Ciberseguridad hoy
Los retos de seguridad, en constante evolución , dominan el panorama informático actual. Los actores maliciosos utilizan todas las vías posibles para acceder a datos sensibles y valiosos, desde la ingeniería social y el DDoS hasta los métodos de fuerza bruta. Por ejemplo:
- El phishing se disparó un 250 % a principios de 2016, según un informe sobre tendencias de la actividad de phishing realizado por el Anti-Phishing Working Group.
- El FBI ha procesado alrededor de 4.200 incidentes de ransomware, con daños económicos estimados para las víctimas en 47 millones de dólares, únicamente en los dos últimos años.
Este tipo de entorno de amenazas tumultuosas ha creado la necesidad de que las empresas y las organizaciones en general se aseguren de que están por delante de las vulnerabilidades y haciendo uso de todas las herramientas de seguridad disponibles.
PKI como tecnología de seguridad fundamental
Algunas tecnologías de seguridad básicas existen desde hace tiempo:la infraestructura de clave pública (PKI), por ejemplo. He aquí el problema: aunque PKI se ha utilizado durante mucho tiempo para autenticar y cifrar información crítica, lo cual es un control de seguridad probado y eficaz, las organizaciones de TI suelen asociar su larga historia con una falsa sensación de seguridad. Aunque la PKI sigue siendo una herramienta de control de acceso crítica, las infraestructuras que eran seguras en el momento de su implantación no seguirán siéndolo con el paso del tiempo si no se mantienen al nivel necesario para respaldar los objetivos de seguridad de las empresas, y a menudo se pasa por alto un mantenimiento adecuado.
Es importante que el proceso de evaluación periódica de la salud de la PKI forme parte de su ciclo de vida de TI. Los mandatos de cumplimiento, los cambios empresariales y la evolución de la criptografía como área de práctica son excelentes razones para considerar cómo está gestionando su PKI, dados los cambios en la seguridad de su infraestructura. Cuando está bien gestionada, su PKI debe mantener la seguridad desde su implementación a lo largo de todo su ciclo de vida, al tiempo que permite el cumplimiento de los requisitos de información, conformidad y auditoría; pero no es una tarea fácil. Por eso, considerar una PKI gestionada profesionalmente es una opción viable para la mayoría de las empresas.
Resolver los retos de seguridad con una PKI gestionada por profesionales
Las necesidades de seguridad de cada organización son diferentes, pero los retos que plantea una PKI interna son los mismos:
- Para empezar, las ICP son complejas.
- Encontrar los recursos adecuados con la experiencia adecuada es una tarea difícil.
- La falta de acceso a las herramientas y procesos adecuados dificulta el seguimiento y la gestión.
Una PKI gestionada profesionalmente es esencialmente su PKI, pero con un enfoque de administración: usted ya no es responsable de mantenerla internamente. Un proveedor de confianza le ofrecerá una solución que proporciona a su empresa un control total sobre las claves de CA raíz y los materiales de recuperación de la PKI, mientras que las obligaciones de diseño, implantación y gestión son responsabilidad suya. La PKI gestionada permite a las organizaciones cosechar los beneficios de una infraestructura de clave pública dedicada y altamente personalizable, pero sin la demanda y sin costes por certificado.
Una PKI gestionada eficaz demostrará de forma visible las operaciones de seguridad y a quienes las controlan, así como los eventos de seguridad críticos. Esto permite a las empresas confiar en la inversión que han realizado sin emplear recursos en las responsabilidades asociadas a una PKI.
Casos prácticos
La PKI gestionada es una solución viable para las organizaciones que desean optimizar los esfuerzos de control de acceso sin afectar a la productividad del personal interno. En general, los casos de uso comunes para los servicios de PKI gestionada se pueden desglosar en la empresa (asegurar los datos y dispositivos dentro de una corporación), y la IoT (asegurar la conexión de elementos no tradicionales a Internet).
La PKI gestionada aumenta la eficacia y mejora la rentabilidad
En cuanto al aumento de la eficacia, la mayor ventaja de confiar su PKI a un tercero no es sólo la liberación de la responsabilidad de gestionarla, sino mantener la propiedad de las claves. Además, su equipo de seguridad tendrá tiempo para centrarse en proyectos críticos, mientras que de su PKI se ocupan especialistas que trabajan a diario con los conjuntos de herramientas necesarios. Las CA siguen funcionando, los certificados se emiten y su empresa ahorra tiempo y esfuerzo.
Evitar un gasto importante de capital también es una ventaja útil. La gestión software, el mantenimiento, la formación de los empleados, la supervisión y las comprobaciones de estado son sólo algunas de las exigencias que generan gastos continuamente a lo largo de la vida de una PKI interna, ninguna de las cuales conlleva su externalización.
Una implantación interna de PKI cuesta más del doble que utilizar un servicio gestionado.
Resumen de los argumentos a favor de la PKI gestionada
Las amenazas a la ciberseguridad no van a ninguna parte y, en consecuencia, tampoco la necesidad de una postura de seguridad sólida. Independientemente de cómo se mantenga, gestionar adecuadamente su PKI es absolutamente crítico.
