Aspectos destacados del Informe 2019 Keyfactor -Ponemon Institute: El impacto de las identidades digitales no seguras
Una cosa que la última mitad de 2018 nos enseñó es que suceden cosas muy malas cuando no se gestionan los certificados. Desde la brecha en Equifax que pasó desapercibida durante 76 días debido a un certificado caducado que resultó en $700M en multas hasta la interrupción masiva que afectó a casi todos los clientes de O2 y Softbank como resultado de la caducidad de un certificado, estas empresas demostraron que millones de personas se ven afectadas cuando los certificados no se gestionan adecuadamente.
Como CSO, esto me preocupa mucho.
Un nuevo estudio realizado por Ponemon Institute para Keyfactor pone de relieve la magnitud del reto y, por primera vez, relaciona el impacto de una gestión ineficaz de certificados y claves con los indicadores clave de rendimiento (KPI) de la organización que nos quitan el sueño a los directivos como nosotros.
El fascinante coste de los certificados caducados
El informe, que recoge las aportaciones de 600 encuestados de casi todos los sectores, pone de manifiesto la preocupación de la comunidad técnica por la falta de atención e inversión en la gestión de la identidad digital, que está poniendo en peligro a las organizaciones.
Piénselo: las plataformas, los procesos y las identidades que se extienden por toda una organización están en peligro todos los días. En el 100% de los segmentos industriales representados en el estudio, la capacidad de descubrir, inventariar y automatizar es uno de los mayores retos a los que se enfrentan nuestros equipos de PKI (o en muchos casos, incluso en grandes empresas, una sola persona). El 74% de los encuestados informaron de que ya han experimentado una interrupción importante debido a un certificado caducado, y el 42% cree que volverá a producirse otra interrupción de impacto similar o mayor en los próximos meses.
El 71% de los encuestados señaló que la falta de visibilidad sobre qué certificados y claves se despliegan realmente en la empresa es una de las principales preocupaciones.
Esta es la gran conclusión: sabemos que las interrupciones cuestan productividad y pueden afectar a los clientes, pero a menudo se consideran un coste de la actividad empresarial. El informe arroja luz sobre costes económicos mucho mayores para la organización:
- La pérdida económica media de un certificado caducado es de 11,1 millones de dólares
- Las auditorías fallidas debidas a la falta de una gestión y unas políticas claras en materia de certificados y claves tienen un impacto de 14,4 millones de dólares.
- El impacto económico del uso indebido de certificados de firma de código y claves superó los 15 millones de dólares
Estas cifras no son el coste de hacer negocios; son lo bastante poderosas como para implicar a los consejos de administración e influir en la valoración de la empresa. Este tipo de costes va mucho más allá de una partida presupuestaria.
Entonces, ¿cómo evitar -o al menos minimizar- el riesgo?
Invertir en gestión de identidad digital
En muchos casos, el proceso de intentar descubrir, inventariar y luego gestionar certificados se deja en manos de procesos manuales propensos al error humano.
Cuando pregunto a la gente cómo gestiona los certificados, la inmensa mayoría sigue utilizando una hoja de cálculo para controlar qué certificados viven dónde y cuándo caducan. En algunos casos, los clientes han invertido en productos de gestión de certificados pero, debido a los modelos de licencia por certificado, solo disponen de presupuesto para realizar el seguimiento de un subconjunto de todos los certificados, con lo que una gran parte de la empresa queda desprotegida.
Espero que este informe sirva como llamada de atención. Como ejecutivos de ciberseguridad y TI, nuestras empresas cuentan con nosotros para ofrecer soluciones (y con toda sinceridad: mi empresa ofrece una), y lo más probable es que su experto en ICP esté intentando crear un negocio precisamente para eso.
Me encantaría conocer la experiencia de su empresa y compararla con las conclusiones del informe. Póngase en contacto conmigo para concertar una cita.
