Sus activos criptográficos son un activo vital para proteger las comunicaciones digitales y los datos. Estos activos incluyen claves de cifrado, certificados y algoritmos.
Sin embargo, debe mantener su inventario de activos criptográficos. Si no lo hace, podría estar en riesgo de varios escenarios perjudiciales. Los activos criptográficos caducados o débiles son objetivos excelentes para los hackers porque son vulnerables a las brechas de seguridad. También será más difícil mitigar una brecha de seguridad porque usted no sabe qué activos criptográficos están en su inventario, y será más difícil llevar a cabo la respuesta a incidentes y el análisis forense.
Estamos pasando a la criptografía poscuántica (PQC)Sin embargo, los ordenadores cuánticos también pueden superar fácilmente los métodos actuales de seguridad de datos. Se necesitan estrategias defensivas modernas para prepararse para la era de la PQC.
Una de las bases de estas estrategias es conocer su inventario de activos criptográficos. La auditoría de su inventario forma parte de una buena gobernanza corporativa, así como del cumplimiento de la normativa. El impacto de una brecha debida a una mala gestión del inventario de activos criptográficos no se limitaría a multas, sino que dañaría enormemente la reputación de una organización. La auditoría del inventario de activos criptográficos es un paso hacia la reducción de su riesgo de ciberseguridad, preparándose para un futuro PQC.
Computación cuántica: Esto es lo que está en juego
El Instituto Nacional de Normas y Tecnología de Estados Unidos (NIST) insta a las organizaciones a estar preparadas para la computación cuántica en 2030. Sin embargo, los avances en computación cuántica podrían llegar incluso más rápido que eso, por lo que es fundamental actuar ahora.
¿Cómo afectará la informática cuántica a la criptografía actual? Veamos cadena de bloques como ejemplo.
Blockchain se basa en la criptografía asimétrica para verificar las transacciones y mantener la seguridad de su libro de contabilidad. La computación cuántica puede superar fácilmente esa criptografía. Nos encontraríamos en una situación en la que las firmas podrían falsificarse y la confianza en blockchain se desmoronaría.
Los piratas informáticos ya se están preparando para esta situación. Las organizaciones también deberían hacerlo. Los ataques Harvest Now, Decrypt Later (HNDL) consisten en recoger datos cifrados ahoray esperar a que la informática cuántica avance hasta el punto de poder descifrarlos. Si tiene datos confidenciales, como registros financieros, datos sanitarios o propiedad intelectual, que deben permanecer seguros durante una década o más, está en peligro.
Hay buenas noticias: los algoritmos cuánticos seguros pueden resistir un ataque informático cuántico. Desarrollados por el NIST, estos algoritmos pueden proteger una amplia gama de información electrónica, desde mensajes de correo electrónico confidenciales hasta transacciones de comercio electrónico.
La pregunta es: ¿cuáles de sus activos criptográficos necesitan una transición a un algoritmo seguro desde el punto de vista cuántico? Ahí es donde entra en juego la auditoría de sus activos.
La relación entre las auditorías y la criptoagilidad
En una era PQC, la criptoagilidad será vital para proteger a las organizaciones.
Criptoagilidad se refiere a la capacidad de sustituir y adaptar algoritmos criptográficos para protocolos, aplicaciones, software, hardware e infraestructuras sin interrumpir sus operaciones para lograr resiliencia.
Cuando audita su inventario de activos criptográficos, puede determinar qué necesita actualizarse o sustituirse. Tomar medidas basadas en lo que aprende de una auditoría aumenta la resistencia de su organización frente a los ataques con tecnologías cuánticas. Y eso es lo que quiere conseguir, así que vamos a analizar las principales ventajas de una auditoría.
Identificar activos criptográficos débiles o caducados
El primer paso en su auditoría de activos criptográficos es determinar qué es débil o está caducado.
Cuando se desarrollaron los algoritmos SHA-1 y RSA-1024, protegían contra las amenazas de la época (o las amenazas previstas en ese momento). Sin embargo, las amenazas evolucionan. Los algoritmos, claves y certificados también deben evolucionar o no le protegerán. Si sus claves o certificados utilizan algoritmos heredados, sus riesgos de sufrir un ciberataque aumentan.
El uso de activos caducados crea lagunas de seguridad que los atacantes pueden utilizar para explotar sus vulnerabilidades. Por ejemplo, un atacante que monitorice su tráfico podría usar un activo caducado para alterarlo para que sea el destinatario de una transferencia de dinero. Al descubrir y actualizar estos activos, puede evitar problemas de confianza y violaciones de la normativa.
Evitar la criptografía no autorizada o en la sombra
La criptografía no autorizada o en la sombra tiene lugar cuando los empleados utilizan software terceros para el cifrado sin el conocimiento del departamento de TI. Crea un riesgo para las organizaciones porque oscurece lo que está ocurriendo y hace más difícil comprender qué activos criptográficos existen. Supongamos que un empleado utiliza software de terceros para cifrar datos. Aunque ese software esté autorizado, el departamento de TI no lo conoce y no puede controlarlo.
He aquí otro ejemplo: un desarrollador o un equipo de desarrollo decide utilizar certificados autofirmados. Los certificados autofirmados son certificados de clave pública con firmas que pueden ser verificadas por la clave pública contenida en los certificados. Son prácticos, pero no garantizan que la información del certificado sea auténtica.
Cuando los individuos o los equipos toman este tipo de atajos, los activos criptográficos se multiplican, lo que los hace más difíciles o imposibles de supervisar a través del equipo de seguridad o de TI adecuado. El control centralizado de estos activos refuerza su postura de seguridad al proporcionar la visibilidad necesaria para cerrar brechas de seguridad y realizar actualizaciones a tiempo.
Prepare su organización para el futuro con la criptoagilidad
¿Utiliza algoritmos antiguos? Los organismos de normalización como el NIST los están dejando obsoletos porque ya no pueden proteger eficazmente a las organizaciones, especialmente frente a los riesgos potenciales de la computación cuántica.
Dado que la era PQC está en el horizonte, debe identificar los activos heredados y actualizarlos. Durante una auditoría, señalará los activos que necesitan una transición a una criptografía más eficaz o determinará qué está preparado para el futuro. Este paso es crucial en su viaje hacia la agilidad criptográfica.
Reduzca el riesgo operativo y evite interrupciones
Cuando audita sus activos criptográficos, puede descubrir renovaciones no realizadas o claves mal configuradas. Estas cosas pueden provocar cortes del servicio.
Los métodos manuales de seguimiento de los activos y sus fechas de caducidad aumentan los riesgos. Los métodos manuales de seguimiento son propensos a errores. Es fácil introducir datos incorrectos y no hay forma de actualizar automáticamente los registros cuando se añade o elimina un activo. Si está buscando automatizar sus procesos PKI, Keyfactor Command ofrece visibilidad completa, orquestación y automatización a través de todo su entorno PKI y de certificados en una única plataforma. Solicite una demostración.
Las auditorías revelan las lagunas en la gestión del ciclo de vida para que pueda gestionar de forma proactiva las renovaciones con el fin de mantener la fiabilidad del servicio y la confianza del cliente.
Puntos clave a recordar sobre la auditoría de activos criptográficos
Es fácil pensar que la auditoría de activos criptográficos es un proceso de una sola vez. Sin embargo, no es así. He aquí por qué:
- No puedes gestionar lo que no sabes que tienes. La criptografía en la sombra o no autorizada permite que proliferen los activos criptográficos, y los activos débiles u obsoletos podrían poner en peligro a su organización. A medida que nos acercamos al PQC, la necesidad de ser criptoágiles es vital.
- La automatización es la única vía práctica para avanzar en la gestión de activos criptográficos. Los métodos manuales son propensos a errores, lentos e insostenibles a gran escala.
- La detección automatizada y la supervisión continua mantienen la seguridad de su organización mediante la identificación de riesgos.. Ya no tendrá que adivinar de qué activos dispone, sino que podrá estar seguro de cuáles existen y qué riesgo plantean.
Prepárese para el PQC con detección y supervisión automatizadas
La era de la computación cuántica podría llegar antes de lo que pensamos. Los piratas informáticos ya se están preparando. ¿Y usted?
A continuación te explicamos cómo prepararte:
- No trate la auditoría de activos criptográficos como un ejercicio de una sola vez.
- La automatización de sus capacidades de detección y supervisión acelera los procesos de auditoría criptográfica para que puedan convertirse en una parte habitual de sus procesos de seguridad.
- Keyfactor Command ofrece descubrimiento, inventario y renovación automatizados de certificados y claves, ayudándole a evitar interrupciones, reducir riesgos y adelantarse a los plazos de cumplimiento.
No espere a que se produzca una interrupción o un fallo en la auditoría. Empiece ya a auditar su inventario criptográfico y automatice el proceso con una solución específica. Solicite una demostración para ver cómo Keyfactor Command trabaja para usted.
