Los ordenadores cuánticos avanzan a gran velocidad y pronto serán lo bastante potentes como para romper el cifrado actual. No se trata sólo de un problema tecnológico. Es un reto estratégico que podría obligar a las organizaciones a replantearse cómo protegen los datos, los sistemas y la confianza.
Prepararse para la seguridad post-cuántica requiere algo más que nuevas herramientas. Requiere planificación, inversión y alineación en toda la empresa. Esto significa que los CISO y los líderes de seguridad deben iniciar conversaciones importantes ahora, especialmente con los directores financieros, los directores ejecutivos y otros responsables de la toma de decisiones que aún no perciben la urgencia.
¿La clave? Comunicar con claridad. Explique lo que está en juego sin exagerar la amenaza ni abusar de la jerga. Céntrese en el riesgo, la preparación y la resistencia a largo plazo.
La computación cuántica no es un problema del futuro, sino del presente. Las organizaciones que empiecen a adaptarse hoy serán las que lideren el mañana.
En este artículo aprenderá a comunicar los riesgos de forma que faciliten la comprensión por parte de los ejecutivos, la alineación presupuestaria y la planificación proactiva.
Enmarcar el problema: es una cuestión de gobernanza de primer orden
Argumentar la viabilidad empresarial implica explicar el profundo impacto que tendrá la PQC en su organización y cómo está vinculada a las cuestiones de gobernanza de la seguridad. La informática cuántica superará fácilmente las medidas de seguridad actuales. Por tanto, su infraestructura de clave pública (PKI) podría quedar obsoleta y sus datos cifrados podrían verse comprometidos.
Los piratas informáticos no están esperando a los albores de la era de la computación cuántica. Están lanzando cosechar ahora, descifrar después en los que roban datos cifrados y los almacenan hasta que la informática cuántica madure. Basta pensar en las consecuencias para la industria sanitaria, los registros gubernamentales o las industrias que dependen en gran medida del desarrollo de la propiedad intelectual. Sus datos, que antes pensaban que estaban a salvo tras la protección del cifrado, podrían ser revelados fácilmente.
Estas infracciones tienen un coste financiero, así como el coste intangible del daño a la reputación.
Además, la era de la computación cuántica podría dar paso a nuevos requisitos normativos. Los esfuerzos de normalización PQC del Instituto Nacional de Normas y Tecnología (NIST), el conjunto de Algoritmos Comerciales de Seguridad Nacional (CNSA) 2.0 de la Agencia de Seguridad Nacional (NSA) y los plazos de organismos como la Agencia de Infraestructura y Seguridad Cibernéticas (CISA) indican un cambio hacia la criptoagilidad obligatoria.
Criptoagilidad se refiere a las capacidades que necesita para sustituir y adaptar algoritmos criptográficos para protocolos, aplicaciones, software, hardware e infraestructuras sin interrumpir los sistemas en funcionamiento para lograr resiliencia.
Haga que el mensaje importe: Hable de evitar riesgos
Existe un peligro muy real de que la computación cuántica pueda frustrar y evadir millones de dólares en defensas. Posicione la informática cuántica como una interrupción predecible, no como una incógnita catastrófica. Actuar ahora le permitirá evitar esa amenaza.
También querrá aclarar que la seguridad poscuántica no consiste en arrancar y sustituir. Se trata más bien de un esfuerzo de modernización que requiere inventario, priorización y planificación a lo largo de varios años.
El mejor momento para empezar a prepararse para la era cuántica fue hace tres años. El segundo mejor momento es ahora.
Seguridad a prueba de cuánticos: Traducir los riesgos técnicos
Para convencer a los ejecutivos de la necesidad de prepararse para la seguridad de la informática cuántica, conecte con las prioridades de la junta directiva. Esto incluye la continuidad del negocio, la reputación, el cumplimiento y la ciberresiliencia.
He aquí cuatro puntos clave que conviene plantear en los debates:
- Plazos de aplicación
- Exposición de datos
- El horizonte de cumplimiento
- Deuda criptográfica
#1: Plazos de aplicación
Implantar una criptografía de seguridad cuántica es un proceso largo. Puede llevar entre tres y siete años implantarla en todos sus sistemas. Si empieza ahora, estará mejor preparado para afrontar los retos de la seguridad cuántica.
#2: Exposición de datos
Algunos tipos de datos tienen una larga vida útil: pensemos en la información de identificación personal, la información sanitaria y la propiedad intelectual. Por eso son un objetivo tan atractivo. Aunque ahora estén cifrados, la informática cuántica los descifrará fácilmente. Los delincuentes no pueden leer los datos ahora, pero son pacientes. Saben que es cuestión de tiempo que la informática cuántica avance. Por eso el método de recoger ahora, descifrar después es tan dañino: no importa cuánto se tarde en descifrar ese tipo de datos; seguirán siendo valiosos durante años.
Cuanto antes proteja estos datos, mejor. Serás menos vulnerable a los ataques "cosecha ahora, descifra después" que dañan tu reputación.
#nº 3: El horizonte del cumplimiento
Los gobiernos y los grupos de normalización del sector reconocen las amenazas de la informática cuántica para la seguridad de las empresas. Están trabajando para mejorar las normas de cumplimiento y las mejores prácticas. El incumplimiento de las normas conlleva el riesgo de grandes multas, así como de una postura de seguridad potencialmente comprometida.
Quiere demostrar que está preparado para los retos de la seguridad cuántica adoptando una criptografía avanzada destinada a resistirlos. Evitar grandes multas y la vergüenza pública puede ser un argumento de peso para los responsables de la toma de decisiones. Demostrando una cibergobierno, riesgo y cumplimiento (GRC) (GRC), está demostrando su adhesión a las mejores prácticas de gobernanza.
#4: Deuda criptográfica
Habrás oído hablar de la deuda técnica, que es cuando se lanza un producto que prioriza la velocidad sobre la funcionalidad futura. También existe la deuda criptográfica. Es cuando la criptografía no sigue el ritmo del desarrollo tecnológico.
La deuda criptográfica deja vulnerables a las organizaciones. Cambiar hacia la criptoagilidad significa que su organización está mejor preparada para defenderse de futuros retos criptográficos, como la computación cuántica.
Educar al Consejo: El verdadero coste de la inacción
Como CISO, tiene un deber fiduciario con la empresa. Parte de ese deber es educar a la junta sobre el coste de la inacción cuando se trata de la computación cuántica. Hay responsabilidades legales potenciales e implicaciones de seguros si hay una brecha debido a la computación cuántica. Incluso si se cosechan ahora, los ataques de descifrado posterior son perjudiciales porque existe un riesgo significativo de que los datos cifrados dejen de estar protegidos.
Inversiones incrementales
Los responsables se preguntarán : "¿Por dónde empezamos?". Es posible que algunas organizaciones quieran ir a por todas de inmediato. Para otras, las inversiones graduales en migración post-cuántica tienen más sentido.
Las herramientas de descubrimiento e inventario criptográfico le permiten conocer todos los activos criptográficos de su entorno. Estas actividades pueden automatizarse para mayor rapidez, eficacia y precisión. Una vez que sepa con qué está trabajando, podrá implementar iniciativas de criptoagilidad como la identificación de algoritmos y procesos de gestión de cambios.
A continuación, puede pasar a modernización de la PKI. Una PKI moderna le ofrece una mayor visibilidad de su inventario criptográfico para una gestión eficaz de los activos.
Recursos PQC
La computación cuántica no es un problema de mañana. Es la necesidad de planificación de hoy.
No necesita predecir un plazo para que actúe la informática cuántica; sólo necesita prepararse para los inevitables cambios criptográficos. Dar ahora los primeros pasos hacia la criptoagilidad reforzará su postura de seguridad en el futuro.
Keyfactor es el líder global número 1 en confianza digital y seguridad cuántica segura. Estos son algunos recursos que le ayudarán a crear un inventario criptográfico, habilitar la criptoagilidad y prepararse para la migración a PQC.
- Lea el nuevo eBook: Guía del CISO sobre riesgos criptográficos
- Señale los riesgos de auditoría en segundos con esta hoja de trucos: 30 segundos para el CISO
- Reserve hora para que respondan a sus preguntas: Solicite una demostración aquí
