Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

Limpie su criptodesorden con la gestión de criptografía empresarial

Criptoagilidad

Si gestiona claves y certificados para shell seguro (SSH), SSL/TLS y otros sistemas y operaciones relacionados con la infraestructura de clave pública (PKI), es probable que tenga un lío criptográfico entre manos.

¿Por qué?

Como en muchas empresas, las decisiones sobre la gestión de la criptografía las toman grupos dispares. Cada función de ECM tendrá diferentes equipos que se ocupen de los retos que plantea su gestión específica de la criptografía.

ECM - Funciones Equipos Retos para la empresa

Qué se necesita para limpiar su cripto-desorden

Lo que los CISO y los responsables de seguridad buscan para ayudar a gestionar la seguridad de las claves y los secretos es una orquestación sin fisuras en todas las unidades de negocio. Esta orquestación garantiza que sus sistemas estén protegidos y que sus empleados puedan realizar su trabajo de forma eficiente sin introducir vulnerabilidades.

En un nuevo informe publicado por TAG Cyber, se expone una metodología práctica para gestionar el ciclo de vida criptográfico de extremo a extremo, destinada a los equipos de las empresas.

Metodología de principio a fin

Paso 1: Definir políticas y responsabilidades

Como cualquier otra política de TI o ciberseguridad, la definición de políticas y responsabilidades de ECM debe racionalizar las tareas que la componen para alcanzar los objetivos de seguridad y las metas empresariales.

Una política exhaustiva debe comenzar con una estrategia de alto nivel y pasar a detalles más tácticos, como la generación, distribución, contabilidad, almacenamiento, uso y destrucción de claves, así como directrices de autorización y controles de seguridad para las claves.

Los pasos importantes en la creación de un proceso de ciclo de vida de ECM organizativo incluyen las siguientes tareas:

  • Defina los objetivos y la estrategia de ECM: Desarrolle y documente los objetivos y la estrategia de gestión de claves y certificados de la organización, incluyendo si el programa será centralizado o descentralizado, quién será el responsable, dónde se almacenarán las políticas y cómo se mantendrán.
  • Documentar la arquitectura ECM existente: Desarrollar y documentar la arquitectura actual de gestión de claves y certificados de la organización. Esto requiere una atención temprana al inventario para las tareas ECM relevantes que están en curso.
  • Identificar los requisitos de cifrado pertinentes: Validar los requisitos de cifrado presentes y futuros, incluido cualquier mandato de auditoría o normativo de organismos externos.

Paso 2: Elaborar un inventario criptográfico

Las herramientas automatizadas de inventario criptográfico localizan, identifican e informan de las claves y certificados configurados. Estas herramientas ayudan a los administradores a realizar un seguimiento del uso criptográfico y a limitar la proliferación de claves, validar los controles de acceso y garantizar la rotación oportuna de las claves SSH.

Algunos métodos comunes de descubrimiento que son fundamentales para obtener una visibilidad completa mediante el soporte de herramientas son los siguientes:

  • Integración de CA para SSL/TLS: La integración directa con las autoridades de certificación ayuda a identificar cada certificado emitido.
  • Detección basada en red para SSL/TLS: Las herramientas pueden escanear rangos de IP, subredes y puertos para encontrar certificados de SSL .
  • Detección en el dispositivo de claves SSH y SSL/TLS : Esto incluye el descubrimiento basado o sin agente de almacenes de claves y sistemas de archivos.
  • IaaS para certificaciones emitidas desde la nube: Nuevos protocolos como el Protocolo de Interoperabilidad de Gestión de Claves (KMIP) de OASIS ayudan a los distintos proveedores de nube a descubrir certificados y proporcionar capacidades de "traiga su propia clave" (BYOK).

Paso 3: Identificar y corregir las vulnerabilidades

El uso de la criptografía puede incluir vulnerabilidades que podrían amenazar la confidencialidad, integridad o disponibilidad de los datos o sistemas que se pretende proteger.

Algunas de las vulnerabilidades más comunes que los equipos empresariales podrían identificar en sus algoritmos, protocolos, herramientas y sistemas criptográficos desplegados son las siguientes:

  • Algoritmos: Algoritmos débiles que pueden ser vulnerables a ataques presentes y futuros.
  • Almacenamiento: Almacenamiento y gestión inadecuados de claves que pueden provocar la pérdida de datos.
  • Configuración: Mala gestión de la configuración que complica la administración
  • Reglas: Normas laxas para la generación de claves, la autorización y la autenticación.
  • Visibilidad: Falta de visibilidad en la firma digital y otras tareas criptográficas.

Paso 4: Supervisión y auditoría continuas

La práctica de gestión en cualquier uso organizativo de la criptografía debe implicar tecnología y procesos para la supervisión continua y la auditoría periódica. La cobertura continua implica tener un conocimiento preciso y continuo que se aproxime lo más posible a la visibilidad en tiempo real. Para ello, una organización debe tener planes definidos para todos los aspectos de la revisión, recopilación de datos, supervisión y evaluación de ECM. Un ejemplo de lista de comprobación puede incluir:

  • Auditoría: Los equipos de ECM deben auditar periódicamente el acceso y uso de los certificados de firma de código, prestando atención a los firmantes, aprobadores y tiempos de firma.
  • Supervisión: La supervisión de la actividad relacionada con la entidad emisora de certificados ayudará a garantizar que la emisión de certificados se mantiene dentro de los umbrales definidos.
  • Marcas de tiempo: Los equipos de ECM deben revisar continuamente el código de marcas de tiempo en busca de problemas o anomalías.
  • Caducidad: Los equipos deben identificar y remediar los certificados caducados o fuera de política a medida que evolucionan las políticas (por ejemplo, autofirmados, no autorizados o débiles).
  • Autorización: Es importante auditar los procesos de autorización y verificación de la fiabilidad de los anclajes de confianza.
  • Firma: La revisión del proceso de envío y aprobación de la firma de código puede evitar la firma de código no aprobado o malicioso.
  • Revocación: El proceso de supervisión debe incluir la auditoría repetida de los procesos de revocación de certificados.

Paso 5: Automatizar el ciclo de vida de forma ágil

Cada uno de los cuatro pasos descritos anteriormente incluye referencias al uso de herramientas automatizadas. Esto se debe al deseo de ampliar el proceso de ECM y proporcionar una visibilidad continua del inventario, el uso y las vulnerabilidades.

El objetivo de este quinto paso -que puede realizarse en paralelo con los demás pasos del proceso- es unificar la automatización en una arquitectura común para racionalizar el uso y minimizar tanto los riesgos como los costes.

El reto en esta tarea de diseño y desarrollo de la automatización consiste en seleccionar una plataforma integral adecuada que funcione a la perfección en todos los aspectos del entorno y que se integre con los ciclos de vida de desarrollo e implantación. Por tanto, se aconseja a los equipos de seguridad de las empresas que hagan sus deberes para seleccionar al mejor socio comercial de ECM que pueda ayudar a automatizar el proceso de forma eficaz.

Empieza a limpiar tu desorden

Los equipos de seguridad de las empresas seguirán luchando por mantener el control de todo su proceso criptográfico hasta que den prioridad a una estrategia unificada. Keyfactor simplifica y unifica el proceso criptográfico en su conjunto, lo que permite a nuestros clientes obtener visibilidad, establecer procedimientos y utilizar la automatización para salir de un lío criptográfico.

Para leer el informe completo y ver cómo puede empezar con una autoevaluación de cómo se está utilizando y gestionando la criptografía en su empresa hoy en día, descárguelo aquí.

Y para saber aún más, inscríbase en nuestro próximo seminario web, Cómo enfocar su estrategia de criptografía de extremo a extremo: