Por qué la mayoría de las organizaciones reconstruirían PKI si pudieran

Si entonces supiera lo que sabe ahora, ¿habría construido la PKI de su organización de forma diferente?

No está solo. 

En Keyfactor2024 PKI & Digital Trust Reportun asombroso 98% de las organizaciones indicaron que cambiarían su infraestructura de clave pública (PKI) si tuvieran la oportunidad.

No es para menos. Piense en lo mucho que ha cambiado en la última década. La automatización y la computación en la nube han avanzado significativamente, y han surgido nuevas innovaciones como los dispositivos IoT y las metodologías DevOps que imponen una mayor demanda a la infraestructura PKI. 

Aunque nadie puede predecir el futuro, los sistemas PKI suelen crearse sin una visión a largo plazo de la seguridad, la escalabilidad o la flexibilidad. Como resultado, la PKI se amplía de forma ad hoc, creando una solución compleja y frágil. Esto crea un efecto dominó que pronto se convierte en un problema crítico para el negocio. 

Los encuestados en el informe dieron innumerables razones para los cambios que harían en su PKI. Comprender los objetivos más comunes puede ayudarle a su propio proceso de modernización de la PKI y señalar futuros retos de PKI.

Alrededor del 48% de los encuestados en el informe citaron la necesidad de adaptarse a los cambios -ya sea debido a la ampliación, la innovación o las normativas emergentes- como factor impulsor de su deseo de reconstruir su PKI.

La PKI triunfa o fracasa en función de las decisiones que se tomen en la fase inicial de su diseño. La mayoría de las organizaciones carecen del conjunto de habilidades necesarias para acertar con la PKI desde el principio o tienen la previsión de mejorar su dirección con el paso del tiempo. Para empeorar las cosas, la alta rotación en TI conduce a una pérdida de conocimiento institucional de los entresijos de la PKI particular de una organización.

Por ejemplo, los sistemas PKI se basan en una Autoridad de Certificación (CA) raíz que se sitúa en la cima de la jerarquía de confianza. Por debajo de la CA raíz se sitúan varias CA intermedias (ICA). Idealmente, cada CA intermedia tiene una función designada. Una podría ser designada para ser utilizada por el equipo de seguridad, otra por el equipo de DevOps, y así sucesivamente. 

Las organizaciones más pequeñas pueden necesitar sólo un par de ICA, mientras que una empresa completa utiliza una media de siete. A medida que la organización más pequeña crece, necesitará distribuir sus servicios entre ICA más especializadas. Trazar esta progresión y migrar los servicios a sus respectivas CA requiere una gran experiencia y planificación. 

Otros retos de la ampliación de PKI

• Volúmenes de certificados: Gartner estima que algunas organizaciones tienen hasta medio millón de certificados en juego en un momento dado. Es mucho que controlar. A medida que las organizaciones crecen, se hace inviable gestionar los ciclos de vida de los certificados mediante soluciones propias, hojas de cálculo, soluciones incompletas de proveedores o una combinación de todo ello.
• Falta de gobernanza: Si nadie en la organización es propietario de las políticas de PKI, los departamentos individuales adquieren sus propios activos de PKI y los gestionan sin supervisión ni documentación exhaustiva. Esto dificulta la visibilidad y el control de todo el entorno de certificados y PKI.

• Cumplimiento y retos normativos: Los nuevos mercados o industrias a menudo vienen acompañados de su propio conjunto de requisitos de cumplimiento cada vez más exigentes. Estas normativas exigen cambios en la arquitectura PKI para garantizar el cumplimiento de las normas y reglamentos del sector.

Centralizar la gestión de certificados es un gran primer paso. Reunir todos los certificados en un único centro de gestión sienta las bases para el seguimiento, la automatización y la mejora de las políticas de PKI. Con la visibilidad que permite la detección proactiva de certificados, puede gestionar los aspectos técnicos de la gestión de certificados y alinear la PKI con los objetivos empresariales. 

Aproximadamente el 40% de las organizaciones expresan un fuerte deseo de automatizar sus sistemas PKI.

Hace sólo unas décadas, PKI era una especialidad de nicho que sólo afectaba a algunos aspectos selectos de la función de TI en general. Pero a la escala actual de uso de certificados, la automatización es clave para encontrar certificados no documentados y evitar para siempre las interrupciones relacionadas con los certificados. 

A medida que crecen el volumen y la complejidad del uso de certificados, también aumentan las exigencias para los equipos de seguridad, TI e infraestructura que los gestionan. Sin automatización, los riesgos también aumentan: los riesgos de una carga de mantenimiento cada vez mayor y la propensión al error humano.

Otros retos de la automatización de certificados y PKI

• Escasa visibilidad: Muchas organizaciones luchan por recopilar un inventario preciso de activos criptográficos como certificados y CA. Sin una visión completa, es prácticamente imposible realizar progresos significativos en la automatización.
• Despliegue de herramientas: Según el informe, el 38% de las organizaciones utiliza herramientas propias y hojas de cálculo para gestionar los certificados, mientras que el 30% confía en las herramientas de los proveedores de certificados. Las herramientas propias rara vez cubren todas las necesidades, mientras que las de los proveedores suelen funcionar sólo para los certificados de ese proveedor. Esto da lugar a herramientas redundantes y dificulta la automatización.
• Escasez de mano de obra: Pocas organizaciones disponen de recursos internos específicamente dedicados a PKI. Más a menudo, la PKI se confía a los equipos de TI, seguridad o infraestructura, todos ellos muy ocupados con sus responsabilidades principales. Como resultado, el trabajo diario les absorbe tanto que no pueden dar un paso atrás y realizar mejoras más amplias en sus propios flujos de trabajo.

Cuando el mantenimiento es lento y manual, las respuestas a los problemas relacionados con los certificados tienden a ser lentas y manuales. Por término medio, los encuestados tardaron casi seis horas en identificar y solucionar una avería relacionada con un certificado, lo que requirió que ocho miembros del personal abandonaran su trabajo y respondieran a la avería. 

La automatización de la gestión de PKI mejora la eficiencia operativa al agilizar tareas como la emisión, renovación y revocación de certificados. Esto reduce el esfuerzo y el tiempo necesario para responder a un incidente y facilita la aplicación de los cambios exigidos por la normativa. 

Y lo que es más importante, permite a los equipos que se ocupan de PKI dedicar más ancho de banda a sus responsabilidades principales. 

Alrededor del 35% de las organizaciones trasladarían su PKI a la nube si pudieran. Las ventajas habituales de la nube, como mayor seguridad, rentabilidad y escalabilidad se aplican sin duda a la PKI.

Sin embargo, este tipo de transición es compleja y requiere cambios sustanciales en la infraestructura. Para muchos, diseñar desde cero un sistema específico para entornos en nube podría resultar más práctico.

Retos de la migración a la nube

• Integración con sistemas heredados: Muchos entornos -sobre todo en el sector de la tecnología operativa- dependen de unas pocas piezas clave de infraestructura heredada que son prácticamente imposibles de integrar o modernizar. Sin embargo, estos sistemas heredados son demasiado costosos o perjudiciales para sustituirlos.
• Falta de experiencia: Los técnicos con conocimientos de PKI son difíciles de encontrar, pero ¿cuántos expertos en PKI son también versados en la nube y las migraciones a la nube? Muy pocos.
• Proteger sus datos: La integridad de los datos es una gran preocupación para cualquier migración a la nube. En su viaje a la nube, los datos pasan por muchas manos, plataformas y conductos. Por el camino, hay muchas oportunidades de errores y discrepancias. Si los datos confidenciales quedan expuestos, es un incidente en sí mismo, y encontrar dónde se rompió la cadena de confianza de los datos puede ser costoso y complicado.

Dicho esto, las ventajas de una PKI alojada en la nube hacen que la migración merezca la pena. Los proveedores en la nube ofrecen otra capa de seguridad y hacen que la empresa sea más flexible. 

Trasladar la PKI a la nube requiere encontrar al socio adecuado: expertos en PKI que hayan realizado migraciones a la nube con éxito. Estos socios pueden guiarle a través de un enfoque de migración por fases y sugerirle consolidar la infraestructura, implementar la automatización e inculcar una PKI más fiable y flexible. 

Las empresas y organizaciones confían cada vez más en los proveedores para que les ayuden a corregir el rumbo y preparar para el futuro sus sistemas PKI. 

Para ello, la PKI como servicio (PKIaaS) ha surgido como una solución viable para muchos, ya que ofrece la experiencia y la infraestructura necesarias para gestionar la PKI de forma eficaz y segura. La externalización de la gestión de PKI a proveedores experimentados garantizará que se satisfagan las necesidades criptográficas de su organización sin la sobrecarga de mantener y ampliar un sistema interno.

El papel de la PKI para establecer la confianza y la seguridad digitales será cada vez más importante. Las organizaciones que lo reconozcan ahora y sigan siendo proactivas en la gestión de su PKI son las que tienen más probabilidades de mantenerse seguras.