excepciones y la aplicación es riguroso. La desviación de algoritmos estándar requiere un proceso de aprobación documentado, incluida la evaluación de riesgos y controles compensatorios. La auditoría anual de controles criptográficos, el escalado estricto por incumplimiento o compromiso de claves y las medidas disciplinarias o remedios contractuales formales son procedimientos estándar. La política se revisa y actualiza periódicamente en respuesta a nuevas vulnerabilidades criptográficas, cambios regulatorios, auditorías operativas o actualizaciones significativas de herramientas, con comunicación centralizada y control de versiones a través del Registro de control documental del SGSI.