Cómo crear un inventario de activos criptográficos en la nube, CI/CD y dispositivos

La realización de un inventario criptográfico es una práctica recomendada fundamental para gestionar los riesgos de seguridad, cumplir los requisitos de conformidad y facilitar la agilidad criptográfica. La Casa Blanca lo ha identificado como el primer paso y el más crítico que deben dar las organizaciones para prepararse para la transición a un entorno a prueba de la computación cuántica. Los organismos reguladores de EE. UU., Singapur y la UE han publicado notas informativas en las que recomiendan su implementación, y organismos de normalización como el NIST, el NCCoE, el FS-ISAC, el PCI-SSC y el ETSI han intensificado su enfoque en el desarrollo y la adopción de inventarios criptográficos exhaustivos. 

Sin embargo, muchas organizaciones siguen basándose en registros parciales, manuales u obsoletos que no reflejan dónde se encuentra realmente la criptografía. Las claves criptográficas, los certificados y los algoritmos están integrados en aplicaciones, sistemas de archivos, interfaces de red, hardware , servicios en la nube y sistemas heredados, lo que dificulta su localización sin herramientas específicas y procesos deliberados. Las herramientas tradicionales de gestión de vulnerabilidades y amenazas no están diseñadas para crear un inventario criptográfico; se centran en una amplia gama de amenazas, de las cuales solo algunas están relacionadas con la criptografía. 

Esta guía explica cómo realizar un inventario criptográfico siguiendo las mejores prácticas, teniendo en cuenta tres componentes importantes de la empresa moderna: los entornos en la nube, los flujos de trabajo de integración y despliegue continuos (CI/CD) y los dispositivos conectados. 

¿Qué es un inventario criptográfico?

Un inventario criptográfico es un registro centralizado y actualizado continuamente de todos los activos criptográficos utilizados en una organización. Se trata de un registro dinámico, exhaustivo y sistemático de todas las instancias actuales y en evolución de los activos criptográficos dentro de la infraestructura digital ampliada de una organización. 

Un inventario criptográfico moderno va mucho más allá de las hojas de cálculo estáticas. Refleja el uso en tiempo real y la exposición al riesgo en toda la infraestructura, las aplicaciones y los dispositivos, y tiene como objetivo ofrecer una visión unificada y detallada de dónde y cómo se implementan los objetos criptográficos. En esencia, un inventario criptográfico pretende responder a varias preguntas fundamentales: 

• ¿De qué disponemos?
  Un registro completo de todos los objetos criptográficos implementados dentro de la organización, incluidos los que se encuentran en aplicaciones de terceros compradas o adquiridas. 

• ¿Dónde se encuentran los activos?
  La ubicación exacta de los objetos criptográficos dentro de las infraestructuras y entre ellas. 

• ¿Son eficaces?
  Si la criptografía implementada ofrece los resultados esperados y se adapta bien al caso de uso previsto. 

• ¿Qué nivel de confianza tenemos?
  Evaluación de las identidades en función de las políticas de confianza cero, la calidad de la generación de claves y la solidez criptográfica en relación con las necesidades de la organización. 

• ¿Qué es lo primero que debemos hacer?
  Información priorizada y útil para llevar a cabo medidas correctivas, como subsanar las brechas de seguridad, cumplir los requisitos de conformidad y planificar una transición a sistemas a prueba de computación cuántica. 

El alcance de un inventario criptográfico abarca una amplia gama de activos, entre los que se incluyen certificados, claves, algoritmos, repositorios, protocolos y bibliotecas, en todos los entornos en los que se utilizan estos elementos. 

Por qué el inventario criptográfico es una buena práctica para la agilidad criptográfica 

Sin un inventario completo, las organizaciones no pueden llevar a cabo con seguridad el mantenimiento básico de su infraestructura criptográfica, como la rotación de certificados, la sustitución de algoritmos o la respuesta adecuada a nuevas amenazas. La agilidad criptográfica—la capacidad de cambiar de forma rápida y eficaz entre algoritmos, bibliotecas, claves, certificados y protocolos criptográficos sin que ello suponga una interrupción operativa significativa— no puede lograrse sin contar con un inventario criptográfico sólido. 

Dado que los algoritmos criptográficos deben sustituirse periódicamente y que las distintas jurisdicciones imponen requisitos criptográficos diferentes, los sistemas deben diseñarse de manera que puedan adaptarse sin problemas a los cambios de algoritmos. Garantizar esa flexibilidad ya no es opcional: es esencial para la seguridad a largo plazo, la interoperabilidad y el cumplimiento normativo. 

Entre los resultados que se obtienen al seguir las mejores prácticas en materia de inventario criptográfico se incluyen: 

• Menor riesgo de interrupciones en los certificados.
  Esto puede deberse a certificados caducados o desconocidos. La detección automática y el seguimiento del ciclo de vida garantizan que los certificados no caduquen de forma silenciosa en producción. 

• Respuesta más rápida ante la retirada de algoritmos o la divulgación de vulnerabilidades.
  Cuando se descubren nuevos CVE y CWE, las organizaciones que cuentan con un inventario completo pueden identificar rápidamente los activos afectados y poner en marcha medidas correctivas, o incluso actualizaciones automáticas si así se ha configurado. 

• Mayor preparación para las auditorías y el cumplimiento normativo.
  Los entornos normativos están mostrando una intención cada vez mayor de garantizar la adopción de las normas en constante evolución. El cumplimiento de dichas normas reduce el riesgo de multas y sanciones legales en un entorno en el que la normativa está en constante evolución. 

• Una base práctica para la planificación de la criptografía poscuántica.
  La transición hacia la seguridad cuántica será un proceso de maduración significativo, que se prolongará durante varios años y afectará a todas las áreas de una organización y a su cadena de valor. Un inventario criptográfico proporciona la visibilidad necesaria para identificar qué recursos están más expuestos al riesgo cuántico y para priorizar la respuesta práctica. 

Qué incluir en un inventario criptográfico (buenas prácticas) 

Los inventarios criptográficos eficaces van mucho más allá de los certificados digitales. Un inventario que siga las mejores prácticas debe incluir los activos criptográficos en tres grandes categorías: criptografía operativa, software y criptografía de red. 

Un inventario de buenas prácticas debería incluir: 

• Certificados:
  certificados públicos, privados, internos, autofirmados y de entidad final, autoridades de certificación raíz y almacenes de confianza utilizados para TLS, TLS mutuo TLS mTLS), firma y otros fines. 

• Claves criptográficas y almacenes de claves:
  claves privadas y públicas, claves simétricas secretas, almacenes de claves, tokens y otros secretos criptográficos implementados en los sistemas, incluidos los gestionados por HSM, KMS y almacenes de claves. 

• Algoritmos, protocolos y sus parámetros y configuraciones:
  incluidos tamaños de clave, conjuntos de cifrado, mecanismos de intercambio de claves, códigos de autenticación de mensajes y otros elementos criptográficos. El inventario debe documentar no solo qué algoritmos son compatibles, sino también cómo se configuran específicamente los sistemas para utilizarlos. 

• Bibliotecas y API criptográficas:
   bibliotecas vinculadas a hardware software hardware para realizar operaciones criptográficas (por ejemplo, OpenSSL, Bouncy Castle), incluida la información sobre versiones y vulnerabilidades conocidas. 

• Autoridades de certificación:
  tanto las CA internas como las externas, y cómo se gestionan en toda la organización. 

• Anclas de confianza y raíces de confianza:
  raíces de confianza integradas en componentes hardware , incluidos aquellos que no pueden modificarse. 

Los inventarios incompletos son una de las principales causas por las que las migraciones criptográficas se estancan o fracasan. Una lista de materiales criptográficos (CBOM) ofrece visibilidad sobre las capacidades integradas del software, pero no incluye información sobre cómo se configuran las aplicaciones en un entorno concreto. El inventario criptográfico de una organización debe abarcar el panorama completo: capacidades integradas, configuración en tiempo de ejecución y uso criptográfico real. 

Paso 1: Identificar los activos criptográficos en los entornos de nube  

Las plataformas en la nube aumentan drásticamente la proliferación criptográfica. Las claves criptográficas, los certificados y los algoritmos se integran en una combinación heterogénea de servicios en la nube, y la naturaleza dinámica de los entornos en la nube implica que constantemente se introducen, actualizan o retiran nuevos objetos criptográficos. 

Entre las mejores prácticas para el inventario criptográfico en la nube se incluyen: 

• Descubre los certificados y las claves en entornos IaaS, PaaS y servicios gestionados.
  Esto incluye la configuración criptográfica y el material de identidad implementado en los sistemas centrales que se ejecutan en infraestructuras y plataformas de terceros (IaaS y PaaS), como instancias de computación, bases de datos gestionadas, puertas de enlace API y plataformas de orquestación de contenedores. 

• Identificar la criptografía integrada en los distintos mecanismos.
  Los equilibradores de carga, las puertas de enlace, las mallas de servicios y otras unidades de infraestructura de red se incluyen en esta categoría. Estos componentes suelen mantener sus propios almacenes de certificados y configuraciones criptográficas que pueden no ser visibles de forma centralizada. 

• Realizar un seguimiento de la titularidad y el estado del ciclo de vida de los certificados nativos de la nube.
  Asigne una propiedad clara a cada activo criptográfico para garantizar la responsabilidad y una resolución más rápida cuando surjan problemas. Comprender el valor y la sensibilidad de los datos o sistemas que se protegen ayuda a priorizar las tareas de detección. 

Los entornos de infraestructura remota están en constante evolución, con nuevas implementaciones, actualizaciones y configuraciones. Por lo tanto, la detección de activos criptográficos en la nube debe ser automatizada y continua para mantener su precisión a gran escala. La detección manual simplemente no puede seguir el ritmo de los cambios en las arquitecturas nativas de la nube. Las soluciones automatizadas pueden realizar un seguimiento del ciclo de vida de las claves y certificados criptográficos, evaluar la idoneidad criptográfica y activar cambios cuando sea necesario. Es igualmente importante identificar el uso criptográfico más allá de los activos gestionados actualmente (como certificados de red no gestionados, claves integradas e implementaciones KMS externas) para lograr una visibilidad completa del panorama criptográfico de la organización. 

Paso 2: Inventario de la criptografía integrada en los procesos de CI/CD 

Los procesos de CI/CD son flujos de trabajo automatizados que compilan, prueban e implementan software desde el control de versiones hasta el entorno de producción de una manera coherente y repetible. Debido a la forma en que se utilizan, suelen pasar desapercibidos en los inventarios criptográficos. Software —es decir, las capacidades criptográficas y los elementos de identidad integrados en las aplicaciones por los equipos de desarrollo— suele escapar a los análisis de seguridad tradicionales. 

Entre las mejores prácticas se incluyen: 

• Análisis de los flujos de trabajo en busca de certificados, claves y secretos utilizados en las compilaciones.
  Los objetos binarios de los procesos de CI/CD pueden contener material criptográfico incrustado que no es visible mediante un simple análisis a nivel de red. 

• Identificación de las bibliotecas criptográficas utilizadas en el código fuente o integradas en los binarios compilados.
  Un CBOM puede ayudar a formalizar la visibilidad de las capacidades criptográficas integradas en cada versión de la aplicación, incluyendo algoritmos (por ejemplo, AES-256, RSA-2048), bibliotecas (por ejemplo, OpenSSL, Bouncy Castle) y tipos de claves compatibles. 

• Detección de claves codificadas de forma estática o reutilizadas.
  Las claves obsoletas, codificadas de forma rígida, reutilizadas o revocadas que se encuentren en cualquier componente del proceso representan riesgos ocultos que las herramientas de detección automatizada pueden identificar y señalar para su corrección. 

Sin visibilidad de CI/CD, las organizaciones corren el riesgo de implementar criptografía insegura o que incumpla las normas en los entornos de producción. Dado que la criptografía es hoy en día una parte integral de cualquier software moderno, la agilidad criptográfica debe estar a la altura de las mejores prácticas software ágil software . Esto implica integrar las prácticas de gestión del inventario criptográfico en el propio ciclo de vida del desarrollo, en lugar de tratarlas como una cuestión que se aborda tras la implementación. 

Paso 3: Inventario de dispositivos, firmware y activos de larga duración 

Los dispositivos y el firmware plantean retos específicos en materia de inventario criptográfico. Hardware —es decir, la criptografía utilizada para proteger sistemas ciberfísicos como IoT los dispositivos periféricos, los módulos de confianza integrados, los chips criptográficos y los controladores industriales— requiere métodos de detección especializados. 

Entre las mejores prácticas para la gestión del inventario de dispositivos se incluyen: 

• Seguimiento de las identidades de los dispositivos y los certificados integrados.
  Esto incluye la raíz de confianza almacenada y protegida en hardware dedicado, las claves criptográficas en hardware dedicado y las capacidades criptográficas que admite cada dispositivo. 

• Identificación de firmas de larga duración utilizadas en software de firmware y software .
  Las firmas digitales que gozan de confianza desde hace mucho tiempo, como las del firmware de IoT de larga duración y las raíces de confianza, representan activos de alta prioridad para la planificación de una transición a prueba de la computación cuántica. 

• Identificación de las dependencias criptográficas en dispositivos IoT, OT y periféricos.
  Estos activos pueden tener una interoperabilidad limitada dentro del entorno de una organización, y muchos incluyen implementaciones de criptografía que son anteriores a las mejores prácticas actuales. 

Estos activos suelen ser los más difíciles y los más críticos de migrar cuando cambian los algoritmos. Los dispositivos instalados sobre el terreno pueden funcionar durante una década o más, lo que los hace especialmente vulnerables a «Recolectar ahora, descifrar más tarde» , en los que los actores maliciosos recopilan datos cifrados hoy con la intención de descifrarlos cuando los ordenadores cuánticos estén disponibles. 

Paso 4: Centralizar los datos de inventario para mejorar la visibilidad y el control 

El mero hecho de recopilar información no es suficiente. El principio de crear un repositorio dinámico y fiable de datos relacionados con la criptografía, diseñado para permitir a los usuarios y a los sistemas tomar decisiones y actuar, es esencial para convertir los datos brutos recopilados en valor operativo. 

Las listas de buenas prácticas son: 

• Centralizado en un único sistema de referencia.
  El objetivo es contar con una o varias fuentes fiables en las que puedan basarse otros sistemas para la toma de decisiones y la ejecución de acciones. Aunque en ocasiones es necesario un enfoque federado con múltiples inventarios (especialmente cuando la normativa local exige el almacenamiento local de los activos criptográficos), en última instancia debe existir una única fuente de verdad que permita un mejor control y supervisión. 

• Actualización continua mediante automatización.
  Las soluciones automatizadas garantizan que el inventario criptográfico se actualice casi en tiempo real, lo que permite a los equipos de seguridad actuar ante las amenazas, prevenir interrupciones del servicio, facilitar la elaboración de informes de cumplimiento normativo y realizar análisis forenses. 

• Se puede realizar una búsqueda por tipo de activo, algoritmo, propietario y nivel de riesgo.
  Capturar el contexto a través de metadatos —incluida la criticidad de los activos, la titularidad y la responsabilidad, las vulnerabilidades asociadas y los requisitos de cumplimiento normativo— es fundamental para llegar a las conclusiones correctas y permitir la corrección. 

La centralización permite a los equipos de seguridad actuar con rapidez cuando es necesario introducir cambios criptográficos. Sin una visibilidad centralizada, los equipos responsables correspondientes no pueden abordar con prontitud las vulnerabilidades detectadas, y la organización carece de la visión unificada necesaria para priorizar las medidas correctivas a gran escala. 

Un inventario exhaustivo de activos criptográficos no solo depende de la identificación de activos individuales, sino también de la consolidación de datos en todo el ecosistema tecnológico. La integración de la información procedente de las plataformas existentes permite a las organizaciones obtener una visión más precisa y continuamente actualizada de su situación en materia de criptografía. Por lo tanto, aprovechar el ecosistema tecnológico existente es esencial para lograr visibilidad, reducir los puntos ciegos y mantener la escalabilidad operativa. 

Paso 5: Ampliar el inventario con información sobre riesgos y cumplimiento normativo 

Un inventario criptográfico se convierte en una herramienta útil cuando se integra el análisis de riesgos. La información adquiere mayor valor cuando se contextualiza y se transforma en conocimientos prácticos, convirtiendo los datos brutos en una herramienta para la toma de decisiones. 

Entre las mejores prácticas se incluyen: 

• Detección de activos criptográficos caducados, débiles o que no cumplen con los requisitos.
  Esto incluye certificados a punto de caducar, certificados no conformes y autofirmados, algoritmos, protocolos o bibliotecas obsoletos, y tamaños de clave inseguros. 

• Identificar algoritmos obsoletos, configuraciones incorrectas y parámetros inseguros.
  Las organizaciones deben evaluar si la criptografía que han implementado ofrece los resultados esperados y es adecuada para su finalidad, y no solo si existe. 

• Priorizar los activos en función de su importancia para el negocio y su exposición al riesgo.
  Un enfoque basado en el riesgo implica trazar un mapa de toda la pila tecnológica, evaluar la situación de seguridad de cada activo y priorizar aquellos que protegen datos privilegiados o que son fundamentales para las operaciones clave de la empresa en relación con escenarios de riesgo empresarial críticos. 

De este modo, el inventario pasa de ser un mero documento a convertirse en una herramienta de toma de decisiones. Gracias a la puntuación por prioridades, los administradores pueden orientar eficazmente las medidas correctivas, abordando primero los riesgos más críticos. Los certificados vulnerables pueden renovarse o revocarse, y la automatización mejora aún más la eficiencia al permitir una corrección fluida, al tiempo que da soporte a los flujos de trabajo de aprobación para activos sensibles o de alto riesgo. 

Paso 6: Mantener el inventario actualizado 

Los inventarios estáticos pierden vigencia rápidamente. Los entornos informáticos dinámicos a gran escala están en constante evolución, con nuevas implementaciones, actualizaciones y configuraciones. Sin un mantenimiento continuo, un inventario criptográfico se vuelve rápidamente incompleto y poco fiable. 

Entre las mejores prácticas actuales se incluyen: 

• Automatizar la detección y las actualizaciones.
  Esto incluye la supervisión de los cambios en las bibliotecas de los proveedores, los nuevos CVE, las claves potencialmente comprometidas, las nuevas normativas o recomendaciones y los cambios en los estándares criptográficos. Los sistemas de automatización pueden realizar un seguimiento del ciclo de vida de las claves y los certificados criptográficos, evaluar la idoneidad criptográfica y activar cambios si es necesario. 

• Integre el inventario con los flujos de trabajo de gestión del ciclo de vida de los certificados.
  Al vincular la detección, la evaluación de riesgos y la corrección en un ciclo de vida unificado, se garantiza que el inventario se mantenga preciso a medida que se emiten, renuevan, revocan y sustituyen los certificados. 

• Revise periódicamente los datos del inventario como parte de las operaciones de seguridad.
   La gestión ágil del ciclo de vida de los activos criptográficos es un aspecto importante de las operaciones de ciberseguridad y la resiliencia. Cuando se descubren nuevas vulnerabilidades, un inventario actualizado permite actualizar los activos rápidamente. 

El mantenimiento continuo es esencial para mantener la agilidad criptográfica en entornos dinámicos. El proceso de detección de elementos criptográficos debe ser continuo, no un proyecto puntual. Esto permite a las empresas mantenerse al día con el rápido ritmo de cambio de la infraestructura moderna. 

Errores habituales en la gestión del inventario criptográfico que hay que evitar 

• Depender de hojas de cálculo o del seguimiento manual.
  Crear un inventario criptográfico de forma manual resulta complicado a gran escala. Los procesos manuales tienen dificultades para seguir el ritmo de los continuos cambios que se producen en una infraestructura, y las herramientas tradicionales de detección de vulnerabilidades no están diseñadas para este fin. 

• Realizar un inventario de certificados sin tener en cuenta las claves, los algoritmos y las bibliotecas.
  Las claves pueden haberse generado de forma inadecuada o haberse visto comprometidas. Los algoritmos pueden estar mal configurados o ya no considerarse seguros. Las bibliotecas pueden ser de desarrollo propio, estar obsoletas o contener vulnerabilidades conocidas. Un inventario exhaustivo debe abarcar toda la gama de activos criptográficos. 

• Considerar el proceso de identificación como un proyecto puntual.
  La pila tecnológica está sujeta a cambios constantes, con nuevas implementaciones, actualizaciones y configuraciones. Es fundamental mantener actualizado el inventario criptográfico a medida que se introducen o eliminan nuevos objetos criptográficos de la infraestructura. 

• No tener en cuenta los datos y las cargas de trabajo alojados en la nube, la integración y la entrega continuas (CI/CD) y la criptografía de dispositivos.
  Las claves criptográficas, los certificados y los algoritmos pueden estar ocultos en fuentes heterogéneas de diversos entornos de TI, incluyendo aplicaciones compiladas, servicios en la nube, hardware y sistemas heredados. Los puntos ciegos en cualquiera de estas áreas socavan el valor de todo el inventario. 

Evitar estos escollos mejora considerablemente la solidez criptográfica a largo plazo y prepara a la organización para una transición más fluida hacia estándares a prueba de la computación cuántica. 

Apoyo a las mejores prácticas en materia de inventario criptográfico conKeyfactor 

Crear y mantener un inventario criptográfico que sea continuo, automatizado y centralizado requiere algo más que buenas intenciones: exige herramientas diseñadas específicamente para ello. Pasar de las mejores prácticas a la implementación implica adoptar soluciones capaces de adaptarse a la escala, la complejidad y el ritmo de cambio de los entornos empresariales modernos. 

CómoKeyfactor la aplicación de las mejores prácticas en materia de inventario criptográfico 

Keyfactor, junto con InfoSec Global (unaKeyfactor ), ofrece funciones integradas que respaldan directamente las mejores prácticas en materia de gestión de activos criptográficos: 

• Detección automatizada en entornos en la nube, híbridos y locales.
  Al combinar los métodos de búsqueda patentados de Commandy AgileSec Analytics, la solución ofrece un inventario completo de los activos criptográficos de una organización: certificados, sistemas de gestión de claves, bibliotecas criptográficas, HSM, terminales de red, cargas de trabajo en la nube y equilibradores de carga. 

• Visibilidad sobre los algoritmos, el tamaño de las claves y el estado de caducidad.
  AgileSec Analytics detecta de forma proactiva posibles vulnerabilidades criptográficas, usos indebidos o incumplimientos de normativa, y los prioriza en función de una puntuación de gravedad técnica. 

• Detección de elementos criptográficos en los procesos de CI/CD y en los binarios integrados.
  Los objetos binarios en los procesos de CI/CD se incluyen en el proceso de detección, lo que garantiza que los activos criptográficos introducidos durante el desarrollo se rastreen junto con los que se encuentran en producción. 

• Gestión centralizada de autoridades de certificación internas y externas.
   Keyfactor Command una visibilidad a nivel de toda la empresa de todas las autoridades de certificación e identidades de máquinas, lo que permite a las organizaciones identificar los algoritmos en uso y definir políticas y flujos de trabajo automatizados. 

• Integración con flujos de trabajo de automatización del ciclo de vida.
  Los procesos automatizados para la renovación, el aprovisionamiento y la revocación de certificados permiten a las organizaciones sustituir algoritmos y claves obsoletos y eliminar certificados caducados a gran escala, con flujos de trabajo de aprobación para activos sensibles o de alto riesgo. 

Ventajas estratégicas 

• El inventario se convierte en una herramienta útil, que se actualiza y enriquece continuamente con información sobre los riesgos, y no es solo una base de datos estática. 

• Solución más rápida de los activos vulnerables o que no cumplen los requisitos mediante una puntuación por prioridades y la renovación y revocación con un solo clic (o de forma automatizada). 

• Reduzca los riesgos de interrupción de certificados manteniendo una visibilidad completa y en tiempo real de todo el entorno criptográfico. 

• Una base para la agilidad criptográfica y la preparación para la criptografía poscuántica (PQC), que incluye compatibilidad integrada para probar certificados híbridos y poscuánticos conKeyfactor EJBCA, y la firma de código resistente a la computación cuántica conKeyfactor SignServer.

¿Listo para pasar de las mejores prácticas a la implementación? Descubre cómoKeyfactor ayudarte a crear un inventario criptográfico completo y acelerar tu camino hacia la agilidad criptográfica: 

• Detección de certificados: Establezca una visibilidad a nivel de toda la empresa de todas las identidades de máquinas y certificados. 

• Automatización del ciclo de vida de los certificados: Automatice la renovación, el aprovisionamiento y la revocación de certificados a gran escala. 

• Solicitar una demo: Descubra cómoKeyfactor AgileSec Analytics se complementan para ofrecer una visibilidad y un control criptográficos de 360 grados. 

Inventario criptográfico Preguntas frecuentes:

¿Con qué frecuencia se debe actualizar un inventario criptográfico?
De forma continua. Las mejores prácticas se basan en la detección automatizada, en lugar de en revisiones manuales periódicas. El flujo continuo de nuevas implementaciones, actualizaciones y configuraciones crea un entorno tecnológico en constante cambio, y la automatización garantiza que el inventario criptográfico se actualice casi en tiempo real. Esto permite a los equipos de seguridad actuar ante las amenazas, prevenir interrupciones del servicio y facilitar la elaboración de informes de cumplimiento sin depender de auditorías programadas. 

¿Es necesario un inventario criptográfico para la criptografía poscuántica?
Sí. Sin saber dónde se utilizan los algoritmos y los certificados, la migración a la criptografía poscuántica no puede llevarse a cabo de forma segura. La Casa Blanca ha ordenado a las agencias federales que elaboren un inventario criptográfico como primer paso fundamental para prepararse para la transición hacia la seguridad cuántica. Se prevé que los ordenadores cuánticos capaces de descifrar la criptografía de clave pública estén disponibles en un plazo de entre 5 y 15 años, y la transición a algoritmos resistentes a la criptografía cuántica afectará a todos los aspectos de la infraestructura de una organización. 

¿Quién debe gestionar el inventario criptográfico?
La titularidad suele abarcar a los equipos de seguridad, plataforma e infraestructura, con una visibilidad y una gobernanza centralizadas. En la práctica, un ejecutivo de alto nivel (como el CISO) debería ser el responsable de la gestión de la criptografía, mientras que la responsabilidad operativa puede centralizarse o distribuirse entre distintos grupos, como DevSecOps, TI, un equipo dedicado a la criptografía y el cumplimiento de la seguridad. El uso de un modelo RACI (Responsable, Encargado, Consultado, Informado) ayuda a garantizar que las decisiones relacionadas con la criptografía no se tomen sin la experiencia adecuada. 

¿Qué procesos deberían implementarse o modificarse para mantener un inventario actualizado?
Hay varios cambios importantes que permiten un mantenimiento más eficiente del inventario criptográfico: 

• Centralizar la política criptográfica y la visibilidad.
  Establecer una fuente centralizada para el inventario criptográfico que sirva como único repositorio de confianza para la toma de decisiones en toda la organización. 

• Automatice la gestión de activos criptográficos.
  Implemente herramientas automatizadas de detección y gestión del ciclo de vida que permitan realizar un seguimiento de claves, certificados, algoritmos y bibliotecas en todos los entornos casi en tiempo real. 

• Limita el aprovisionamiento a los dispositivos que permiten la gestión automatizada.
  Siempre que sea posible, estandarice la infraestructura y los dispositivos que admitan la detección y la gestión criptográfica automatizadas, reduciendo así la proporción de activos que requieren intervención manual.