Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

  • Inicio
  • Blog
  • Gestión de claves y consecuencias de una auditoría fallida

Gestión de claves y consecuencias de una auditoría fallida

Reflexiones del Director de Seguridad, Chris Hickman, sobre el Informe 2019 Keyfactor -Ponemon Institute: El impacto de las identidades digitales inseguras

Miles de certificados digitales protegen su empresa cada día, pero muchas organizaciones sólo tienen visibilidad de unos pocos cientos en el mejor de los casos. A medida que más usuarios, dispositivos y aplicaciones se incorporan a la red, el número de claves y certificados no deja de crecer, pero los presupuestos y el personal no dan abasto.

Y las normativas de cumplimiento parecen evolucionar con la misma rapidez, dejando a los equipos de TI y seguridad luchando por cumplir las líneas de base normativas, por no hablar de adelantarse.

Para quienes están en primera línea de la infraestructura de clave pública (PKI), llevar un registro de claves y certificados puede parecer fácilmente el Salvaje Oeste, donde los administradores deshonestos y los ciberdelincuentes son una amenaza constante para la empresa que se esfuerzan por defender. Pero para los ejecutivos de ciberseguridad y TI que no participan en el día a día, todo sigue igual.

Hasta que el auditor llama a la puerta...

La inevitable auditoría de gestión de claves: ¿Está preparado?

Ya es bastante difícil adelantarse a los certificados caducados, pero eso solo no basta. Las organizaciones están cada vez más sujetas al escrutinio de los reguladores del sector. Los auditores quieren saber que las claves y certificados de su organización están gestionados, protegidos y son coherentes con las normas del sector.

El incumplimiento de las normas suele conllevar la imposición de plazos para su corrección, la desviación de personal informático altamente cualificado de proyectos estratégicos y la lucha por encontrar y reparar los activos no conformes.

Tampoco se trata sólo de auditorías ocasionales.

A medida que las organizaciones tienden hacia las tarjetas de puntuación de seguridad y los programas de ciberseguridad basados en indicadores clave de rendimiento (a veces vinculados a la remuneración), los equipos de seguridad y cumplimiento de TI deben garantizar que todos y cada uno de los certificados se ajustan a las normas de la organización, y ser capaces de demostrarlo.

Para responder a estos escenarios de auditoría, sus equipos necesitarán generar un informe que demuestre que cada certificado se ajusta a las políticas corporativas y a las normas del sector.

Suena sencillo, ¿verdad? Pues no.

Cumplimiento de la normativa

Un estudio reciente del Ponemon Institute sobre El impacto de las identidades digitales inseguras revela que la mayoría de las organizaciones siguen teniendo dificultades para cumplir la normativa. A continuación se exponen algunos de los aspectos más destacados del estudio, elaborado a partir de las aportaciones de casi 600 encuestados:

  • Los encuestados experimentaron una media de más de cinco incidentes de auditoría o cumplimiento fallidos en los últimos dos años.
  • Las pérdidas económicas medias de estos incidentes se estiman en 14,4 millones de dólares.
  • La productividad de los usuarios y de los equipos de seguridad informática es la más afectada por las auditorías fallidas
  • Hay un 42% de probabilidades de que las organizaciones compartan la misma experiencia en los próximos dos años

Pero, ¿por qué las organizaciones fracasan tan a menudo en el cumplimiento de la normativa?

En la mayoría de los casos, los certificados falsos y no conformes se cuelan en la red debido a la falta de controles estrictos de las solicitudes de certificados y a una aplicación insuficiente de las políticas.

Dado que los certificados digitales desempeñan un papel fundamental en prácticamente todas las líneas de negocio -desde la protección de la red y los dispositivos conectados hasta la seguridad del sitio web-, son muchas las partes interesadas. Los procesos convencionales, lentos y manuales, para obtener certificados de TI suelen llevar a otras unidades de negocio a optar por alternativas más rápidas y no conformes.

Cuando no existen controles sobre la forma en que los administradores solicitan, renuevan e instalan los certificados, es mucho más probable que infrinjan las políticas de TI, y rápidamente resulta imposible saber dónde se encuentra cada certificado, cómo se utilizan o quién es su propietario.

El mayor error es pensar que el seguimiento manual en Excel o en una base de datos superará los requisitos de auditoría. Los auditores verán estas hojas de cálculo con un escrutinio aún mayor, asegurándose de que los datos no han sido manipulados o introducidos incorrectamente.

Si está familiarizado con este proceso, sabrá que puede llevar varios días o incluso más en entornos grandes. En pocas palabras: una gestión de claves y certificados no controlada, no documentada y no aplicada inevitablemente convertirá cada auditoría en una pesadilla logística.

3 formas de garantizar el éxito de las auditorías de gestión de claves

¿Qué puede hacer para que su próxima auditoría sea un éxito?

  • Automatice las solicitudes de certificados: Aplique controles estrictos y automatice el proceso para que cada unidad de negocio solicite, renueve y emita certificados. De este modo, mantendrá un inventario completo y un seguimiento de auditoría de las claves y los certificados desde una única ubicación, y sus equipos cambiarán los procesos manuales que tanto tiempo consumen por un autoservicio instantáneo.
  • Invierta en criptoagilidad: Saber dónde vive cada certificado es sólo una parte del reto de la auditoría. Si una auditoría descubre infracciones de las políticas, debe ser capaz de cambiar rápidamente las claves y los certificados de los activos, sin intervención manual.
  • Considere la posibilidad de una PKI alojada en la nube: los proveedores de servicios de PKI gestionados suelen proporcionar mejores pruebas para los puntos de auditoría que las soluciones locales, en virtud del requisito de que las soluciones de seguridad alojadas en la nube cumplan las normas del sector.

Como ejecutivos de ciberseguridad y TI, sabemos que una sola auditoría fallida puede afectar gravemente a la productividad de nuestros equipos, a la reputación de nuestra marca y, por supuesto, a la confianza en nuestra propia capacidad para mantener el negocio seguro y protegido.

Nuestro papel es sacar la ciberseguridad del sótano y llevarla a la sala de juntas. Con un asiento en la mesa, nuestros equipos pueden planificar formas más eficaces de hacer frente a las amenazas emergentes y a los obstáculos de cumplimiento, reduciendo el riesgo de fallos imprevistos (y costosos) en las auditorías.

Me encantaría conocer la experiencia de su empresa y compararla con las conclusiones del informe. Póngase en contacto conmigo y encontremos un momento para hablar.