Cómo identificar si su organización tiene una brecha de confianza crítica

¿Sería sorprendente saber que más del 74% de las organizaciones ni siquiera saben cuántas claves y certificados tienen, y mucho menos dónde están o cuándo caducan? Un reciente informe del sector destacaba esta reveladora estadística junto con la realidad de que la escala masiva de claves públicas/privadas y certificados necesarios para mantener la seguridad de las empresas ha creado una Brecha Crítica de Confianza.

Antes de entender cómo identificar esta brecha, es importante comprender cómo ha cambiado la infraestructura empresarial con el paso del tiempo.

En la TI tradicional de hace 10 o 15 años, la mayoría de sus datos y aplicaciones se ejecutaban en infraestructuras dedicadas dentro de su centro de datos. Estos servidores eran configurados manualmente por los equipos de TI y operaciones para que funcionaran durante largos periodos de tiempo. Este enfoque estático también se copiaba para el equipo de seguridad al centrarse principalmente en configurar el perímetro interior. El perímetro contenía defensas que definían qué entraba en la organización y qué conexiones se permitían fuera del perímetro.

La infraestructura de clave pública (PKI) en este entorno se centraba principalmente en los certificados SSL/TLS utilizados para proteger los activos orientados a Internet (por ejemplo, transacciones web, sitios web). Estas operaciones de PKI de primera generación o PKI web tenían un alcance limitado y requerían una sobrecarga mínima. Es posible que el departamento de seguridad sólo tenga que gestionar 100 certificados o menos, por lo que podría gestionar estos certificados en una hoja de cálculo.

Sin embargo, a medida que la red de la empresa crecía, surgió la necesidad de poner en marcha una PKI privada para gestionar las comunicaciones y los datos. Para ello fue necesario configurar la autoridad de certificación (CA) software y empezar a emitir certificados para Wi-Fi, VPN y autenticación de dispositivos. La mayoría de estos certificados se automatizaron mediante la autoinscripción. Si bien esto puede haber funcionado para ayudar a proteger sus activos internos, una nueva era de interrupción ha hecho que la gestión de PKI privada sea extremadamente compleja.

Internet se ha convertido en la nueva plataforma operativa y los modelos tradicionales de seguridad in situ ya no son eficaces por sí solos. Esto no debería sorprender a nadie, pero es importante entender qué factores causan esta perturbación en las redes empresariales.

Toda esta perturbación ha obligado a las empresas a adoptar una estrategia multi-nube para la infraestructura. Esta nueva estrategia ha desplazado la atención de la seguridad del perímetro a la seguridad de los propios datos y aplicaciones. Para ello utilizamos claves públicas/privadas y certificados, conocidos como identidades digitales.

Los amplios casos de uso disponibles actualmente para utilizar PKI han crecido al mismo ritmo que las identidades digitales que es necesario proteger. En lugar de gestionar unos pocos cientos de certificados, las operaciones de seguridad ahora necesitan gestionar entre miles y millones que operan en infraestructuras multi-nube.

He aquí algunos casos de uso de PKI en infraestructuras multicloud, y algunas implicaciones a tener en cuenta:

• Uso de contenedores: Los equipos de DevOps utilizan contenedores altamente automatizados (por ejemplo, Kubernetes, Docker) como sus bloques de construcción para la entrega software en entornos de nube. Sin embargo, si los contenedores se crean y destruyen de forma automatizada, ¿se pueden suministrar certificados a los contenedores de forma segura y fiable a la misma velocidad?
• Adopción de CI/CD: las canalizaciones de entrega continua (CD) permiten a los equipos utilizar herramientas de integración continua (CI) como Jenkins para crear, probar y desplegar su código. Estos equipos tienden a operar en silos fuera de la gobernanza PKI tradicional a través de una CA autofirmada (por ejemplo, HashiCorp Vault). Mientras que los equipos liberan más rápido, la seguridad no es consciente del aumento del número de certificados desconocidos y que no son de confianza.
• Operaciones seguras de firma de código: La velocidad y la escala de la firma de código también han aumentado con una mano de obra diversa en todo el mundo. La mayoría de las empresas cuentan con una combinación de proveedores de servicios y de desarrollo a tiempo completo que necesitan firmar código sin exponer las claves privadas a posibles ataques.
• Escalado de dispositivos móviles y IoT: Las herramientas de gestión de la movilidad empresarial también utilizan certificados para proteger los dispositivos móviles fuera del uso tradicional de PKI. Cuando se añade la explosión de dispositivos IoT que necesitan autorización e identidades únicas, el problema de la escala sigue creciendo.
• Acceso a la red distribuida: Antes, podíamos confiar en casi todo dentro de nuestro entorno de red protegido por el perímetro. Ahora, los routers, conmutadores, equilibradores de carga y cortafuegos necesitan una identidad única para ser de confianza.

Estos casos de uso ponen de manifiesto nuevas complejidades en la gestión del ciclo de vida de las identidades digitales a escala. Las claves privadas/públicas y los certificados mal gestionados siguen perturbando las operaciones y socavando la confianza en muchas organizaciones hoy en día, lo que da lugar a una brecha de confianza crítica.

En resumen: hay que identificar, reconocer y cerrar la Brecha Crítica de Confianza para garantizar la seguridad corporativa.

Estos casos de uso son una buena noticia para quienes desean aprovechar la PKI más ampliamente en su organización. Sin embargo, son malas noticias si su PKI no se ha construido para este nivel de escala y complejidad.

Estos son algunos de los indicadores clave de nuestro reciente informe del sector que identifican una Brecha Crítica de Confianza:

• Interrupciones operativas: En los últimos dos años, el 87% de los encuestados experimentó interrupciones no planificadas debidas a certificados caducados y el 55% experimentó cuatro o más. Teniendo en cuenta que Gartner calcula que una hora de inactividad de la red equivale a 300.000 dólares, no es difícil darse cuenta de lo costosas que son las interrupciones operativas para la empresa.
• Auditorías fallidas: Más allá de las interrupciones operativas, los encuestados también admitieron que han experimentado una media de 6 auditorías fallidas en los últimos dos años que suponían un grave riesgo para la seguridad.
• Escasez de personal: La experiencia en PKI es un conjunto de habilidades poco común de encontrar y la colocación de talento dentro de su organización resulta difícil para la mayoría. Esto conduce a una falta de control sobre los procesos internos necesarios para emitir, desplegar y gestionar las identidades digitales a lo largo de su ciclo de vida. Sólo el 38% de los encuestados cree que tiene una cobertura aceptable de PKI en plantilla.
• Falta de visibilidad/control: Como ya hemos mencionado, el 74% de las empresas desconoce el número exacto de claves y certificados que su organización tiene dispersos en una mezcla de plataformas multicloud, móviles y IoT . Además, más del 76% de los encuestados indicaron que la falta de seguridad de estas claves y certificados socava la confianza en su empresa.

Si no se evalúa adecuadamente la forma en que su organización gestiona actualmente las claves y los certificados digitales, la brecha crítica de confianza no hará más que aumentar a medida que su organización siga creciendo en el número de identidades digitales de las que depende.

He aquí algunas formas útiles de considerar la posibilidad de cerrar la Brecha de Confianza Crítica.

• Replantee su PKI: La realidad de los casos de uso de PKI puede ser abrumadora y es imperativo que tenga una estrategia a largo plazo para gestionar su PKI. Lleve a cabo una auditoría para averiguar quién es el "propietario" de la PKI en su organización y cómo la gestiona entre sus otras responsabilidades. Realice un seguimiento de cuántas identidades digitales emite su organización semana tras semana para ver dónde la capacidad máxima podría alcanzar un punto de ruptura.
• Pase de ser reactivo a proactivo: Según Gartner*, "Los líderes de seguridad que logren reposicionar la gestión de certificados X.509 en una historia empresarial convincente, como la habilitación para el negocio digital y la confianza, aumentarán el éxito del programa en un 60%, frente a menos del 10% en la actualidad". Es necesario elevar el nivel de la conversación y pasar de considerar las identidades seguras como una molestia a un componente central de la seguridad de su negocio digital.
• Planificar con antelación la criptoagilidad: La mayoría de las organizaciones han previsto los avances de la informática cuántica y cómo afectarán a las prácticas de cifrado. Sin embargo, a casi el 50% de los encuestados les preocupa que el auge de la informática cuántica exija cambios significativos en las prácticas de gestión de certificados y PKI. Para resolver el futuro de la informática cuántica es necesario actuar ahora, no durante su eventual llegada.

*"Technology Insight for X.509 Certificate Management", David Mahdi, David Collinson, octubre de 2019.