Navegando la madurez en la gestión de certificados: una hoja de ruta hacia el éxito a largo plazo

En el panorama digital actual, las organizaciones necesitan ayuda para lograr visibilidad y control sobre sus claves y certificados digitales. 

La empresa promedio gestiona 255.000 certificados y claves, a menudo distribuidos en varias unidades de negocio. Gestionarlos de forma aislada mediante procesos manuales consume un ancho de banda considerable de los equipos y conlleva el riesgo de inactividad. 

Perfeccionar la Infraestructura de Clave Pública (PKI) y la Gestión del Ciclo de Vida de los Certificados (CLM) no es algo que ocurra de la noche a la mañana, ni un esfuerzo único. Según el Informe sobre el Estado de la Identidad de Máquinas 2023 de Keyfactor:

•  El 77% de las organizaciones admite que los certificados digitales siguen provocando interrupciones y tiempos de inactividad no planificados.
• Menos de la mitad de las organizaciones cuenta con una estrategia global de gestión de identidades de máquinas aplicada de forma consistente en toda la empresa. 
• El 62% de las organizaciones desconoce cuántas claves y certificados posee.

Existen cinco etapas de madurez de CLM descritas en el ebook sobre Madurez de la Gestión del Ciclo de Vida de los Certificados de Keyfactor. Este blog explora los Niveles 1 y 2, en los que es probable que se encuentren muchas organizaciones. Para profundizar en lo que significa estar en el Nivel 3 o 4, y tener una idea de cómo es una práctica de CLM completamente madura en el Nivel 5, descargue el eBook del Modelo de Madurez de CLM.

En el Nivel 1, los equipos tienen dificultades para gestionar el creciente volumen y la dispersión de certificados en toda la organización, en gran parte porque realizan la CLM con procesos altamente manuales.  

Los equipos del Nivel 1 gestionan los certificados mediante soluciones manuales como hojas de cálculo, recordatorios de calendario o scripts para notificar a los propietarios de certificados sobre las próximas caducidades. No existe automatización, y el mantenimiento de los recursos de PKI consume mucho tiempo y es propenso a errores. 

La advertencia con la gestión manual de PKI basada en hojas de cálculo es que depende de que el personal sepa dónde buscar los certificados existentes. Los certificados desconocidos y no rastreados siguen representando una amenaza. A medida que el volumen de identidades de máquinas crece y los ciclos de vida recomendados de los certificados se acortan, el Nivel 1 se vuelve mucho menos sostenible.

Las organizaciones en el Nivel 1 deben evaluar su panorama de certificados y PKI para identificar flujos de trabajo que puedan automatizarse fácilmente y comenzar a establecer un proceso a nivel de toda la organización en torno a las claves y los certificados.

Preguntas a considerar

• ¿Qué unidades de negocio y aplicaciones dependen de los certificados?
• ¿Cuántas autoridades de certificación (CA) están emitiendo certificados activamente en nuestro entorno y cuántas están en uso?
• ¿Cuánto tiempo se dedica a emitir y actualizar certificados en todos los departamentos?

Las organizaciones de Nivel 2 han logrado grandes avances en la gestión de certificados conocidos al abandonar los procesos manuales. Sin embargo, la amenaza de un certificado no detectado acechando en las profundidades del sistema sigue siendo muy real. 

Dado que la gestión de certificados se distribuye entre silos departamentales y conjuntos de herramientas dispares, la visibilidad y los informes siguen estando fragmentados y aislados. 

Para resolver el problema, los equipos deben esforzarse por mejorar sus capacidades de descubrimiento. Necesitan herramientas de descubrimiento basadas en red y de descubrimiento local (es decir, agentes y orquestadores) para encontrar dónde residen los certificados en la red, qué aplicaciones los utilizan y dónde se almacena la clave privada. 

El objetivo real aquí es la centralización. La centralización de CLM en toda la organización no solo permite una mayor visibilidad y control, sino que también consolida la propiedad de CLM y alinea la gobernanza y las mejores prácticas en toda la organización. 

Preguntas a considerar

• ¿Cuántos informes se necesitan para crear una visión holística de CLM en múltiples CA? ¿Qué informes faltan?
• Si un certificado está cerca de expirar, ¿cómo nos aseguramos de que el propietario lo renueve a tiempo?
• ¿Sé dónde se utiliza cada certificado, o solo sé desde dónde se emitió? 

En el quinto y último nivel de madurez de CLM, las organizaciones han logrado la automatización CLM de cero contacto y una verdadera criptoagilidad. Las organizaciones de Nivel 5 han establecido un inventario completo de todos los certificados en sus entornos, independientemente de la fuente o el destino del certificado. Incluso si un pequeño porcentaje de certificados permanece sin automatizar, el 100% de los certificados son conocidos.

En el Nivel 5, la PKI segura está tan profundamente integrada en el flujo de trabajo de DevOps que es prácticamente invisible y discreta para los desarrolladores. Los silos de uso de PKI han sido completamente desmantelados. Los equipos de seguridad de la información desempeñan un papel activo en el tejido de DevSecOps, ayudando a los ingenieros a elevar el nivel de calidad, velocidad y seguridad.

Si el Nivel 5 parece inalcanzable, no se preocupe. Centrarse en madurar de un nivel al siguiente le ayudará a alcanzar un CLM completamente maduro de la manera más eficiente posible.

Para impulsar la evolución de CLM dentro de su organización, considere los siguientes pasos:

1. Forme su equipo: Comience evaluando qué partes interesadas están involucradas en CLM e incorpórelas al proceso. La colaboración y comunicación entre equipos son esenciales para una gestión exitosa de CLM.
2. Comprenda los casos de uso: Obtenga una comprensión exhaustiva de los diversos casos de uso que requieren CLM dentro de su organización. Este conocimiento ayudará a identificar áreas críticas que necesitan atención y mejora.
3. Mapee su infraestructura CLM: Cree un mapa detallado de toda su infraestructura CLM. Este ejercicio aclarará el estado actual de su CLM e identificará las áreas donde son necesarias mejoras.
4. Realice un seguimiento del progreso: Desarrolle un plan para realizar un seguimiento de su progreso hacia la madurez de CLM. Establezca hitos medibles y evalúe continuamente sus avances, realizando los ajustes necesarios.

Cualquier organización puede alcanzar la forma más alta de madurez de CLM, y lo necesitará para adelantarse al creciente volumen de certificados y casos de uso, así como a las amenazas de seguridad emergentes.

Los Niveles 1 y 2 están destinados a clasificar las ineficiencias que afectan a los equipos y a discernir una visión específica de la organización para la madurez de CLM. Los Niveles 3 y 4 cierran la brecha hacia una práctica de CLM escalable y resiliente. 

Independientemente de la posición de una organización en su madurez de CLM, el ebook del Modelo de Madurez de CLM puede proporcionar una hoja de ruta para ayudar a alcanzar el siguiente paso. 

Al adoptar la automatización, fomentar la colaboración e implementar prácticas robustas de CLM, las organizaciones pueden construir una base sólida para futuras políticas de gestión de certificados.