Realizar las inversiones adecuadas para combatir la escasez de talento en ciberseguridad

La industria global de ciberseguridad se enfrenta a una importante escasez de mano de obra. Aunque la reserva de trabajadores de ciberseguridad ha crecido, las vacantes en el mercado laboral lo han hecho aún más rápido, tanto que el Departamento de Seguridad Nacional describió la escasez como una amenaza significativa para la seguridad nacional.

Según un informe de (ISC)² Cybersecurity Workforce, la brecha global de la fuerza laboral de ciberseguridad en 2022 es de 3.4 millones, la más alta de la historia. El informe también destaca que la fuerza laboral de ciberseguridad de EE. UU. solo está creciendo al 5.5 por ciento, en comparación con el crecimiento global del 11.1 por ciento.

El último libro electrónico de Keyfactor ayuda a los líderes de seguridad a comprender la dinámica de la escasez de mano de obra en ciberseguridad y ofrece estrategias para mitigar su impacto en su postura de seguridad y la eficacia de su equipo.

La escasez representa una amenaza significativa para el mundo empresarial. Los equipos de seguridad con personal insuficiente no solo luchan por adelantarse a las amenazas activas contra las redes de la empresa, sino que también pierden el ancho de banda necesario para parchear sistemas críticos, evaluar y gestionar riesgos, y mantener las mejores prácticas que garantizan la seguridad de la red. 

La adopción de herramientas o la contratación de nuevo talento puede no abordar las ineficiencias subyacentes que impiden la escalabilidad. La inversión adecuada devuelve ancho de banda a los equipos de seguridad y simplifica su trabajo diario, al tiempo que proporciona escalabilidad y flexibilidad para el futuro. 

Para las empresas que encargan a sus equipos generales de seguridad o TI la gestión de la Infraestructura de Clave Pública (PKI), la modernización de la PKI puede proporcionar el elemento transformador que los equipos necesitan para mantenerse vigilantes y eficaces.

Mientras que en el pasado, la PKI se limitaba a un conjunto manejable y específico de casos de uso, la empresa actual se enfrenta al desafío de gestionar certificados digitales a una escala masiva. El Informe de Keyfactor de 2022 sobre el Estado de la Gestión de Identidades de Máquinas reveló que la empresa promedio cuenta con más de 260,000 certificados emitidos internamente.

Además del gran volumen, varios factores hacen de la PKI un trabajo a tiempo completo que pocos equipos pueden realizar de manera verdadera y efectiva, especialmente cuando están sobrecargados por la escasez de mano de obra.

Los certificados suelen estar distribuidos por toda la empresa, lo que dificulta obtener visibilidad completa del inventario de certificados de la organización, especialmente si otros equipos pueden generar sus propios certificados sin control.

Para obtener control total del inventario de certificados de la organización, los equipos de PKI necesitan visibilidad de las bases de datos de la autoridad de certificación (CA), los puntos finales SSL y TLS en la red, y los almacenes de claves y certificados. También debe existir una jerarquía clara de propiedad entre los operadores de PKI y los gestores, aprobadores y usuarios de certificados.

El Informe de Keyfactor de 2022 sobre el Estado de la Gestión de Identidades de Máquinas muestra que el 42% de las organizaciones utiliza hojas de cálculo para rastrear los ciclos de vida de los certificados y el 38% utiliza herramientas desarrolladas internamente.

Como resultado, el equipo de PKI debe rastrear manualmente las próximas caducidades de certificados, mantenerse al día con las solicitudes de emisión y aprobación de certificados, y supervisar la renovación e instalación de nuevos certificados. La falta de experiencia y responsabilidad entre las partes interesadas dificulta aún más los engorrosos flujos de trabajo manuales en torno a la PKI. 

La optimización de los procesos utilizados para gestionar la PKI no solo es vital para superar la escasez de mano de obra, sino también clave para desbloquear la escalabilidad a medida que las organizaciones continúan evolucionando su uso de la PKI.

La gestión de la PKI requiere un conjunto profundo y específico de habilidades y conocimientos. Los errores en la fase de diseño de una PKI a nivel empresarial no pueden deshacerse sin una revisión total, especialmente con el nivel de complejidad que implica un panorama de sistemas típico. La PKI no es una pieza de infraestructura de 'configurar y olvidar'. Necesita mantenimiento y conservación continuos para mantener la eficiencia.

Una gestión adecuada de la PKI requiere tiempo para evaluar la infraestructura de forma integral y determinar el camino correcto a seguir. Cuando los equipos de TI o seguridad gestionan la PKI además de sus tareas principales, es posible que deban priorizar esas tareas sobre sus responsabilidades de PKI. De cualquier manera, la organización se enfrenta a un mayor riesgo de interrupción o violación de seguridad.

En términos generales, estos desafíos obligan a los equipos internos a adoptar un modo reactivo de gestión de la PKI. Esto no solo genera más trabajo para el equipo, exacerbando las dificultades de la escasez de mano de obra, sino que prácticamente garantiza interrupciones debido a la caducidad de los certificados.

La escasez de mano de obra exige que las organizaciones aprovechen al máximo su personal de seguridad y TI existente. Las inversiones adecuadas proporcionan a los equipos acceso a los recursos, herramientas y conocimientos que les faltan para minimizar el tiempo dedicado a gestionar la PKI en conflicto con otras tareas y trabajos de mayor nivel. 

La modernización de la PKI puede reducir la carga de trabajo al tiempo que previene desastres como auditorías fallidas, claves y certificados robados o mal utilizados, e interrupciones no planificadas.

Los equipos no pueden proteger lo que no ven. Una plataforma moderna de gestión de PKI puede detectar certificados y claves ocultos y desconocidos y proporcionar visibilidad de las CA públicas y privadas, los puntos finales de la red y los almacenes de claves y certificados. 

Esta visibilidad permite al equipo de PKI remediar identidades no conformes y débiles, e impulsar las mejores prácticas en torno a los certificados en toda la empresa. Con características como el etiquetado de certificados y los metadatos personalizados, los equipos de PKI pueden organizar los inventarios de certificados e integrar los certificados con los flujos de trabajo de los usuarios. 

La creación de un centro de Command universal de PKI puede proporcionar tiempo valioso, simplicidad y tranquilidad a los equipos de seguridad con poco personal. Centralizar la gestión de la PKI en una plataforma integral puede ahorrar a los equipos horas de trabajo que de otro modo dedicarían a averiguar el estado de certificados oscuros y dispersos. Podrán anticipar las caducidades y dejar de preguntarse si algún certificado olvidado caducará sin ser detectado.

La automatización puede ser la mayor ventaja que ofrece una PKI modernizada. Una solución de gestión de PKI puede agilizar o automatizar completamente el proceso de renovación, aprovisionamiento e instalación de certificados. Esta funcionalidad puede eliminar virtualmente el riesgo de interrupciones de certificados y evitar la pesada carga de trabajo de remediarlos.

Cuando los equipos pueden automatizar las alertas de renovación, programar informes y revocar o emitir certificados de forma masiva, pueden liberarse de las tareas rutinarias de la PKI para evaluarla y perfeccionarla a un nivel más amplio. Pueden controlar verdaderamente su PKI, en lugar de operar a merced de ella. 

La automatización simplifica el uso de certificados para usuarios finales como desarrolladores y propietarios de aplicaciones. Una solución de gestión de PKI puede establecer límites y estándares para los usuarios que consumen certificados sin violar políticas o el cumplimiento normativo. De este modo, una PKI modernizada puede aliviar las dificultades de la escasez de mano de obra para equipos más allá de los dedicados a TI y PKI, contribuyendo así a la innovación en lugar de impedirla. 

Cada organización es diferente y consume certificados de maneras únicas. Si bien las plataformas listas para usar pueden ofrecer capacidades transformadoras, las organizaciones necesitan experiencia humana para tomar las decisiones más importantes en torno a su PKI. 

Un proveedor de PKI o un experto externo puede trabajar con los equipos de seguridad o TI para comprender los casos de uso de PKI de su organización, para diseñar la PKI de la mejor manera según esos requisitos y evitar problemas post-producción. Un experto o proveedor de PKI puede ayudar a tomar esas decisiones de alto riesgo en la fase de diseño, como si usar un diseño de dos o tres niveles o si adoptar un Módulo de Seguridad de Hardware (HSM). 

Un experto en PKI puede asegurar que estas decisiones no generen problemas futuros para la organización y simplificar la PKI. Una vez establecida la base de la PKI, se pueden implementar políticas y procedimientos para optimizar su gestión. A partir de ahí, el equipo interno responsable de la PKI puede administrar la revisión y prueba periódica de los componentes de la PKI, como el monitoreo y la evaluación comparativa de la PKI frente a los estándares de la industria actuales y emergentes para el cumplimiento y la seguridad. 

Contar con la orientación de expertos en PKI puede ahorrar a los equipos inmensas complicaciones y la molestia de modernizar su PKI mediante prueba y error. Mientras tanto, la organización paga por la experiencia que necesita en lugar de contratar a un experto en PKI interno.

Además de ahorrar tiempo y dolores de cabeza a los equipos de seguridad, las eficiencias de una PKI modernizada pueden generar importantes ahorros de costos. Las organizaciones no solo obtendrán más valor de los miembros de su equipo existente, evitando los costos de contrataciones innecesarias y reduciendo el costo total de propiedad de la PKI en un 40%, sino que también retendrán ingresos que de otro modo se perderían debido a interrupciones o ciberataques. 

Esto da a las organizaciones más margen para realizar inversiones en otras áreas del negocio que se encuentran bajo la presión de la escasez de mano de obra.

Algún día la escasez de mano de obra en ciberseguridad terminará, pero muchas ineficiencias de la PKI no fueron creadas por la escasez, sino que han sido reveladas y amplificadas por ella. Independientemente de las medidas que tomen las organizaciones para sobrevivir a la escasez de mano de obra, desbloquear la escalabilidad y eficiencia de la PKI será clave para asegurar las empresas en el mundo del mañana.

Para explorar más formas en que las organizaciones pueden mantenerse seguras y ágiles durante la escasez de mano de obra, descargue el nuevo ebook de Keyfactor: Tres estrategias para navegar la escasez de mano de obra en ciberseguridad.