Cómo justificar comercialmente la automatización del ciclo de vida de los certificados

Llega el lunes por la mañana y te tomas un café para empezar el día. Admitámoslo, lo necesitarás.

Si forma parte del equipo de PKI (or un equipo de uno solo), mantener el ritmo de las solicitudes de certificados, perseguir a los propietarios de las aplicaciones y renovar los certificados antes de que caduquen antes de que caduquen.

Hay varias formas de abordar el problema. La mayoría opta por un seguimiento basado en hojas de cálculo. El equipo de PKI mantiene y actualiza la hoja de cálculo y comprueba periódicamente las renovaciones. Algunos utilizan herramientas proporcionadas por sus CA. Las secuencias de comandos propias pueden incluso proporcionar cierto nivel de automatización.

Pasar de lo manual a lo automatizado

Sin embargo, si estás leyendo este blog, es probablemente que este conjunto de herramientas sólo te lleva hasta cierto punto.

No sólo lleva tiempo, sino que es frustrante. Los equipos de aplicaciones se olvidan de sus certificados, ignoran las notificaciones y no suelen instalarlos correctamente. Incluso pueden crear su propia CA y empezar a emitir certificados sin su conocimiento (esto ocurre MUCHO). Mientras tanto, usted es el responsable cuando un certificado caducado o dañado hace caer una aplicación.

Conclusión: yos necesario controlar la gestión de certificados.

Ahí es donde herramientas de automatización del ciclo de vida de los certificados. Están diseñadas para liberarle de los procesos manuales, ya que ofrecen funciones como la detección de todos los certificados conocidos (y desconocidos), alertas de caducidad, informes centralizados y gestión automatizada del ciclo de vida.

Sin embargo, la automatización de certificados en la cadena de command nunca es fácil. Hay al menos otra docena de proyectos de TI en la agenda, así que ¿cómo se construye un caso de negocio que se pegue?

He aquí cinco pasos (aunque simplificados) para crear un argumento empresarial convincente para mejorar su madurez de gestión de certificados de manual a automatizada.

1. Trae al Equipo A
   
   Si es responsable de la gestión de PKI en la organizaciónusted normalmente no controla ni gestiona los certificados emitidos desde ella: su sistema y de red de red. Peroos equipos que le causan más dolor pueden ser su mayor activo aquí. Averigüe cómo obtienen los certificados (de una CA autorizada o de otro lugar) y cuánto tiempo les lleva les lleva aprovisionar, instalar y renovar los certificados de certificados en sus dispositivos y aplicaciones.
2. Planifícalo e identifica tus lagunas
   
   Tome lo que ha aprendido y planifíquelo. No hay nada más poderoso que una sesión de pizarra con su equipo A. Dedique tiempo a planificar su infraestructura de CA, aplicaciones y flujos de trabajo de solicitud, emisión y renovación de certificados. Una vez que haya sacado el proceso de su cabeza y lo haya plasmado en una pizarra, podrá identificar rápidamente las lagunas e ineficiencias.
3. Defina los requisitos del proyecto
   
   Una vez identificado el problema, es hora de esbozar los criterios de éxito, las capacidades básicas de una solución ideal y cómo puede lograrse utilizando los recursos internos existentes frente a un nuevo producto. No limite sus requisitos a un único caso de uso (lo vemos con demasiada frecuencia en los equipos de PKI). Piense en todas sus necesidades de certificados ahora y en el futuro.
4. Sepa a qué se enfrenta
   
   Según los analistas de Gartner, "los responsables de seguridad y gestión de riesgos a menudo desconocen el alcance o el estado de sus implantaciones de certificados X.509...".. "* Estas incógnitas le dejan mal preparado para hacer su trabajo. Incluso si no ha experimentado una interrupción de SEV1, debe comunicar claramente los riesgos y los costes operativos de una interrupción de SEV1. operativos de interrupciones o certificado vulnerabilidades en su red.
5. Clavo el ROI
   
   Que el presupuesto no sea un obstáculo. Defina el coste de comprar una solución frente a retrasar el proyecto. Si invierte hoy en la automatización del ciclo de vida de los certificados, ¿cuánto ahorrará en los próximos cinco años? ¿Cuánta productividad se pierde por retrasarlo hasta el año que viene? Si está intentando liberarse de las horas de trabajo manual spentadas en la gestión de certificadosésta es la clave de su éxito.

Según Gartner, las organizaciones que implantan herramientas de gestión de certificados sufrirán un 90% menos de problemas relacionados con los certificados y dedicarán la mitad de tiempo a su gestión*. problemas.* Dicho esto, tonvertir el riesgo en dólares y céntimos no es fácil.

Estos son algunos ejemplos reales de las métricas que nuestros clientes utilizan para medir el retorno de la inversión y justificar la inversión en la automatización del ciclo de vida de los certificados.

Interrupciones/tiempo de inactividad

• Inacción: Calcule la pérdida de ingresos por el tiempo de inactividad del sitio web o la aplicación por hora y la pérdida de recursos de TI para solucionar el problema (por ejemplo, número de administradores de TI/PKI x salario/hora x 4-8 horas).

• Acción: Certificado ciclo de vida le permiten evitar interrupciones con detección de certificados, supervisión continua y alertas de caducidad para renovar los certificados antes de que caduquen.

Solicitudes de certificados

• Inacción: Calcule el número de horas semanales que usted o su equipo dedican a tramitar solicitudes de certificados y a hacer un seguimiento del inventario (por ejemplo, número de personas x salario/hora x 2-3 horas semanales).
• Acción: Autoservicio de autoservicio y las API pueden reducir drásticamente el tiempo que transcurre entre la solicitud y la emisión del certificado.rtificados y su emisión. Tampoco está de más hacer un seguimiento de todos los certificados desde un único panel de control.

Provisión de certificados

• Inacción: Calcule el número de horas semanales que los administradores de redes/sistemas preferirían no dedicar a instalar/verificar certificados en dispositivos (por ejemplo, 10-15 min/certificado x número de dispositivos F5).
• Acción: Aflujos de trabajo automatizados La emisión, renovación, provisión y vinculación de certificados a las ubicaciones correctas puede reducir o eliminar por completo los pasos manuales. manuales del proceso.

¿No sabe por dónde empezar? Utilice este modelo de madurez de gestión de certificados para identificar su situación actual y los pasos prácticos que puede dar para llegar a donde necesita.

*Technology Insights for X.509 Certificate Management, octubre de 2019, David Mahdi, David Collinson (Gartner).