Reflexiones del Director de Seguridad, Chris Hickman, sobre el Informe 2019 Keyfactor -Ponemon Institute: El impacto de las identidades digitales inseguras
Tanto si necesita proteger su sitio web como su red o sus dispositivos IoT , los certificados digitales desempeñan un papel fundamental en la seguridad de prácticamente todas las líneas de negocio.
Como responsable de seguridad de Keyfactor, a menudo hablo desde la perspectiva de la seguridad, defendiendo la importancia de proteger las identidades digitales en todos los entornos y de evitar el uso indebido de claves y certificados por parte de posibles piratas informáticos. Quienes pretenden hacerle daño se esconden en su red, ponen en peligro su software y secuestran sus dispositivos conectados.
Pero existe una amenaza mucho menos nefasta, aunque igualmente grave, para su empresa:
Certificados caducados.
Todos los certificados caducan. Las interrupciones inesperadas o imprevistas debidas a la caducidad de los certificados siguen afectando a empresas de todo el mundo.
Por mucho tiempo y recursos que invierta en prevención, a menudo puede parecer una batalla perdida. Y la realidad es que muchas empresas adoptan esta estrategia. Aceptando la derrota, presupuestan los arreglos de los cortes.
¿Práctico? Tal vez. ¿Rentable? Ni mucho menos.
El coste real de las interrupciones: Ingresos, reputación y recuperación
La cosa es así. Sólo se necesita un certificado caducado y podría perder el acceso a sistemas críticos, frustrar a los clientes, detener el negocio y, en última instancia, afectar a la reputación que ha pasado años forjándose.
Ni siquiera los grandes nombres del sector son inmunes. Pensemos en el apagón de Microsoft Azure debido a un certificado descuidado, o en los importantes cortes de red que afectaron a millones de personas después de que Ericsson no renovara los certificados caducados de software .
En cualquier caso, sólo un certificado caducado afectó a decenas de millones de usuarios.
Para empeorar las cosas, los certificados caducados suelen ser difíciles de diagnosticar. Incluso los equipos de seguridad y respuesta de TI más experimentados pueden tardar días en identificar un certificado caducado como el culpable. Luego viene la tarea de encontrar y sustituir ese certificado en todos los lugares en los que se utiliza en la empresa, una tarea casi imposible para quienes realizan el seguimiento de los certificados utilizando una hoja de cálculo de Excel.
Hablemos de números
Si se encuentra en las trincheras de las operaciones de PKI, no hace falta ser muy imaginativo para comprender este escenario. Para usted, es un riesgo cotidiano.
Pero admitámoslo: los altos ejecutivos no saben (y mucho menos les importa) de claves y certificados. Y las únicas hojas de cálculo que quieren ver son las de pérdidas y ganancias, no las de fechas de caducidad.
Hablemos de números.
Un reciente estudio realizado por Ponemon Institute para Keyfactor ofrece información sobre los retos que plantean las interrupciones relacionadas con los certificados y el importante impacto que pueden tener en su empresa. Recogiendo las opiniones de 600 encuestados, estos son algunos de los puntos clave:
- Los encuestados experimentaron una media de cuatro interrupciones relacionadas con los certificados en los dos últimos años.
- Las pérdidas económicas medias de estos incidentes se estiman en 11,1 millones de dólares.
- El coste de la pérdida inmediata de ingresos se estima en casi 3 millones de dólares.
- Hay un 30% de probabilidades de que las organizaciones experimenten los mismos problemas en los próximos dos años.
Pero, ¿cómo puede un certificado caducado puede costarle a su empresa 11,1 millones de dólares? Veamos algunas situaciones reales para poner las cosas en perspectiva.
Antes de contactar con Keyfactor, una empresa multinacional de transporte aéreo de mercancías utilizaba certificados digitales para proteger sus sistemas logísticos, desde los planes de vuelo hasta la gestión de la carga. Un caso concreto: un certificado no gestionado caducó, paralizando el acceso a estos sistemas críticos. Mientras los equipos de seguridad informática se afanaban por encontrar el origen del problema y solucionarlo, toda la flota se quedó en tierra.
Para cuando se descubrió y actualizó el certificado caducado, dos días enteros de interrupciones operativas supusieron una pérdida de ingresos de millones de dólares.
¿Qué tal un ejemplo conocido? El infame robo de los datos personales de 148 millones de personas de Equifax pasó desapercibido durante la friolera de 76 días. ¿Cómo ocurrió? Equifax no vio la filtración de datos, porque el dispositivo diseñado para detectar tal filtración llevaba 19 meses inactivo debido a un certificado caducado. Según los informes, Equifax gastó casi 243 millones de dólares para recuperarse de la filtración.
Lejos de ser una partida más del presupuesto, el coste de las interrupciones debidas a certificados caducados es suficiente para llamar la atención de los ejecutivos de ciberseguridad y TI.
La buena noticia es que no es imposible evitar los cortes, pero hace falta constancia para hacerlo bien (por no hablar de la tecnología adecuada).
Cómo detener un apagón antes de que se produzca
Las interrupciones debidas a certificados caducados son totalmente evitables. Entonces, ¿por qué siguen afectando a las empresas?
En algunos casos, han invertido en herramientas de gestión de certificados, pero sólo disponen de presupuesto para realizar el seguimiento de un subconjunto de todos los certificados debido a las tarifas de licencia por certificado. Sin embargo, en la mayoría de los casos, las organizaciones optan por realizar el seguimiento de los certificados con una hoja de cálculo. Resulta casi imposible detectar y responder rápidamente a un certificado caducado. Y cuando se experimenta una interrupción, los plazos de reparación son críticos.
¿Qué puede hacer para evitar el próximo apagón de 11 millones de dólares?
- Descubra e inventariar todos los certificados: ¿Recuerda cuántos certificados tiene, a quién se los compró o dónde se encuentran? La renovación de certificados no es intrínsecamente compleja, pero primero debe encontrar los certificados en su red antes de poder solucionarlos. Y no debería estar limitado por una herramienta con un modelo de precios por certificado.
- Integración con los sistemas existentes: ¿Con qué rapidez puede responder a un certificado caducado? La supervisión continua y las alertas son un paso fundamental para la gestión del ciclo de vida. Es probable que ya disponga de herramientas. En la mayoría de los casos, basta con un simple complemento de API para integrarse con sus sistemas existentes de tickets y flujos de trabajo (piense en ServiceNow o Remedy).
- Invierta en tecnología de automatización: Invertir en automatización tiene sentido. Reduce el riesgo de error humano, garantiza la gestión continua del ciclo de vida de los certificados y permite al personal informático dedicarse a otras iniciativas importantes con un presupuesto limitado.
Sin las personas, los procesos y las herramientas adecuadas, los certificados digitales pueden parecer a menudo bombas de relojería. Como ejecutivos de ciberseguridad y TI que impulsan la estrategia empresarial, sabemos que invertir en lo correcto puede ayudarnos a proteger a nuestras organizaciones de los certificados caducados y a mitigar el impacto de las interrupciones inesperadas cuando se producen.
Me encantaría conocer la experiencia de su empresa y compararla con las conclusiones del informe. Póngase en contacto conmigo y encontremos un momento para hablar.
