El sector mundial de la ciberseguridad se enfrenta a una importante escasez de mano de obra. Aunque la reserva de trabajadores de ciberseguridad ha crecido, las vacantes en el mercado laboral lo han hecho aún más rápido, hasta el punto de que el Departamento de Seguridad Nacional describió la escasez como una importante amenaza para la seguridad nacional.
Según un informe de (ISC)² Plantilla de ciberseguridadel déficit mundial de mano de obra en ciberseguridad en 2022 es de 3,4 millones, el más alto de la historia. El informe también destaca que la mano de obra estadounidense en ciberseguridad solo crece un 5,5%, frente al crecimiento mundial del 11,1%.
Keyfactorayuda a los responsables de seguridad a comprender la dinámica de la escasez de mano de obra en ciberseguridad y ofrece estrategias para mitigar su impacto en su postura de seguridad y en la eficacia de su equipo.
Esta escasez representa una amenaza significativa para el mundo empresarial. Los equipos de seguridad con poco personal no sólo tienen dificultades para adelantarse a las amenazas activas contra las redes de las empresas, sino que también pierden el ancho de banda que necesitan para parchear los sistemas críticos, evaluar y gestionar los riesgos y mantener las mejores prácticas que mantienen la red segura.
La adopción de herramientas o la contratación de nuevos talentos puede no resolver las ineficiencias subyacentes que impiden la ampliación. La inversión adecuada devuelve ancho de banda a los equipos de seguridad y simplifica su trabajo diario, al tiempo que proporciona escalabilidad y flexibilidad para el futuro.
Para las empresas que encargan a sus equipos de seguridad general o de TI la gestión de la infraestructura de clave pública (PKI), la modernización de la PKI puede proporcionar el elemento transformador que los equipos necesitan para mantenerse vigilantes y eficaces.
Por qué los equipos tienen problemas con PKI
Mientras que en el pasado, PKI se limitaba a un conjunto de casos de uso específicos y manejables, la empresa actual se enfrenta al reto de gestionar certificados digitales a gran escala. KeyfactorEl informe de 2022 State of Machine Identity Management Report revela que la empresa media cuenta con más de 260.000 certificados emitidos internamente.
Además del mero volumen, hay varios factores que hacen de la ICP un trabajo a tiempo completo que pocos equipos pueden realizar de verdad y con eficacia, sobre todo cuando se ven desbordados por la escasez de mano de obra.
Los certificados suelen estar repartidos por toda la empresa, lo que dificulta la visibilidad de todo el inventario de certificados de la organización, sobre todo si otros equipos pueden generar sus propios certificados sin control. del inventario de certificados de la organización, sobre todo si otros equipos pueden generar sus propios certificados sin control.
Para obtener el control de todo el inventario de certificados de la organización, los equipos de PKI necesitan visibilidad de las bases de datos de autoridades de certificación (CA), los puntos finales de SSL y TLS en la red y los almacenes de claves y certificados. También debe existir una clara jerarquía de propiedad entre los operadores de PKI y los gestores, aprobadores y usuarios de certificados.
Procesos manuales
Keyfactor2022 State of Machine Identity Management Report muestra que el 42% de las organizaciones utilizan hojas de cálculo para realizar el seguimiento de los ciclos de vida de los certificados y el 38% utilizan herramientas propias.
Como resultado, el equipo de PKI debe realizar un seguimiento manual de los próximos vencimientos de certificados, mantenerse al día con las solicitudes de emisión y aprobación de certificados, y supervisar la renovación e instalación de nuevos certificados. La falta de experiencia y responsabilidad entre las partes interesadas dificulta aún más los engorrosos flujos de trabajo manuales en torno a PKI.
Racionalizar los procesos utilizados para gestionar PKI no sólo es vital para capear la escasez de mano de obra, sino que también es clave para desbloquear la escalabilidad a medida que las organizaciones siguen evolucionando en el uso de PKI.
Falta de experiencia
La gestión de la PKI requiere un conjunto profundo y específico de habilidades y conocimientos. Los errores cometidos en la fase de diseño de una PKI de nivel empresarial no pueden deshacerse sin una revisión total, especialmente con el nivel de complejidad que implica un entorno de sistemas típico. La PKI no es una infraestructura de "instalar y olvidar". Necesita un mantenimiento continuo para conservar su eficacia.
Una gestión adecuada de la PKI requiere tiempo para evaluar la infraestructura de forma holística y determinar el camino correcto a seguir. Cuando los equipos de TI o de seguridad se ocupan de la PKI además de sus tareas principales, es posible que tengan que dar prioridad a esas tareas sobre sus responsabilidades en materia de PKI. En cualquier caso, la organización se enfrenta a un mayor riesgo de interrupción o infracción.
En general, estos retos obligan a los equipos internos a gestionar la ICP de forma reactiva. Esto no sólo crea más trabajo para el equipo, exacerbando los dolores de la escasez de mano de obra, sino que prácticamente garantiza las interrupciones debidas a la caducidad de los certificados.
Adelantarse a la PKI
La escasez de mano de obra exige a las organizaciones sacar más partido de su personal de seguridad y TI existente. Las inversiones adecuadas dan a los equipos acceso a los recursos, herramientas y conocimientos que les faltan para minimizar el tiempo que dedican a gestionar PKI en conflicto con otras obligaciones y trabajos de mayor nivel.
La modernización de la PKI puede reducir la carga de trabajo y evitar desastres como auditorías fallidas, claves y certificados robados o mal utilizados, e interrupciones imprevistas.
Visibilidad gracias a la centralización
Los equipos no pueden proteger lo que no pueden ver. Una plataforma de gestión de PKI moderna puede detectar certificados y claves ocultos y desconocidos y proporcionar visibilidad de las CA públicas y privadas, los puntos finales de la red y los almacenes de claves y certificados.
Esta visibilidad permite al equipo de PKI corregir las identidades débiles y no conformes e impulsar las mejores prácticas en torno a los certificados en toda la empresa. Gracias a funciones como el etiquetado de certificados y los metadatos personalizados, los equipos de PKI pueden organizar inventarios de certificados e integrarlos en los flujos de trabajo de los usuarios.
La creación de un centro PKI universal command puede proporcionar un tiempo valioso, simplicidad y tranquilidad a los equipos de seguridad con poco personal. Centralizar la gestión de la PKI en una plataforma holística puede ahorrar a los equipos horas de trabajo que, de otro modo, dedicarían a averiguar el estado de certificados oscuros y lejanos. Podrán prever los vencimientos y dejar de preguntarse si algún certificado olvidado caducará sin ser detectado.
Automatización transformadora
La automatización puede ser la mayor ventaja de una PKI modernizada. Una solución de gestión de PKI puede agilizar o automatizar por completo el proceso de renovación, provisión e instalación de certificados. Esta funcionalidad puede eliminar virtualmente el riesgo de interrupciones de certificados y evitar la pesada carga de trabajo que supone solucionarlos.
Cuando los equipos pueden automatizar las alertas de renovación, programar informes y revocar o emitir certificados en bloque, pueden liberarse de la rutina de la PKI para evaluar y perfeccionar la PKI a un nivel más amplio. Pueden controlar realmente su PKI, en lugar de operar a merced de ella.
La automatización simplifica el uso de certificados para usuarios finales como desarrolladores y propietarios de aplicaciones. Una solución de gestión de PKI puede establecer límites y normas para los usuarios que consumen certificados sin violar las políticas o el cumplimiento. Como tal, una PKI modernizada puede aliviar los dolores de la escasez de mano de obra a equipos más allá de los dedicados a TI y PKI, contribuyendo así a la innovación en lugar de impedirla.
Profundos conocimientos de PKI
Cada organización es diferente y consume los certificados a su manera. Aunque las plataformas listas para usar pueden ofrecer capacidades transformadoras, las organizaciones necesitan experiencia humana para tomar las decisiones más importantes en torno a su PKI..
Un proveedor de PKI o un experto externo pueden trabajar con los equipos de seguridad o de TI para comprender los casos de uso de la PKI de su organización, para diseñar la PKI de la mejor manera posible de acuerdo con esos requisitos y evitar problemas posteriores a la producción. Un experto o proveedor de PKI puede ayudar a tomar decisiones importantes en la fase de diseño, como si se debe utilizar un diseño de dos o tres niveles o si se debe adoptar un módulo de seguridad Hardware (HSM).
Un experto en PKI puede garantizar que estas decisiones no vuelvan a causar problemas a la organización y simplificar la PKI. Una vez establecidos los cimientos de la PKI, se pueden implantar políticas y procedimientos para optimizar la gestión de la PKI. A partir de ahí, el equipo interno responsable de la PKI puede administrar la revisión y las pruebas periódicas de los componentes de la PKI, como la supervisión y la evaluación comparativa de la PKI con las normas actuales y emergentes del sector en materia de cumplimiento y seguridad.
Contar con la orientación de expertos en PKI puede ahorrar a los equipos inmensas complicaciones y la molestia de modernizar su PKI mediante ensayo y error. Mientras tanto, la organización paga por la experiencia que necesita en lugar de contratar a un experto interno en PKI.
Más ancho de banda, menos costes
Además de ahorrar tiempo y quebraderos de cabeza a los equipos de seguridad, las eficiencias de una PKI modernizada puede suponer un importante ahorro de costes.. Las organizaciones no sólo obtendrán más valor de los miembros de su equipo actual, evitando los costes de contrataciones innecesarias y reduciendo el coste total de propiedad en torno a la PKI en un 40%. y reduciendo el coste total de propiedad de la PKI en un 40sino que también conservarán los ingresos que, de otro modo, se perderían por cortes o ciberataques.
Esto da a las empresas más margen para invertir en otras áreas de la empresa que están sufriendo las presiones de la escasez de mano de obra.
Algún día se acabará la escasez de mano de obra en ciberseguridad, pero muchas ineficiencias de la PKI no han sido creadas por la escasez, sino que han sido reveladas y amplificadas por ella. Independientemente de las medidas que tomen las organizaciones para sobrevivir a la escasez de mano de obra, desbloquear la escalabilidad y la eficiencia de la PKI será clave para proteger a las empresas en el mundo del mañana.
Para explorar más formas en que las organizaciones pueden mantenerse seguras y ágiles durante la escasez de mano de obra, descargue el nuevo libro electrónico de Keyfactor: Tres estrategias para sortear la escasez de mano de obra en ciberseguridad.
