Todo se está digitalizando. Ninguna empresa, por mucho que dependa de una presencia física (por ejemplo, jardinería o mantenimiento), es inmune a este cambio.
Y a medida que COVID-19 aceleraba la transformación hacia lo digital, muchas organizaciones se han dado cuenta de lo mucho que dependen de programas con décadas de antigüedad que necesitan actualizarse.
De cara al futuro, la mayor área que requiere atención a medida que continuamos el cambio hacia lo digital es la seguridad. En concreto, a medida que surgen más entidades digitales que crean datos, ¿cómo podemos confiar en ellos?
Esa fue la premisa de nuestro reciente debate con David Mahdi, Vicepresidente y Analista de Seguridad y Privacidad de Gartner. Haga clic aquí para ver el seminario web completoo siga leyendo para conocer los puntos clave.
Cómo hemos llegado hasta aquí: Un cambio de paradigma en el desarrollo digital
Actualmente nos encontramos en medio de un cambio de paradigma en torno al desarrollo digital que exigirá cambios importantes en la forma en que las organizaciones abordan la seguridad.
Este cambio se centra en el aumento de las aplicaciones digitales, incluido el volumen de aplicaciones, la velocidad a la que se crean y la variedad de personas que crean esas aplicaciones y los datos asociados. Todo el mundo, desde los desarrolladores hasta los líderes empresariales (gracias a las interfaces de bajo código y sin código), contribuye ahora al desarrollo digital, y todos estos resultados requerirán medidas de seguridad.
En general, el auge del desarrollo digital tiene serias implicaciones para todo, desde el consumo de material de claves criptográficas (las organizaciones necesitan proporcionar un acceso rápido y fácil a las claves de forma segura y gestionable) hasta dónde vivirán todas esas aplicaciones (en las instalaciones frente a la nube híbrida frente a la multi-nube).
En este contexto, la idea de una red protegida ha desaparecido. Ahora, las redes están mucho más definidas en software y son mucho más dinámicas. Además, las identidades desempeñan ahora un papel fundamental en el acceso a la seguridad. Esto significa que en el mundo de las nubes híbridas y el trabajo a distancia, las organizaciones ya no pueden confiar en cualquier entidad de la red.
Hoy en día, en lugar de que la red actúe como perímetro, la identidad es el nuevo perímetro. Hemos visto la importancia de esto a través de los ataques de ingeniería social, como el phishing, que utilizan la identidad como punto de entrada. Antes, las organizaciones partían de la base de que si alguien tenía acceso a la aplicación, tenía acceso a los datos. Pero ya no podemos confiar en ese enfoque. Ahora estamos en un mundo de confianza cero en el que el acceso es más fluido y tenemos que entender quién y qué accede a los datos. Esto requiere una autenticación mutua en la que los datos autentiquen al usuario y viceversa.
Centrarse en lo importante: Datos e identidades
El paso a lo digital, y en particular el paso a la nube, exige un nuevo enfoque de la seguridad y centra la atención en lo que más importa de cara al futuro: Los datos y las identidades. Es importante destacar que las identidades abarcan tanto las identidades humanas como las identidades de las máquinas, estas últimas seguirán creciendo en las empresas y requerirán medidas de seguridad escalables y coherentes, independientemente de lo inocuas que puedan parecer.
En última instancia, esta situación crea capas de dependencia, porque no se puede tener un negocio digital sin confianza digital. A su vez, lograr la confianza digital requiere una comprensión de las identidades digitales, y la criptografía es la infraestructura crítica que sustenta esas identidades digitales.
Considere la siguiente situación: Tu empresa necesita enviar un contrato a un nuevo socio. ¿Cómo sabe que su contacto en esa empresa es realmente quien está al otro lado firmando ese documento? Para confiar en esta transacción comercial digital, necesitas una forma de verificar su identidad digital, y la forma más segura de hacerlo es mediante criptografía.
Hasta la fecha, el acceso se ha controlado en gran medida mediante contraseñas, pero este enfoque puede ser débil para los seres humanos y es aún más peligroso cuando se añaden a la mezcla contraseñas codificadas para máquinas. Por eso, en el futuro, la criptografía bien gestionada debería ser el alma de todo negocio digital. En gran medida ya lo es, ya que todo, desde la banca en línea hasta la reserva de vuelos, depende de la criptografía.
Retos clave: Gestión eficaz de un programa PKI generalizado
Afortunadamente, PKI y la criptografía son ahora comunes en una variedad de casos de uso, sobre todo el acceso seguro, la seguridad de los dispositivos, la autenticación de usuarios, las firmas digitales, las identidades digitales y la digitalización en torno a la hiper-automatización y DevOps.
Desafortunadamente, esta situación ha creado un serio desafío, ya que cuanto más prevalentes se vuelven la PKI y la criptografía, más difícil puede ser su gestión. En concreto, los informes muestran que muchas organizaciones utilizan actualmente varias autoridades de certificación (CA) para gestionar diversos programas de PKI, lo que ha dado lugar a una proliferación de CA. En resumen, esto hace que sea difícil para cualquiera obtener una visión centralizada de los certificados que existen en la organización, visibilidad necesaria para gestionar y mantener adecuadamente los certificados y evitar que se vuelvan vulnerables a lo largo de su ciclo de vida.
La mayoría de las organizaciones se centran en generar claves criptográficas y certificados, necesarios para la autenticación basada en identidades, pero también es importante mantenerlos rotándolos y reubicándolos a medida que cambian las necesidades de acceso y los requisitos generales de seguridad. El hecho de que este ciclo de vida pueda volverse muy complejo muy rápidamente tanto para las identidades humanas como para las de las máquinas hace que sea esencial disponer de una forma centralizada y automatizada de gestionar el ciclo de vida completo de los certificados.
En particular, este reto no hará sino aumentar a medida que se amplíe el número de identidades, tanto humanas como digitales, que requieren autenticación.
Centralizar la PKI: respaldar la seguridad basada en la identidad con una gestión consolidada
A medida que la seguridad basada en la identidad adquiere mayor importancia y entran en juego cada vez más identidades, sobre todo de máquinas, la única forma de avanzar es centralizar los programas de PKI.
Hoy en día, la mayoría de las organizaciones tienen entre 50 y 70 soluciones para gestionar la seguridad. Esto crea muchos silos y significa que muy pocas soluciones, por no decir ninguna, están totalmente optimizadas. Aunque nunca habrá una única solución que los gobierne a todos, cuanto más puedan consolidar las organizaciones en una plataforma centralizada, mejores serán los resultados.
Aquí es donde entra en juego una solución PKI escalable y automatizada que pueda soportar la gestión de identidades de máquinas. Las mejores soluciones ayudan a limitar la exposición al riesgo pensando en la seguridad de la identidad en primer lugar y apoyan la escala mediante la gestión automatizada de certificados para el número cada vez mayor de identidades. Podemos pensar en el modelo de madurez para lograr esta solución ideal de la siguiente manera:
Establecer y mantener la confianza: El valor de las personas y los procesos
Disponer de las soluciones criptográficas adecuadas es un primer paso importante, pero no es el último en el cambio a la tecnología digital. Para ello, también es necesario introducir en la mezcla a las personas y los procesos adecuados.
Por ejemplo, si su organización establece un programa de infraestructura de clave pública (PKI, por sus siglas en inglés), también tiene que pensar en cómo pueden obtener certificados fácilmente todas las personas que crean sistemas y aplicaciones (lo que ahora incluye a desarrolladores e incluso a equipos no técnicos).
Si no saben que necesitan un certificado o no pueden conseguirlo fácilmente, el programa PKI puede venirse abajo rápidamente. No es necesario que conozcan los entresijos de todo, basta con que sepan qué necesitan y dónde conseguirlo, como si necesitaran cambiar el aceite de su coche.
En general, la responsabilidad de establecer y mantener la confianza recae en las personas de cada organización, y permitir que las personas del equipo de seguridad y de fuera de él cumplan esa responsabilidad con eficacia requiere procesos que faciliten la participación de todos.
Una de las mejores formas de apoyar los programas PKI a través de personas y procesos es introducir un Centro de Excelencia en Criptografía. Puede tratarse de un grupo de expertos en criptografía que establezcan directrices para la organización y desarrollen procesos que dejen claro a las personas de toda la empresa qué soluciones de seguridad necesitan y dónde pueden obtenerlas.
La misión del Centro de Excelencia en Criptografía debe ser:
- Definir la propiedad
- Proporcionar liderazgo
- Investigación y recopilación de requisitos
- Aplicar las mejores prácticas
- Actuar como asesores y expertos en la materia
- Educar y capacitar a los líderes de las unidades de negocio
Garantizar un futuro seguro: Principales recomendaciones de Gartner
A medida que avanza el cambio hacia lo digital, las organizaciones deben reconocer la importancia de la seguridad basada en la identidad y el valor de los programas PKI para gestionar adecuadamente la explosión de esas identidades en la empresa. En este contexto, Gartner recomienda las siguientes buenas prácticas para empezar:
- Establezca un programa de gestión de identidades de máquinas: Evalúe las herramientas y la tecnología de que dispone en la actualidad para comprender cómo gestiona actualmente las identidades de máquinas y dónde residen las responsabilidades dentro de la organización.
- Asignar la propiedad de la gestión de credenciales de máquinas: Introducir un Centro de Excelencia de Criptografía para centralizar la gestión y las responsabilidades. Una gran parte de esto consistirá en pensar qué líderes de seguridad y no informáticos deben formar parte de este grupo.
- Evalúe las soluciones disponibles a medida que el mercado va madurando: A medida que el mercado sigue madurando, tómese su tiempo para comprender las diferentes soluciones disponibles para ayudar a escalar y automatizar la gestión de identidades. Aunque es posible que necesite herramientas diferentes para elementos como la gestión de identidades frente a la gestión de certificados, cuanto más pueda consolidar, mejor.
¿Le interesa saber más? Haga clic aquí para ver el seminario web completo.