Perspectivas del Director de Seguridad, Chris Hickman, sobre el Informe Keyfactor-Ponemon Institute 2019: El impacto de las identidades digitales no seguras.
Ya sea que necesite proteger su sitio web, su red o sus dispositivos IoT, los certificados digitales desempeñan un papel fundamental en la seguridad de prácticamente todas las líneas de negocio.
Como Director de Seguridad (Chief Security Officer) de Keyfactor, a menudo hablo desde una perspectiva de seguridad, defendiendo la importancia de proteger las identidades digitales en todos los entornos y de prevenir el uso indebido de claves y certificados por parte de posibles hackers. Aquellos que buscan causarle daño se esconden en su red, comprometen su Software y secuestran sus dispositivos conectados.
Pero existe una amenaza mucho menos maliciosa, pero igualmente grave, para su negocio:
Certificados Caducados.
Todos los certificados caducan. Las interrupciones inesperadas o no planificadas debido a la caducidad de los certificados siguen afectando a las empresas de todo el mundo.
Independientemente de la cantidad de tiempo y recursos que invierta en prevención, a menudo puede parecer una batalla perdida. Y la realidad es que muchas empresas adoptan esta estrategia. Aceptando la derrota, presupuestan las correcciones de las interrupciones.
¿Práctico? Quizás. ¿Rentable? Ni mucho menos.
El Costo Real de las Interrupciones: Ingresos, Reputación y Recuperación
La cuestión es la siguiente. Basta con que un solo certificado caducado pase desapercibido para que pueda perder el acceso a sistemas críticos, frustrar a los clientes, paralizar el negocio y, en última instancia, afectar la reputación que ha tardado años en construir.
Ni siquiera los nombres más importantes del sector son inmunes. Considere la interrupción de Microsoft Azure debido a un certificado desatendido, o las importantes interrupciones de red que afectaron a millones después de que Ericsson no renovara los certificados de Software caducados.
En cualquiera de los casos, solo un certificado caducado afectó a decenas de millones de usuarios.
Para empeorar las cosas, los certificados caducados suelen ser difíciles de diagnosticar. Incluso los equipos de seguridad y respuesta de TI más experimentados pueden tardar días en identificar un certificado caducado como el culpable. Luego viene la tarea de encontrar y reemplazar ese certificado en todos los lugares donde se utiliza en la empresa, una tarea casi imposible para quienes rastrean los certificados utilizando una hoja de cálculo de Excel.
Hablemos de Cifras
Si está inmerso en las operaciones de PKI, no necesita mucha imaginación para comprender este escenario. Para usted, es un riesgo diario.
Pero seamos realistas: los altos ejecutivos no saben (y mucho menos les importa) sobre claves y certificados. Y las únicas hojas de cálculo que quieren ver implican pérdidas y ganancias, no fechas de caducidad.
Así que, hablemos de cifras.
Un estudio reciente realizado por Ponemon Institute para Keyfactor ofrece información sobre los desafíos de las interrupciones relacionadas con los certificados y el impacto significativo que pueden tener en su negocio. Recopilando la opinión de 600 encuestados, estas son algunas de las conclusiones clave:
- Los encuestados experimentaron un promedio de cuatro interrupciones relacionadas con certificados en los últimos dos años
- La pérdida económica promedio de estos incidentes se estima en 11.1 millones de dólares
- El costo de la pérdida inmediata de ingresos por sí sola se estima en casi 3 millones de dólares
- Existe una probabilidad del 30% de que las organizaciones experimenten los mismos problemas en los próximos dos años
Pero, ¿cómo puede un solo certificado caducado costar a su negocio 11.1 millones de dólares? Echemos un vistazo a algunos escenarios del mundo real para poner las cosas en perspectiva.
Antes de contactar con Keyfactor, una aerolínea multinacional de carga aérea utilizaba certificados digitales para proteger sus sistemas logísticos, desde los planes de vuelo hasta la gestión de la carga. Un ejemplo: un certificado no gestionado caducó, paralizando el acceso a estos sistemas críticos. Mientras los equipos de seguridad de TI se apresuraban a encontrar la fuente y remediar el problema, toda la flota quedó en tierra.
Para cuando se descubrió y actualizó el certificado caducado, dos días completos de interrupciones operativas resultaron en millones de dólares en ingresos perdidos.
¿Qué tal un ejemplo conocido? El infame robo de datos personales de 148 millones de individuos de Equifax pasó desapercibido durante unos increíbles 76 días. ¿Cómo ocurrió? Equifax no detectó la exfiltración de datos porque el dispositivo diseñado para detectar dicha brecha había estado inactivo durante 19 meses debido a un certificado caducado. Se informa que Equifax gastó casi 243 millones de dólares para recuperarse de la brecha.
Lejos de ser una partida más en su presupuesto, el coste de las interrupciones debido a certificados caducados es suficiente para captar la atención de los ejecutivos de ciberseguridad y TI.
La buena noticia es que no es imposible evitar interrupciones, pero requiere consistencia para hacerlo correctamente (sin mencionar la tecnología adecuada).
Cómo detener una interrupción antes de que ocurra
Las interrupciones debido a certificados caducados son completamente prevenibles. ¿Por qué, entonces, siguen afectando a las empresas hoy en día?
En algunos casos, han invertido en herramientas de gestión de certificados, pero solo disponen del presupuesto para rastrear un subconjunto de todos los certificados debido a las tarifas de licencia por certificado. Sin embargo, en la mayoría de los casos, las organizaciones optan por rastrear los certificados con una hoja de cálculo. Resulta casi imposible detectar y responder rápidamente a un certificado caducado. Y cuando se experimenta una interrupción, los plazos para la remediación son críticos.
Entonces, ¿qué puede hacer para prevenir la próxima interrupción de 11 millones de dólares?
- Descubra e inventaríe todos los certificados: ¿Puede recordar cuántos certificados tiene, a quién se los compró o dónde están ubicados? La renovación de certificados no es inherentemente compleja, pero primero necesita encontrar los certificados en toda su red antes de poder corregirlos. Y no debería verse limitado por una herramienta con un modelo de precios por certificado.
- Integre con los sistemas existentes: ¿Con qué rapidez puede responder a un certificado caducado? La monitorización continua y las alertas son un paso crítico para la gestión del ciclo de vida. Es probable que ya disponga de herramientas. La mayoría de las veces, basta con un simple plug-in de API para integrarse con sus sistemas de tickets y flujo de trabajo existentes (piense en ServiceNow o Remedy).
- Invierta en tecnología de automatización: Invertir en automatización tiene mucho sentido. Reduce el riesgo de error humano, asegura la gestión continua del ciclo de vida de los certificados y permite al personal de TI reasignarse a otras iniciativas importantes dentro de un presupuesto limitado.
Sin las personas, los procesos y las herramientas adecuadas, los certificados digitales a menudo pueden parecer bombas de relojería. Como ejecutivos de ciberseguridad y TI que impulsan la estrategia empresarial, sabemos que invertir en lo correcto puede ayudarnos a proteger nuestras organizaciones de los certificados caducados y mitigar el impacto de las interrupciones inesperadas cuando estas ocurren.
Me gustaría saber más sobre la experiencia de su empresa y compararla con los hallazgos del informe. Por favor, póngase en contacto conmigo y busquemos un momento para conversar.
