La modernización de la PKI tiene un problema de reputación. Si le preguntas a cualquier responsable de seguridad cuánto tiempo lleva una renovación completa de la PKI, te dará estimaciones que se miden en años. Esa percepción mantiene a las organizaciones atrapadas en una infraestructura obsoleta, en flujos de trabajo manuales para la gestión de certificados y en un riesgo operativo cada vez mayor.
En la práctica, las organizaciones que implementan una automatización adecuada de los certificados completan la implementación en cuestión de meses y obtienen beneficios antes del primer ciclo de renovación.
Un estudio de «Total Economic Impact» de Forrester reveló que la organización del grupo alcanzó la amortización en menos de seis meses. Los entrevistados señalaron que completaron Keyfactor por fases a lo largo de unos meses. Una empresa de telecomunicaciones actuó con rapidez para EJBCA, realizando la transición de la infraestructura PKI central en un plazo que desmentía la creencia anterior de que se tardaría varios años en completarla.
En esta entrada se explica en detalle cómo es realmente una implantación de PKI por fases, con qué rapidez se obtienen beneficios, qué recursos hay que presupuestar y cuál es el plazo previsto. Si tu equipo ha estado posponiendo la modernización de la PKI porque el proyecto parece demasiado ambicioso, los datos sugieren lo contrario: cuanto más se espere, más costará.
Cómo es una implementación de PKI por fases
Una implementación de cuatro meses con recursos específicos
La organización compuesta analizada en el estudio (la organización hipotética basada en todas las que fueron entrevistadas) completó Keyfactor en aproximadamente cuatro meses. El equipo dedicó cinco recursos internos a aproximadamente el 75 % de sus horas de trabajo durante ese periodo, implantando EJBCA para la infraestructura PKI y Keyfactor Command para la automatización del ciclo de vida de los certificados.
No se trata de un calendario orientativo. Refleja una implementación real con las limitaciones habituales de una empresa: la infraestructura existente con la que hay que integrarse, los requisitos de cumplimiento que hay que cumplir y las partes interesadas internas con las que hay que coordinarse.
La clave fue adoptar un enfoque por fases. En lugar de intentar migrar todo al mismo tiempo, el equipo dio prioridad a los certificados de mayor impacto y amplió la cobertura de forma gradual.
Da prioridad primero a las renovaciones a corto plazo
Una implementación inteligente comienza por los certificados que más importan en este momento. La organización compuesta dio prioridad a la transición de los certificados gestionados manualmente con fechas de renovación a corto plazo. Este enfoque aportó un valor inmediato al evitar los riesgos de caducidad inminente, la causa más habitual de costosas interrupciones del servicio.
Al centrarse en los certificados que están a punto de caducar, las organizaciones pueden demostrar el retorno de la inversión en automatización a las pocas semanas de su implantación. Cada certificado que se renueva automáticamente, en lugar de hacerlo manualmente, supone evitar una interrupción del servicio y recuperar tiempo de ingeniería.
Cómo funciona la migración por fases
Una de las objeciones más habituales a la modernización de la PKI es la percepción de que hay que abandonar la infraestructura actual de la noche a la mañana. Pero no es así como funciona.
Durante un Keyfactor , un profesional afirmó: «Yo no hablaría de “desmontar y sustituir”, porque eso sería muy complicado de llevar a cabo. Las raíces de confianza no son algo con lo que se pueda hacer eso fácilmente. Por lo tanto, lo habitual es una transición en la que se mantienen las condiciones anteriores al pasar a una nueva plataforma PKI».
Keyfactor este enfoque gradual con opciones de implementación flexibles. Las organizaciones pueden utilizar configuraciones SaaS, híbridas o locales, y mantener las autoridades de certificación existentes (incluido Microsoft ADCS) mientras migran progresivamente las cargas de trabajo a una infraestructura moderna. Las autoridades de certificación heredadas siguen operativas durante la transición, lo que elimina el riesgo de una transición disruptiva.
Con qué rapidez se acumula el valor
Amortización en menos de seis meses
Los argumentos económicos a favor de una implantación rápida son convincentes. El estudio de Forrester reveló que la organización tipo recuperó la inversión en menos de seis meses, con unos beneficios en el primer año de 4,25 millones de dólares frente a unos costes en el primer año de aproximadamente 1,3 millones de dólares.
Las ventajas comienzan a acumularse antes de que se haya completado la implantación total. En cuanto se automatizan los primeros certificados, los equipos recuperan las horas que antes dedicaban al seguimiento manual, a las renovaciones y a la gestión de incidencias. Para conocer el desglose financiero completo que explica el 356 % de retorno de la inversión, consulta nuestra primera entrada de esta serie: «El coste real de la PKI: cuánto le cuesta realmente a tu organización la gestión de certificados».
Prestaciones que aumentan año tras año
El carácter acumulativo de la automatización de la PKI es uno de sus argumentos financieros más sólidos. El estudio de Forrester documentó que los beneficios pasaban de 4,25 millones de dólares en el primer año a 5,08 millones en el segundo y a 6,18 millones en el tercero.
Este crecimiento es estructural y sus beneficios se dejan sentir en toda la organización. A medida que se incorporan más certificados a la plataforma y el parque total de certificados crece entre un 8 % y un 12 % al año, cada certificado automatizado adicional aumenta el ahorro de tiempo. Los procesos manuales, que se ampliaban de forma lineal con el volumen de certificados, se sustituyen por una automatización que absorbe el crecimiento con un esfuerzo incremental mínimo.
Para obtener información más detallada sobre cómo la automatización se potencia a medida que crece tu parque de certificados, consulta «Automatización del ciclo de vida de los certificados: cómo gestionar los certificados a escala empresarial».
Qué hay que presupuestar: Recursos internos para la puesta en marcha y la gestión continua
Durante la fase de implementación, de cuatro meses de duración, se prevé destinar cinco equivalentes a tiempo completo a aproximadamente el 75 % de la jornada laboral. Estos recursos se encargarán de la integración, la configuración, la migración inicial de certificados y la validación.
Tras la implementación, la gestión continua requiere aproximadamente 2,5 empleados a tiempo completo, con un coste medio total de 156 000 dólares por persona. Sus actividades incluyen la ampliación continua de la automatización, la incorporación de nuevos equipos y casos de uso, la retirada de la infraestructura heredada y el mantenimiento de la visibilidad sobre el conjunto de certificados.
Este modelo de dotación de personal supone una reducción significativa con respecto a la situación de referencia anterior a la modernización. El estudio de Forrester puso de manifiesto que las organizaciones han liberado tiempo de ingeniería de PKI que antes se dedicaba a operaciones manuales relacionadas con los certificados, al mantenimiento de la infraestructura y a la respuesta ante incidentes.
Cómo Keyfactor ayudarte Keyfactor
El enfoque de implementación Keyfactorestá diseñado para la migración por fases y de bajo riesgo que necesitan los equipos de seguridad de las empresas.
- Prioridad al SaaS con flexibilidad híbrida.
Empieza con una plataforma en la nube y amplíala a configuraciones locales o híbridas según lo requiera tu entorno. No es necesario crear ninguna infraestructura para empezar. - Soporte para una migración por fases en paralelo con los sistemas heredados.
Ejecute Keyfactor Microsoft ADCS u otras autoridades de certificación heredadas durante la transición. No es necesario desmantelar la infraestructura existente desde el primer día. - Apoyo continuo por parte de los socios durante toda la implementación.
Tal y como describió uno de nuestros clientes: «Contamos con el apoyo constante de Keyfactor garantizar que cualquier diseño o arquitectura que creáramos fuera escalable». La implementación es una colaboración, no un simple traspaso de responsabilidades. - La automatización inmediata ofrece los mayores beneficios con los certificados de mayor impacto.
Empieza por los certificados que estén a punto de caducar o por los flujos de trabajo que requieran más trabajo manual. El valor comienza a acumularse desde la primera renovación automatizada.
Esta es la última entrada de nuestra serie de cuatro partes sobre la modernización de la PKI. A lo largo de la serie, hemos analizado los costes ocultos de la PKI heredada, el riesgo evitable de las interrupciones en los certificados, cómo la automatización se potencia a escala empresarial y, ahora, la vía práctica para una implementación rápida. El estudio «Total Economic Impact» de Forrester ofrece la validación independiente que respalda cada una de estas conclusiones. Descarga el informe completo de «Total Economic Impact» de Forrester para consultar el análisis completo, o ponte en contacto con Keyfactor analizar la hoja de ruta de modernización de la PKI de tu organización.
¿Tienes preguntas sobre cómo modernizar rápidamente tu infraestructura PKI? Tenemos las respuestas.
¿Cuánto tiempo suele tardar una implementación típica Keyfactor ?
La mayoría de las organizaciones completan su Keyfactor inicial Keyfactor en unos cuatro meses. La organización tipo del estudio de Forrestersiguió un enfoque por fases, comenzando por los certificados de mayor impacto y ampliando la cobertura de forma gradual.
¿Tengo que sustituir mis autoridades de certificación actuales para utilizar Keyfactor?
No. Keyfactor con las autoridades de certificación existentes, incluido Microsoft ADCS. Las organizaciones suelen utilizar Keyfactor la infraestructura heredada durante una transición gradual, en lugar de llevar a cabo una migración radical que interrumpa el servicio.
¿Cuántos recursos internos se necesitan para la implementación?
El modelo compuesto de Forrester asignó cinco equivalentes a tiempo completo (ETC) a aproximadamente el 75 % de la jornada laboral durante la fase de implementación de cuatro meses. Tras la puesta en marcha, la gestión continua requiere aproximadamente 2,5 ETC.
¿Cuándo empiezan las organizaciones a obtener el retorno de la inversión (ROI) de Keyfactor?
La inversión se amortiza en menos de seis meses. Los beneficios comienzan a acumularse tan pronto como se automatizan los primeros certificados, incluso antes de que se complete la implantación total. Según el estudio de Forrester, los beneficios del primer año ascendieron a 4,25 millones de dólares.
¿Cuánto Keyfactor para una gran empresa?
La suscripción anual al servicio SaaS, que permite gestionar hasta un millón de certificados, asciende aproximadamente a 485 000 dólares, más una tarifa única por servicios profesionales de 53 500 dólares. No hay tarifas por certificado, por lo que los costes siguen siendo predecibles a medida que crece el parque de certificados.
¿Se puede Keyfactor funcionar en mi entorno local actual?
Sí. Keyfactor opciones de implementaciónappliance SaaSappliance , híbrida,appliance local. La mayoría de las organizaciones empiezan con el modelo SaaS y pasan a configuraciones híbridas según sus necesidades, pero también se admite la implementación totalmente local.
¿Cómo funciona realmente la migración por fases en la práctica?
Las organizaciones suelen empezar por automatizar los certificados con las fechas de renovación más próximas y, a continuación, van incorporando progresivamente otros tipos de certificados, equipos y casos de uso. Las autoridades de certificación (CA) existentes siguen funcionando durante toda la transición. Las raíces de confianza se transfieren a la nueva plataforma sin que se produzca una sustitución brusca.
¿Qué ocurre con nuestro personal de PKI una vez implementada la automatización?
La automatización de la PKI reduce el tiempo que su equipo dedica al seguimiento manual de certificados, a su renovación y a la respuesta ante incidentes. El estudio de Forrester puso de manifiesto importantes mejoras en la eficiencia laboral. La mayoría de las organizaciones reasignan la capacidad de ingeniería liberada a iniciativas de seguridad de mayor valor, en lugar de reducir la plantilla.
