Mes de Concienciación sobre Ciberseguridad: Nueve aspectos que los equipos de seguridad deben conocer sobre PKI.

Como parte del Mes de Concienciación sobre Ciberseguridad, Keyfactor destaca las formas en que los equipos pueden adaptarse al creciente desafío de gestionar certificados e identidades de máquinas en sus organizaciones. 

Hasta hace poco, la criptografía de clave pública ha sido una práctica bastante especializada. Sin embargo, con la aparición del trabajo remoto, la computación en la nube y los dispositivos IoT, el volumen y la prevalencia de los certificados se han disparado. 

Esta creciente vulnerabilidad se está convirtiendo en un vector de ataque preferido por los ciberdelincuentes. Mientras tanto, las empresas se han visto desprevenidas, esforzándose por evaluar el estado de los certificados en todas sus organizaciones e implementar políticas a largo plazo para protegerlos y gestionarlos.  

El Informe sobre el Estado de la Identidad de Máquinas 2022 de Keyfactor reveló que las empresas tienen un promedio de 269.562 certificados públicos y privados.

La gestión de la infraestructura de clave pública (PKI) es una tarea ardua cuando se añade a las responsabilidades principales de su equipo. Para gestionar y escalar la PKI de manera eficiente, hay muchas cosas que los equipos de seguridad deben saber; por eso hemos presentado nueve que debe tener en cuenta.

Un informe de 2021 de Keyfactor y Ponemon reveló que el 50% de las empresas no saben exactamente cuántas claves y certificados tienen. Y en el Informe sobre el Estado de la Identidad de Máquinas 2022 de Keyfactor, obtener una visibilidad completa de todos los certificados fue la máxima prioridad para la gestión de PKI y certificados.

Esto es sintomático de la proliferación de PKI: varios equipos utilizan diferentes autoridades de certificación (21 en promedio) sin un centro centralizado para rastrear y gestionar los certificados. Para aumentar la complejidad, muchas organizaciones no establecen una titularidad clara de la PKI en toda la empresa. 

La implementación de una solución de gestión del ciclo de vida de los certificados es la respuesta. Keyfactor Command es una solución de gestión y automatización del ciclo de vida de los certificados que puede implementarse en las instalaciones, como servicio o combinarse con una PKI privada alojada en la nube (conocida como PKI-as-a-Service). Independientemente de cómo elija implementarla, podrá descubrir y gestionar rápidamente los certificados existentes en su entorno, y luego escalar las operaciones de PKI a medida que crezcan las necesidades del negocio.

Muchos equipos de TI y seguridad simplemente tienen demasiadas otras prioridades como para incorporar la gestión de PKI en sus responsabilidades diarias. Al fin y al cabo, otras tareas son más centrales para la naturaleza de sus funciones. La PKI pasará a un segundo plano frente al mantenimiento de sistemas, la respuesta a incidentes y la investigación de alertas. Según el Informe sobre el Estado de la Identidad de Máquinas 2022 de Keyfactor:

• El 65% de las empresas están preocupadas por el aumento de la carga de trabajo y el riesgo de interrupciones causadas por una vida útil más corta de los certificados TLS. 
• El 50% afirmó no tener suficiente personal de TI dedicado a su PKI. 
• El 33% de las organizaciones citó la falta de tiempo y presupuesto como su mayor desafío para adoptar una estrategia de gestión de PKI a nivel empresarial.

Mientras tanto, la vida útil de los certificados está disminuyendo para proteger a las empresas de las amenazas de certificados comprometidos o robados. Desde 2020, 398 días ha sido la vida útil ampliamente aceptada para los certificados. Sin embargo, muchas autoridades de certificación están adoptando vidas útiles de 90 días. 

Estas vidas útiles seguirán disminuyendo, lo que significa que los certificados caducarán con mayor frecuencia, aumentando la exposición al riesgo para las organizaciones que no cuenten con un sistema fiable para gestionar la PKI. Sin recursos PKI adecuados, el juego de mantener al día los certificados caducados tendrá costes cada vez más elevados.

“De acuerdo,” piensa usted, “simplemente crearemos un equipo interno de PKI compuesto por los analistas de TI y seguridad que ya tenemos en plantilla.” 

Con demasiada frecuencia, las organizaciones delegan la PKI en personal con poca (o ninguna) experiencia previa en la gestión de PKI. Aunque sus técnicos de TI y seguridad sean muy competentes, parten de cero en un panorama de PKI en constante evolución. 

• El nivel de cambio e incertidumbre en torno a la PKI se clasificó como el principal desafío para la adopción de una estrategia de gestión de PKI a nivel empresarial. 
• La falta de personal cualificado se clasificó como el segundo mayor desafío para la adopción de una estrategia a nivel empresarial. [Informe de Keyfactor sobre el estado de la identidad de las máquinas 2022]

La curva de aprendizaje es demasiado pronunciada y lo que está en juego es demasiado importante para dejar su PKI en manos de cualquiera que no tenga experiencia y conocimientos en el ámbito de la PKI. 

Lograr una PKI correcta comienza con el diseño. Sin embargo, existen numerosos aspectos del diseño de la PKI que, una vez configurados, no pueden modificarse sin un redespliegue completo. Estos aspectos rígidos tienen implicaciones significativas para el uso a largo plazo de su PKI.

El personal y los recursos dedicados a la PKI se están volviendo de misión crítica. Si la PKI debe recaer en profesionales de TI y seguridad con otras responsabilidades importantes, las organizaciones deben esforzarse por minimizar la complejidad de la gestión de la PKI en la medida de lo posible. 

En cualquier contexto, los procesos manuales son el enemigo de la modernización, la escalabilidad y la transformación. En el contexto de una PKI, los procesos manuales, junto con la falta de experiencia en PKI, crean una receta para el desastre.

• El proceso de solicitar, generar y desplegar manualmente un nuevo certificado es tedioso, especialmente cuando quienes lo hacen no están familiarizados con la PKI. 
• El 42 % de las organizaciones sigue utilizando hojas de cálculo para rastrear y gestionar certificados. Sin embargo, las hojas de cálculo no pueden notificarle cuándo un certificado caduca o está a punto de caducar, ni pueden señalar los errores que conlleva la entrada manual de datos. 
• Los procesos manuales se prestan a un uso ad hoc e inconsistente por parte de los equipos. Esta falta de estandarización dificulta impulsar y escalar las mejores prácticas.
• Cuando se revelan vulnerabilidades, actuar rápidamente para reemplazar certificados es vital; sin embargo, los procesos manuales imposibilitan responder con la velocidad necesaria. Esto es especialmente cierto en caso de compromiso de una CA, lo que requiere una emisión masiva de nuevos certificados.

La automatización es la respuesta. Con una plataforma centralizada de gestión de PKI, no tiene que supervisar constantemente sus certificados. Desde la monitorización continua y las alertas automatizadas hasta las integraciones de API y la posibilidad de que los usuarios finales realicen sus propios procesos de certificados, la automatización de los procesos de PKI es clave para permitir la escalabilidad.

El trabajo remoto, el IoT, DevOps — el perímetro de red tradicional ya no es lo que era. Los miembros del equipo necesitan acceso seguro a los sistemas y aplicaciones que permiten sus flujos de trabajo. En cuanto al trabajo remoto y el IoT, el desafío de asegurar los dispositivos reside en una nueva serie de condiciones y factores que escapan a su control. Si alguien trabaja de forma remota, los dispositivos y las redes a través de los cuales acceden a sus servidores pueden no cumplir con los estándares de seguridad. Para los dispositivos IoT, el dispositivo debe conectarse a un servidor para validar la propiedad, sin importar dónde se active.

Para DevOps, todo se trata de escalabilidad y velocidad. Los procesos manuales de PKI descritos anteriormente presentan un desafío significativo para el impulso de DevOps y el logro de CI/CD. Una PKI optimizada y eficiente puede acelerar los ciclos de desarrollo mientras mejora la calidad, todo ello sin sacrificar la seguridad.

Por muy robusta que sea su postura de seguridad hoy, se deteriorará con el tiempo. Siempre surgen nuevas tecnologías y amenazas. Con el tiempo suficiente, cualquier implementación de seguridad caerá, y ningún método de cifrado individual es invencible. 

La agilidad empresarial significa la capacidad de adaptarse rápidamente con mínimas interrupciones. En el contexto de una PKI, la criptoagilidad significa que su empresa puede evolucionar sus procesos de PKI sin interrumpir toda la infraestructura de TI o seguridad. La criptoagilidad permite a las organizaciones adelantarse a las vulnerabilidades antes de que se revelen por una interrupción, una brecha o una sanción por incumplimiento. 

La agilidad y la adaptabilidad crean sostenibilidad—una arquitectura de PKI duradera que puede crecer junto con su empresa, mantenerse al día con las crecientes regulaciones de cumplimiento e incluso contribuir a las iniciativas de innovación.

La explosión de casos de uso y el volumen en torno a la PKI hacen necesaria un nuevo conjunto de mejores prácticas. Cuando se implementan desde el principio, estas prácticas pueden preservar la integridad de su PKI y evitarle un redespliegue disruptivo más adelante. 

Con la PKI, no hay improvisación sobre la marcha. Necesita una hoja de ruta detallada en mano antes de dar el primer paso.

• ¿Cómo se utiliza la PKI en su organización y cómo deberá utilizarse en el futuro?
• ¿Cuáles son las mejores políticas y procedimientos para gestionar los certificados a lo largo de su ciclo de vida en su organización? 
• ¿Qué controles implementará para respaldar estas políticas y procedimientos? 
• ¿Cómo capturará, explicará y documentará los cambios en su plan y en su PKI?

Configurar su PKI con un buen diseño es solo el principio. Una PKI requiere una cantidad considerable de cuidado y mantenimiento para seguir siendo funcional. Esto es arriesgado para los equipos de seguridad centrados en implementar la PKI, pero no en operarla indefinidamente.

Al gestionar la PKI internamente, debe incorporar auditorías periódicas en su práctica de PKI. Una auditoría debe incluir una revisión y pruebas de todo lo enumerado en su Política de Certificados y Declaraciones de Prácticas de Certificación (CP/CPS), la continuidad del negocio y los planes de recuperación ante desastres para todos los componentes de la PKI. Si existe una necesidad legítima de un cambio, inicie un control de cambios para actualizar cualquiera de los documentos. Considérelos documentos vivos que evolucionan para mantener el nivel de garantía previsto de la PKI.

Las organizaciones que programan y realizan sus propias auditorías internas pueden identificar problemas de forma regular y sencilla, responder a las preguntas de los auditores externos y proporcionar pruebas del nivel de garantía requerido. Los propietarios de PKI también deben monitorear y comparar sus controles de PKI empresariales con los estándares actuales y emergentes, incluidos el CA/Browser Forum, WebTrust y las agencias reguladoras de la industria. Esto ayuda a la organización a adelantarse a las tendencias que, de otro modo, podrían conducir a deficiencias en la PKI. Otra buena práctica es realizar una revisión anual del estado de la PKI para descubrir cualquier aspecto que la organización no haya considerado.

Los recursos necesarios para diseñar, implementar, mantener y evolucionar la PKI internamente conllevan un alto costo y una elevada barrera técnica, especialmente en medio de la actual escasez de mano de obra en ciberseguridad. 

​​Entonces, ¿cómo abordar adecuadamente la implementación de la PKI, gestionar el aumento generalizado de certificados que fluyen por su empresa y escalar la PKI mediante la visibilidad, la trazabilidad y la automatización ante un panorama en rápida evolución?

Un socio con profunda experiencia en PKI puede ofrecerle una solución llave en mano para implementar y operar su propia PKI interna, o puede ofrecer una gestión total de PKI como un servicio de guante blanco.

Los riesgos de una gestión inadecuada de la PKI solo aumentarán, pero la complejidad no tiene por qué hacerlo. Keyfactor ayuda a las empresas (incluidas aquellas con equipos con recursos insuficientes) a proteger cada clave y certificado digital para empresas multi-nube, DevOps y seguridad de IoT integrada. Haga clic aquí para obtener más información sobre lo que ofrecemos, incluyendo cómo nuestra PKI en la Nube como Servicio ofrece a cada organización acceso a un equipo de élite de expertos en ciberseguridad.