Impulsar la confianza y el cumplimiento en los servicios financieros

En el complejo panorama empresarial actual y en un mundo cada vez más digital, las organizaciones de todo tipo se enfrentan a los retos universales de establecer la confianza y garantizar el cumplimiento. Esto es especialmente cierto entre las organizaciones de servicios financieros.

Sin embargo, la confianza y el cumplimiento son esenciales para el éxito continuo. Entonces, ¿qué hace falta? Hace poco nos reunimos para hablar de cómo las organizaciones de servicios financieros pueden introducir una PKI escalable y flexible que les ayude a cumplir los estrictos requisitos normativos al tiempo que impulsan la innovación y mejoran la experiencia de los clientes, crean un marco de seguridad sólido basado en las mejores prácticas del sector y agilizan los procesos de gestión de identidades y accesos. Siga leyendo para obtener un resumen de nuestra conversación, o haga clic aquí para ver el seminario web completo.

El mundo que nos rodea está cambiando: Mientras que antes muchas organizaciones gestionaban sus propios centros de datos, asegurando todo dentro de un perímetro físico, eso ya no es así. Cada vez más organizaciones confían en la nube, por ejemplo a través de Azure, para asegurar los recursos tanto dentro como fuera de las cuatro paredes de una oficina. Y este nuevo enfoque requiere que las empresas identifiquen fácilmente a los usuarios y dispositivos, estén donde estén -incluso si se encuentran en una zona completamente desprotegida- y les den el acceso justo para realizar su trabajo y nada más. El uso de certificados basados en la identidad respalda este nuevo mundo.

Todo esto adquiere especial importancia cuando nos fijamos en las identidades de máquina, que hoy en día están en todas partes (pensemos en ordenadores de sobremesa, teléfonos, dispositivosIoT ). Pero la gestión de las identidades de máquina es un reto por varias razones:

• Las identidades de las máquinas suelen ser invisibles, aunque desempeñan un papel vital para garantizar la integridad y confidencialidad de las comunicaciones críticas.
• Las identidades de las máquinas también carecen de una propiedad clara, ya que muchos equipos desconocen cuántas hay, a quién pertenecen, cómo se utilizan y dónde.
• Las identidades automáticas son efímeras, pero también deben ser fiables y dignas de confianza, ya que salvaguardan las transacciones financieras y los datos de los clientes.

A pesar de estos retos, es esencial gestionar correctamente las identidades de máquina, ya que contribuyen a reforzar la seguridad de los servicios financieros al generar confianza. Cuando se gestionan correctamente mediante certificados y PKI, las identidades de máquina nos permiten saber que podemos confiar en un dispositivo, que es quien dice ser y que no está utilizando un certificado falsificado.

¿Qué se necesita? Hay tres aspectos clave en los certificados y la PKI para las identidades de máquinas:

• Emisión de certificados digitales: Aquí es donde empiezan las cosas. Tienes que emitir los certificados adecuados para gestionar las identidades de los usuarios y dispositivos de forma apropiada, asegurándote de que se emiten para las personas o dispositivos correctos y de que esas personas y dispositivos están autorizados y son de confianza.
• Automatización de la gestión del ciclo de vida de los certificados: ¿Qué hacer después de emitir un certificado? Hay que gestionar todo su ciclo de vida (instalación, vinculación, uso y revocación del certificado) y la mejor forma de hacerlo es mediante la automatización.
• Gestión de firmas digitales: Por último, los certificados pueden ayudar a soportar firmas digitales, ya sea firma de código, firma de documentos o cualquier otra cosa.

Según el informe 2023 State of Machine Identity Management Report de Keyfactor, los mayores puntos débiles y retos en torno a las identidades de máquina para muchas organizaciones, incluidas las empresas de servicios financieros, son:

• Modelos PKI descentralizados: A menudo surgen nuevos casos de uso y diferentes equipos empiezan a hacer las cosas a su manera. Si bien esto está bien como un parche para que las cosas avancen más rápido, con el tiempo se acumula y crea una dispersión que se vuelve muy difícil de gestionar para una persona o incluso para un equipo. Después de todo, es muy difícil recuperar el control centralizado de lo que está pasando cuando PKI se hace de manera diferente en todas partes, por no hablar de tener alguna visibilidad de lo que está sucediendo.
• Certificados efímeros: La vida útil de los certificados es cada vez más corta, con la posibilidad de que los certificados de TLS tengan una vida útil de 90 días en el horizonte. Esta vida útil más corta significa que los certificados requieren una atención y una gestión más frecuentes.

• Requisitos de atestación de claves: Las nuevas normas de atestación de claves del Foro de Autoridades de Certificación y Navegación (CA/B) sobre cómo proteger las claves de firma de código también requieren más atención por parte de los equipos de seguridad.

• Después de la revolución cuántica: La preparación de la transición a algoritmos seguros para la cuán tica, candidatos al NIST, ocupa ahora mucho tiempo y energía, sobre todo porque aún desconocemos cuándo y cómo se producirá.

Y la complejidad de los entornos PKI actuales no hace sino exacerbar estos retos, en lugar de facilitar las cosas. Algunos de los mayores obstáculos de la PKI son:

• CA y la proliferación de PKI: Muchas empresas tienen diferentes soluciones para emitir y gestionar certificados para cada caso de uso potencial (muchas de las cuales, además, están obsoletas). Cuando esto ocurre, sobre todo en las grandes organizaciones, los equipos acaban teniendo varias implementaciones de PKI dispares, lo que genera una gran complejidad y una visibilidad limitada. Esto se convierte en un grave problema cuando las organizaciones tienen una media de 256.000 certificados en nueve soluciones PKI diferentes.

• Certificados autofirmados: Muchas organizaciones ni siquiera utilizan una solución PKI para algunos de sus casos de uso y en su lugar utilizan certificados autofirmados. Por ejemplo, emiten un certificado de 10 años sólo para marcar una casilla y hacer que una aplicación funcione y se olvidan de ella. Pero esto puede causar graves problemas a largo plazo, tanto en términos de vulnerabilidades de seguridad como de riesgos de auditoría.

• Falta de gobernanza: Cuando las empresas tienen demasiadas soluciones PKI y/o no utilizan ninguna, mantener el control se convierte en algo casi imposible. Supongamos que había una solución puntual creada por un empleado en particular, pero ahora ya no está en la empresa y se produce una interrupción porque algo ha caducado: ¿tiene alguien acceso para tomar el control? A menudo, la respuesta es no.

• Falta de experiencia: Muchas empresas tienen dificultades para encontrar expertos en PKI y acaban delegando estas responsabilidades en personas con poca experiencia en PKI, lo que genera aún más riesgos.

Entonces, ¿cuál es la solución a todo esto? PKI escalable y flexible, que puede soportar una variedad de casos de uso, asegurar nuevas aplicaciones, fuerzas de trabajo, dispositivos e infraestructura, y reducir la complejidad en general. En última instancia, la configuración correcta de PKI proporciona visibilidad y control totales sobre su entorno. 

Una solución PKI escalable y flexible permite a los administradores rastrear, supervisar y actualizar fácilmente certificados en varios dispositivos y líneas de productos. Admite la gestión del ciclo de vida, procesos de renovación automatizados y la capacidad de revocar y sustituir certificados en peligro o caducados. Además, se integra con los marcos y herramientas de seguridad existentes para agilizar los flujos de trabajo y garantizar una operatividad sin fisuras, especialmente para la firma de código, que minimiza el riesgo de ejecutar software malintencionado y asegura todas las nuevas versiones de las aplicaciones orientadas al cliente. Y quizás lo más importante, utiliza la automatización para mantener el ritmo, ya que el aprovisionamiento y la gestión manuales de certificados resultan poco prácticos y propensos a errores a gran escala.

Por supuesto, no se trata sólo de disponer de la solución PKI adecuada: Las organizaciones también necesitan una gestión adecuada. Ahí es donde vemos quelos equipos recuperan la PKI como función central, convirtiéndola en un servicio compartido interno para proporcionar a todos los miembros de la organización servicios controlados, fiables y automatizados que son fáciles de supervisar. Este enfoque no sólo reduce el riesgo, sino que también ahorra tiempo y dinero.

Todo esto es especialmente importante en los servicios financieros, donde las organizaciones no sólo deben proteger los casos de uso típicos de TI, como el correo electrónico, sino también las aplicaciones bancarias internas, las transacciones, el procesamiento de pagos, etc.

EQ Bank realiza muchas transacciones electrónicas e identificó PKI como un pilar de seguridad clave para su organización. Por desgracia, tenían una huella de PKI muy dispersa que consistía en soluciones puntuales que eran difíciles de gestionar. En concreto, tenían dificultades para obtener un inventario preciso de sus certificados, les costaba gestionar las solicitudes internas y no se sentían bien posicionados para superar las auditorías.

Para dar la vuelta a la situación, EQ Bank implantó Keyfactor como servicio compartido central para dar soporte a toda la gestión del ciclo de vida de sus certificados. Keyfactor les permitió agilizar el proceso de emisión de certificados automatizando todo, desde la puesta en producción de los certificados hasta su rotación y renovación. Como resultado, ya no realizan un seguimiento manual y han evitado interrupciones debidas a certificados caducados. Además, su equipo de DevOps puede automatizar la emisión y rotación de certificados en sus contenedores Docker, el servicio Azure Kubernetes y las implementaciones de malla de servicios Istio. Ahora, el banco considera la PKI como una capa de seguridad mucho más sólida y sabe que está en una buena posición para superar las auditorías.

Las organizaciones de servicios financieros deben adelantarse a los posibles riesgos de seguridad implantando un programa PKI escalable y flexible cuanto antes. Ser proactivo en este ámbito, sobre todo a la hora de realizar sus propias auditorías y solucionar cualquier problema, es fundamental para minimizar los riesgos.

Esta proactividad empieza por sustituir los procesos estáticos y manuales por una seguridad dinámica y automatizada que facilite la identificación y gestión de certificados a lo largo de todo su ciclo de vida. También requiere que el equipo adecuado gestione esa solución para que pueda asegurarse de que cada carga de trabajo, dispositivo y entregable de software está autenticado, y para que pueda mantener la visibilidad y fiabilidad que necesita para evitar interrupciones.

¿Le interesa saber más sobre lo que se necesita y cómo Keyfactor puede ayudar a las organizaciones de servicios financieros a dar prioridad a PKI? Haga clic aquí para ver el seminario web completo para un debate más profundo, incluyendo una mirada en profundidad a Keyfactor Signum , que ya está disponible en Microsoft Azure para que los desarrolladores firmen código y contenedores de forma fácil y segura sin ninguna interrupción de la productividad.