En la mayoría de las empresas, los certificados se gestionan igual que siempre: equipo por equipo, herramienta por herramienta, solicitud por solicitud. Los ingenieros cualificados se pasan el día generando solicitudes de certificado (CSR), gestionando los flujos de trabajo de aprobación, instalando certificados en los servidores y solucionando errores de implementación. Funciona… hasta que deja de hacerlo.
El problema no es que estos ingenieros carezcan de capacidad. Es que el trabajo en sí mismo no ofrece ningún beneficio estratégico. Afirmaciones como «No obtenemos ningún valor empresarial al hacer que nuestros ingenieros se centren en la implementación y gestión manuales de certificados en todo nuestro entorno» y «Mis mejores empleados estaban, en esencia, desempeñando funciones de administradores de sistemas» ofrecen una descripción reveladora de la situación: el personal dedica demasiado tiempo a tareas rutinarias, en lugar de a trabajos que generen valor.
En esta entrada se analiza de dónde proviene la carga de trabajo manual, cuánto tiempo consume realmente en cada fase del ciclo de vida de los certificados y qué cambia cuando la automatización sustituye los procesos repetitivos y propensos a errores por flujos de trabajo escalables y basados en políticas.
El ciclo de vida de los certificados manuales, en cifras
Todos los certificados pasan por un ciclo de vida: emisión, renovación e implementación. Cada fase conlleva su propia carga de trabajo manual y, al multiplicarse por miles de certificados, la pérdida acumulada de productividad es considerable.
Las cifras de referencia que se muestran a continuación proceden de un estudio independiente de Forrester sobre el impacto económico total (Total Economic Impact) realizado en organizaciones que gestionan aproximadamente 400 000 certificados. Las cifras representan el tiempo dedicado por certificado, antes y después de la automatización.
Preparación: 90 minutos por certificado
El aprovisionamiento es el punto de partida de todo certificado, y también donde comienza la ineficiencia. Una sola operación de aprovisionamiento manual implica generar una solicitud de firma de certificado, interactuar con una autoridad de certificación, pasar por las distintas etapas de aprobación y recuperar el certificado emitido. De media, ese proceso lleva 90 minutos.
Gracias a la automatización, el mismo proceso dura 2 minutos.
Para una empresa que emite miles de certificados al año, el impacto en la productividad es enorme. En tres años, la automatización permite ahorrar más de 12 000 horas de trabajo de ingeniería solo en la emisión de certificados. Para saber cuánto cuesta en dólares la emisión manual de certificados, consulta la primera entrada de esta serie.
Una empresa de telecomunicaciones entrevistada en el estudio señaló lo siguiente: «Estamos ahorrando una cantidad exponencial de horas en la puesta en marcha de servicios de certificados privados con Keyfactor. En este momento, gestionamos el doble de certificados con la mitad de recursos».
Renovación: de 25 minutos a 1 minuto
La renovación es la actividad que mayor volumen genera en el ciclo de vida de los certificados. Dado que los certificados caducan en fechas fijas y que muchas organizaciones cuentan con certificados cuyos periodos de validez se solapan, aproximadamente el 105 % del parque de certificados activos requiere renovación cada año.
Sí, ese es el tamaño del conjunto de todos los certificados, y algo más.
De forma manual, cada renovación lleva unos 25 minutos: comprobar las fechas de caducidad, volver a generar los certificados, revalidar las configuraciones y coordinarse con los equipos de aplicaciones. La renovación automatizada reduce ese tiempo a 1 minuto.
El cálculo de la productividad es sencillo. Para una empresa que gestiona 400 000 certificados, la renovación automatizada supone un ahorro de más de 25 200 horas de trabajo de ingeniería solo durante el primer año.
«Keyfactor nos ha permitido, sin duda, agilizar los procesos relacionados con los certificados para los clientes internos».
Eso es el resultado de una automatización adecuada.
Implementación: el paso más complicado
La implementación es donde los procesos manuales fallan de forma más evidente. Instalar un certificado, vincularlo a los servicios correctos y comprobar que todo funciona correctamente lleva una media de 70 minutos en el caso de una nueva implementación y de 15 minutos en el caso de una renovación.
Gracias a la automatización, las nuevas implementaciones se reducen a 15 minutos y las de renovación, a 1 minuto. En tres años, esto supone un ahorro de más de 6 000 horas de ingeniería.
Pero el coste de la implementación manual no se mide únicamente en horas. Las instalaciones incorrectas son una de las principales causas de las interrupciones relacionadas con los certificados. No es raro que el personal tenga que trabajar los fines de semana para solucionar las implementaciones fallidas. Una empresa de telecomunicaciones informó de que, incluso cuando los ingenieros renovaban manualmente los certificados, a menudo no los instalaban correctamente, omitiendo alguna dependencia o paso de configuración que provocaba una interrupción del servicio. Para obtener más información sobre cómo una implementación incorrecta provoca interrupciones, consulta la segunda entrada de esta serie.
El responsable de una entidad bancaria describió el alivio que supone la automatización:Keyfactor dado esperanza a muchos equipos de aplicaciones, ya que ya no tienen que gestionar los certificados [manualmente] como venían haciendo desde hacía tanto tiempo».
¿Qué ocurre cuando se multiplica por 10 el volumen de negocio sin ampliar el equipo?
Los ahorros individuales por cada fase son significativos. Pero el resultado más transformador es lo que ocurre cuando una organización amplía drásticamente su parque de certificados sin aumentar proporcionalmente el equipo que lo gestiona.
De los silos al centro de excelencia
Antes de la automatización, la gestión de certificados en la mayoría de las grandes empresas es siempre igual: cada equipo gestiona su propio proceso. Los distintos departamentos utilizan herramientas diferentes, autoridades de certificación diferentes y flujos de trabajo diferentes. El conocimiento está aislado y la visibilidad es fragmentada.
Tras la consolidación en una única plataforma, las organizaciones señalan sistemáticamente un cambio de una gestión de certificados distribuida y ad hoc a un modelo de centro de excelencia. Un pequeño equipo especializado se encarga de gestionar la plataforma, mientras que el resto de la organización utiliza los certificados a través de flujos de trabajo estandarizados y automatizados.
Un responsable de seguridad del sector minorista explicó que, a pesar de haber multiplicado por diez la emisión de certificados, «… ahora hay menos de cinco empleados que se dedican a tareas relacionadas con los certificados, lo que supone menos personal que antes de implantar Keyfactor».
Una software obtuvo resultados similares: «Gestionábamos certificados en múltiples sistemas y entre varios equipos. La consolidación en una única plataforma ha reducido sin duda la cantidad de trabajo manual».
Gestión de certificados de autoservicio
La consolidación por sí sola no elimina el cuello de botella. El segundo paso consiste en facilitar el autoservicio. En lugar de canalizar todas las solicitudes de certificados a través de un equipo central, los equipos de aplicaciones e infraestructura gestionan y renuevan sus propios certificados a través de una interfaz automatizada y regulada.
La organización minorista describió el autoservicio como una mejora operativa fundamental. La software fue más allá y describió un «proceso definido» en el que las operaciones relacionadas con los certificados se integran directamente en los flujos de trabajo de desarrollo.
Las renovaciones con un solo clic, la aplicación automática de las políticas y los flujos de trabajo de aprobación integrados sustituyen a los intercambios de correos electrónicos y tickets que, tradicionalmente, han caracterizado las operaciones relacionadas con los certificados.
Los ingenieros vuelven a dedicarse a tareas estratégicas
El efecto acumulativo de la automatización y el autoservicio no se limita a la eficiencia. Se trata de una transformación de la plantilla.
Los ingenieros que antes dedicaban su tiempo a las operaciones de certificación ahora pueden centrarse en la arquitectura de seguridad, los programas de cumplimiento normativo y la integración empresarial. Su trabajo pasa de ser un mantenimiento reactivo a una estrategia proactiva.
El vicepresidente sénior del sector bancario entrevistado en el estudio describió este resultado de la siguiente manera: «Ahora esos ingenieros se centran en la seguridad, el cumplimiento normativo y en colaborar con nuestros socios comerciales para automatizar de verdad el ciclo de vida de los certificados».
Una empresa del sector minorista compartía una opinión similar sobre el resultado: «Ahora [los ingenieros de certificados internos] no dedican todo el día a tareas operativas básicas. Pueden asumir tareas más exigentes, relacionadas con el crecimiento, que les aportan una mayor satisfacción laboral».
Prepararse para la necesidad imperiosa de la automatización
La automatización no es una optimización «opcional». Se está convirtiendo en un requisito estructural. Dos fuerzas convergentes están haciendo que la gestión manual de certificados resulte insostenible a cualquier escala.
TLS de 47 días multiplican la carga de trabajo manual
El CA/Browser Forum ha aprobado una reducción gradual de la vigencia TLS , que alcanzará los 47 días en 2029. Para las organizaciones que aún gestionan los certificados de forma manual, este cambio supone un aumento de aproximadamente ocho veces en la carga de trabajo relacionada con la renovación y la implementación, sin que ello vaya acompañado de un aumento correspondiente en la plantilla ni en el presupuesto.
Las matemáticas no perdonan, y ese factor de 8 aparecerá en el otro lado de la ecuación. Es decir, cada minuto de trabajo manual que se menciona en esta entrada se multiplica por el aumento de la frecuencia de renovación, que es ocho veces superior a la anterior. Las organizaciones que no se hayan automatizado se enfrentarán a una crisis de capacidad.
En previsión de este cambio, un responsable de seguridad del sector minorista señaló lo siguiente: «Toda la automatización que permite Keyfactor nos Keyfactor a Keyfactor la visibilidad y la automatización que necesitamos para hacer frente a estos cambios en el sector».
Una software relacionó la automatización de los certificados con una preparación criptográfica más amplia, señalando que las mismas capacidades de la plataforma que gestionan los certificados de corta duración también les permiten estar preparados para la transición a los certificados poscuánticos.
El volumen de certificados está aumentando a un ritmo cada vez mayor
Independientemente de los cambios en el ciclo de vida, el número de certificados que gestionan las organizaciones está creciendo entre un 8 % y un 12 % al año. La infraestructura moderna incluye ahora cargas de trabajo, microservicios, agentes de IA, IoT , infraestructura efímera en la nube y mucho más, y todos ellos requieren identidades de máquina. Cada nueva identidad supone un certificado más que gestionar, es decir, que hay que asignar, renovar, implementar y controlar.
Una empresa del sector minorista resumió este efecto multiplicador en la siguiente declaración: «La mejor prueba del valor que hemos obtenido de Keyfactor la capacidad de multiplicar por diez el uso de certificados con el mismo número de recursos que teníamos hace cinco años».
Sin automatización, aumentar el volumen de certificados implica aumentar la plantilla. Con la automatización, implica ampliar la plataforma. Si quieres una guía práctica para implementar la automatización de certificados en cuestión de meses, y no de años, consulta la próxima entrada de esta serie.
Cómo Keyfactor ayudarte Keyfactor
La plataforma de automatización del ciclo de vida de los certificados Keyfactorestá diseñada específicamente para hacer frente a los retos descritos a lo largo de este artículo.
- Automatiza el aprovisionamiento a gran escala.
Reduce el tiempo de aprovisionamiento de 90 minutos a 2 minutos por certificado. Habilita la emisión en autoservicio para que los equipos de aplicaciones puedan aprovisionar certificados sin tener que pasar por un equipo central, mientras que el departamento de seguridad mantiene el control de las políticas. - Renovaciones con un solo clic y sin intervención manual.
Elimina la tarea manual que más tiempo consume en el ciclo de vida de los certificados. Los flujos de trabajo de renovación automatizados se encargan de la regeneración, la validación y la distribución de los certificados sin intervención humana. - Automatización integral de la implementación.
Automatiza la instalación, la vinculación y la validación de certificados en servidores, aplicaciones y entornos en la nube. Reduce los errores de implementación que provocan interrupciones del servicio y tienen que solucionarse durante el fin de semana. - Consolida todo en una sola plataforma.
Gestiona certificados de cualquier autoridad de certificación (CA), en cualquier entorno, a través de un único plano de control. Multiplica por diez el volumen de certificados sin tener que ampliar proporcionalmente tu equipo.
¿Estás listo para ver todos los datos?Descarga el estudio «Total Economic Impact» de Forrester para conocer el análisis completo del retorno de la inversión (ROI) en el que se basan estas conclusiones.
¿Tienes preguntas sobre el CLA? Tenemos las respuestas.
¿Qué es la automatización del ciclo de vida de los certificados (CLA)?
La automatización del ciclo de vida de los certificados consiste en el uso de software gestionar todas las fases de la vida útil de un certificado digital, desde su emisión y renovación hasta su implementación y revocación, sin intervención manual. Sustituye el seguimiento mediante hojas de cálculo, la generación manual de solicitudes de certificado (CSR) y la implementación puntual por flujos de trabajo basados en políticas que se adaptan a su entorno.
¿Cuánto tiempo lleva realmente la gestión manual de los certificados?
Según un estudio de Forrester, la gestión manual de un solo certificado lleva aproximadamente 90 minutos, la renovación, 25 minutos, y la implementación, 70 minutos en el caso de nuevas instalaciones. Para una empresa que gestiona cientos de miles de certificados, esos minutos se traducen en decenas de miles de horas de trabajo de ingeniería al año.
¿A cuánto tiempo reduce la automatización ese tiempo?
El aprovisionamiento automatizado tarda aproximadamente 2 minutos, la renovación, 1 minuto, y una nueva implementación, 15 minutos. Las implementaciones de renovación se reducen a 1 minuto. La reducción neta es del 95 % o más a lo largo del ciclo de vida del certificado.
¿Cómo afectan los plazos de validez más cortos TLS a la gestión manual?
El CA/Browser Forum está introduciendo progresivamente plazos de validez más cortos TLS , que alcanzarán los 47 días en 2029. Este aumento de aproximadamente ocho veces en la frecuencia de renovación significa que las organizaciones que aún gestionan los certificados de forma manual se enfrentarán a un incremento proporcional de la carga de trabajo sin que ello vaya acompañado de un aumento correspondiente del tamaño del equipo.
¿Puede la automatización funcionar con certificados de varias autoridades de certificación?
Sí. Las plataformas modernas de automatización del ciclo de vida de los certificados son independientes de la autoridad de certificación (CA), lo que significa que pueden detectar, gestionar y automatizar certificados independientemente de la CA que los haya emitido. Esto es fundamental para las empresas que utilizan varias CA en distintos entornos y casos de uso.
¿Qué es un centro de excelencia en gestión de certificados?
Un centro de excelencia es un modelo operativo en el que un equipo reducido y especializado gestiona la plataforma de automatización de certificados y las políticas, mientras que el resto de la organización obtiene los certificados a través de flujos de trabajo de autoservicio. Esto sustituye al enfoque fragmentado, equipo por equipo, que genera compartimentos estancos y lagunas de visibilidad.
¿En cuánto tiempo puede una organización implementar la automatización de certificados?
Los plazos de implementación varían en función de la complejidad del entorno, pero las organizaciones que participaron en el estudio de Forrester lograron un retorno de la inversión cuantificable en los seis meses siguientes a la implementación. La próxima entrada de esta serie aborda enfoques prácticos para implementar la automatización de certificados a escala empresarial.
¿Cuál es el retorno de la inversión (ROI) de la automatización del ciclo de vida de los certificados?
El estudio «Total Economic Impact» de Forrester reveló un retorno de la inversión (ROI) ajustado al riesgo del 356 % en un periodo de tres años, con un periodo de amortización inferior a seis meses. Entre los beneficios se incluían un ahorro de 7,5 millones de dólares en costes de personal, 3,6 millones de dólares en costes evitados por interrupciones del servicio y 1,4 millones de dólares en ahorro por la consolidación de la infraestructura.
