Impulsando la confianza y el cumplimiento en los servicios financieros

En el complejo panorama empresarial actual y en un mundo cada vez más digital, organizaciones de todo tipo se enfrentan a los desafíos universales de establecer confianza y garantizar el cumplimiento. Esto es particularmente cierto entre las organizaciones de servicios financieros.

No obstante, la confianza y el cumplimiento son esenciales para el éxito continuo. Entonces, ¿qué se necesita? Nos reunimos recientemente para discutir cómo las organizaciones de servicios financieros pueden introducir una PKI escalable y flexible para ayudar a cumplir con los estrictos requisitos regulatorios mientras impulsan la innovación y mejoran las experiencias del cliente, construyen un marco de seguridad robusto basado en las mejores prácticas de la industria y optimizan los procesos de gestión de identidad y acceso. Continúe leyendo para un resumen de nuestra conversación, o haga clic aquí para ver el webinar completo.

El mundo que nos rodea está cambiando: mientras que muchas organizaciones anteriormente operaban sus propios centros de datos, asegurando todo dentro de un perímetro físico, eso ya no es así. Cada vez más organizaciones confían en la nube, por ejemplo a través de Azure, para asegurar recursos tanto dentro como fuera de las cuatro paredes de una oficina. Y este nuevo enfoque requiere que las empresas identifiquen fácilmente a los usuarios y dispositivos, dondequiera que se encuentren – incluso si están en un área completamente desprotegida – y les otorguen el acceso justo para realizar sus tareas y nada más. El uso de certificados basados en identidad respalda este nuevo mundo.

Todo esto cobra especial relevancia al considerar las identidades de máquina, que están presentes en todas partes hoy en día (pensemos en ordenadores de escritorio, teléfonos, dispositivos IoT). No obstante, la gestión de las identidades de máquina presenta desafíos por varias razones:

• Las identidades de máquina suelen ser invisibles, a pesar de desempeñar un papel vital en la garantía de la integridad y confidencialidad de las comunicaciones críticas. 
• Las identidades de máquina también carecen de una propiedad clara, ya que muchos equipos a menudo desconocen cuántas existen, quién las posee, cómo se utilizan y dónde se utilizan.
• Las identidades de máquina tienen una vida útil corta, pero también deben ser fiables y dignas de confianza, ya que salvaguardan las transacciones financieras y los datos de los clientes.

A pesar de estos desafíos, una gestión adecuada de las identidades de máquina es esencial, ya que contribuyen a reforzar la seguridad de los servicios financieros al generar confianza. Cuando se gestionan correctamente mediante certificados y PKI, las identidades de máquina nos permiten saber que podemos confiar en un dispositivo – que son quienes dicen ser y que no están utilizando un certificado falsificado.

¿Qué implica esto? Existen tres aspectos clave en los certificados y la PKI para identidades de máquina:

• Emisión de certificados digitales: Aquí es donde comienza todo. Es necesario emitir certificados adecuados para gestionar las identidades de usuarios y dispositivos de forma apropiada – asegurando que se emiten a las personas o dispositivos correctos y que estas personas y dispositivos están autorizados y son de confianza.
• Automatización de la gestión del ciclo de vida de los certificados: A continuación, ¿qué se hace después de emitir un certificado? Tiene un ciclo de vida completo que requiere gestión – instalación, vinculación, uso y revocación del certificado – y la mejor manera de lograrlo es mediante la automatización.
• Gestión de firmas digitales: Finalmente, los certificados pueden ayudar a soportar las firmas digitales, ya sea para la firma de código, la firma de documentos o cualquier otra aplicación.

Según el Informe sobre el Estado de la Gestión de Identidades de Máquina 2023 de Keyfactor, los principales puntos débiles y desafíos en torno a las identidades de máquina para muchas organizaciones, incluidas las empresas de servicios financieros, son:

• Modelos de PKI descentralizados: Con frecuencia, surgen nuevos casos de uso y diferentes equipos comienzan a operar a su manera. Aunque esto puede ser una solución provisional para acelerar los procesos, con el tiempo se acumula y genera una dispersión que resulta muy difícil de gestionar para una sola persona o incluso un solo equipo. Al fin y al cabo, es muy complicado recuperar el control centralizado de lo que ocurre cuando la PKI se implementa de forma diferente en cada lugar, y mucho menos tener visibilidad de lo que está sucediendo.
• Certificados de vida útil corta: La vida útil de los certificados es cada vez más corta, con la posibilidad de una duración de 90 días para los certificados TLS en el horizonte. Estas vidas útiles más cortas implican que los certificados requieren una atención y gestión más frecuentes.

• Requisitos de atestación de claves: Las nuevas reglas para la atestación de claves del Foro de Autoridades de Certificación y Navegadores (CA/B) sobre cómo proteger las claves de firma de código también exigen una mayor atención por parte de los equipos de seguridad.

• Revolución postcuántica: La preparación para la transición a los algoritmos cuánticos seguros candidatos de NIST ocupa ahora una gran cantidad de tiempo y energía, especialmente porque aún no conocemos los detalles sobre cuándo y cómo será esta transición.

Y la complejidad de los entornos PKI actuales no hace más que exacerbar estos desafíos, en lugar de simplificar las cosas. Algunos de los mayores obstáculos de la PKI son:

• Dispersión de CA y PKI: Muchas empresas tienen diferentes soluciones para emitir y gestionar certificados para cada caso de uso potencial (muchas de las cuales también están desactualizadas). Cuando esto ocurre, especialmente en grandes organizaciones, los equipos terminan con múltiples implementaciones de PKI dispares, lo que genera mucha complejidad y una visibilidad limitada. Esto se convierte en un problema grave cuando las organizaciones tienen un promedio de 256.000 certificados en nueve soluciones PKI diferentes.

• Certificados autofirmados: Muchas organizaciones ni siquiera utilizan una solución PKI para algunos de sus casos de uso y, en su lugar, emplean certificados autofirmados. Por ejemplo, emiten un certificado de 10 años solo para cumplir un requisito y hacer que una aplicación funcione, y luego se olvidan de él. Sin embargo, esto puede causar problemas importantes a largo plazo – tanto en términos de vulnerabilidades de seguridad como de riesgos de auditoría.

• Falta de gobernanza: Cuando las empresas tienen demasiadas soluciones PKI y/o no utilizan ninguna, mantener el control se vuelve casi imposible. Supongamos que una solución puntual fue implementada por un empleado específico, pero ahora este ya no trabaja en la empresa, y se produce una interrupción porque algo ha caducado – ¿alguien tiene acceso para tomar el control? Con frecuencia, la respuesta es no.

• Falta de experiencia: Muchas empresas tienen dificultades para encontrar expertos en PKI y terminan delegando estas responsabilidades en personas con poca experiencia en PKI, lo que genera aún más riesgo.

¿Cuál es entonces la solución a todo esto? Una PKI escalable y flexible, capaz de soportar una variedad de casos de uso, asegurar nuevas aplicaciones, fuerzas de trabajo, dispositivos e infraestructuras, y reducir la complejidad general. En última instancia, la configuración PKI adecuada proporciona visibilidad y control completos sobre su entorno. 

Una solución PKI escalable y flexible permite a los administradores rastrear, monitorear y actualizar certificados fácilmente en diversos dispositivos y líneas de productos. Soporta la gestión del ciclo de vida, procesos de renovación automatizados y la capacidad de revocar y reemplazar certificados comprometidos o desactualizados. Además, se integra con los marcos y herramientas de seguridad existentes para optimizar los flujos de trabajo y garantizar una operatividad sin interrupciones – especialmente para la firma de código, lo que minimiza el riesgo de ejecutar Software malicioso y asegura todas las nuevas versiones para las aplicaciones orientadas al cliente. Y quizás lo más importante, utiliza la automatización para mantener el ritmo, ya que el aprovisionamiento y la gestión manual de certificados se vuelven poco prácticos y propensos a errores a gran escala.

Por supuesto, no se trata solo de tener la solución PKI adecuada: las organizaciones también necesitan una gestión apropiada. Aquí es donde vemos a los equipos retomar la PKI como una función central, convirtiéndola en un servicio compartido interno para proporcionar a todos en la organización servicios controlados, fiables y automatizados que son fáciles de monitorear. Este enfoque no solo reduce el riesgo, sino que también ahorra tiempo y dinero.

Todo esto es particularmente importante en los servicios financieros, donde las organizaciones no solo deben asegurar casos de uso de TI típicos como el correo electrónico, sino también aplicaciones bancarias internas, transacciones, procesamiento de pagos y mucho más.

EQ Bank opera extensamente de forma electrónica e identificó la PKI como un pilar de seguridad clave para su organización. Desafortunadamente, contaban con una infraestructura PKI muy dispersa, compuesta por soluciones puntuales difíciles de gestionar. Específicamente, tenían dificultades para obtener un inventario preciso de sus certificados, les costaba gestionar las solicitudes internas y no se sentían bien preparados para superar las auditorías.

Para revertir la situación, EQ Bank implementó Keyfactor como un servicio centralizado y compartido para respaldar toda su gestión del ciclo de vida de los certificados. Keyfactor les permitió optimizar el proceso de emisión de certificados, automatizando todo, desde la puesta en producción hasta la rotación y renovación de los mismos. Como resultado, ya no realizan un seguimiento manual y han evitado interrupciones debido a certificados caducados. Además, ahora disponen de una forma rápida y sencilla de inventariar todos los certificados internos y externos, y su equipo de DevOps puede automatizar la emisión y rotación de certificados en sus contenedores Docker, Azure Kubernetes Service e implementaciones de malla de servicios Istio. Ahora, el banco considera la PKI como una capa de seguridad mucho más robusta y sabe que está en una buena posición para superar las auditorías.

Las organizaciones de servicios financieros deben anticiparse a los posibles riesgos de seguridad implementando un programa PKI escalable y flexible lo antes posible. Ser proactivo en esta área, especialmente en lo que respecta a la realización de auditorías propias y la resolución de cualquier problema, es fundamental para minimizar el riesgo.

Esta proactividad comienza reemplazando los procesos estáticos y manuales con una seguridad dinámica y automatizada que facilita la identificación y gestión de certificados a lo largo de todo su ciclo de vida. También requiere el equipo adecuado para gestionar esa solución, para que pueda garantizar que cada carga de trabajo, dispositivo y entregable de Software esté autenticado, y así pueda mantener la visibilidad y fiabilidad necesarias para evitar interrupciones.

¿Le interesa saber más sobre lo que se necesita y cómo Keyfactor puede ayudar a las organizaciones de servicios financieros a priorizar la PKI? Haga clic aquí para ver el webinar completo para una discusión más profunda, incluyendo un análisis detallado de Keyfactor Signum, que ahora está disponible en Microsoft Azure para que los desarrolladores puedan firmar código y contenedores de forma fácil y segura sin interrupciones en la productividad.