Navegar por la madurez de la gestión de certificados: Una hoja de ruta para el éxito a largo plazo

En el panorama digital actual, las organizaciones necesitan ayuda para conseguir visibilidad y control sobre sus claves y certificados digitales. 

Una empresa media gestiona 255.000 certificados y claves, a menudo repartidos entre varias unidades de negocio. Gestionarlos en silos mediante procesos manuales cuesta a los equipos un ancho de banda considerable y plantea la posibilidad de tiempos de inactividad. 

Perfeccionamiento de Infraestructura de clave pública (PKI) y gestión del ciclo de vida de los certificados (CLM) no se consigue de la noche a la mañana, ni se trata de un esfuerzo único. Según Keyfactor Informe sobre el estado de la identidad de las máquinas 2023:

•  El 77% de las organizaciones admite que los certificados digitales siguen causando interrupciones imprevistas y tiempos de inactividad.
• Menos de la mitad de las organizaciones cuentan con una estrategia global de gestión de identidades de equipos aplicada de forma coherente en toda la empresa. 
• El 62% de las organizaciones no sabe cuántas claves y certificados tiene.

En el libro electrónico Certificate Lifecycle Management Maturity (Gestión de la madurez del ciclo de vida de los certificados) de Keyfactorse describen cinco niveles de madurez de CLM . Este blog explora los niveles 1 y 2, en los que probablemente se encuentren muchas organizaciones. Para profundizar en lo que significa estar en el Nivel 3 o 4, y hacerse una idea de cómo es una práctica de CLM totalmente madura en el Nivel 5, descargue el libro electrónicoscargue el eBook del modelo de madurez CLM .

En el Nivel 1, los equipos se esfuerzan por hacer frente al creciente volumen y dispersión de certificados en toda la organización, en gran medida porque realizan CLM con procesos muy manuales.  

Los equipos de nivel 1 gestionan los certificados mediante soluciones manuales, como hojas de cálculo, recordatorios de calendario o secuencias de comandos para notificar a los propietarios de los certificados los vencimientos inminentes. No hay automatización, y el mantenimiento de los recursos PKI lleva mucho tiempo y es propenso a errores. 

El problema de la gestión manual de PKI basada en hojas de cálculo es que depende de que el personal sepa dónde buscar los certificados existentes. Los certificados desconocidos y sin seguimiento siguen representando una amenaza. A medida que aumenta el volumen de identidades de máquinas y se acortan los ciclos de vida de los certificados recomendados, el nivel 1 resulta mucho menos sostenible.

Las organizaciones de nivel 1 deberían hacer balance de su panorama de certificados y PKI para identificar los flujos de trabajo que podrían automatizarse fácilmente y comenzar a establecer un proceso en toda la organización en torno a las claves y los certificados.

Preguntas

• ¿Qué unidades de negocio y aplicaciones dependen de los certificados?
• ¿Cuántas autoridades de certificación (CA) emiten certificados de forma activa en nuestro entorno y cuántas se utilizan?
• ¿Cuánto tiempo se dedica a expedir y actualizar certificados en todos los departamentos?

Las organizaciones de nivel 2 han hecho grandes progresos en la gestión de certificados conocidos al alejarse de los procesos manuales. Sin embargo, la amenaza de un certificado no detectado acechando en las profundidades del sistema sigue siendo muy real. 

Dado que la gestión de certificados está repartida entre silos departamentales y conjuntos de herramientas dispares, la visibilidad y la elaboración de informes siguen estando fragmentadas y aisladas. 

Para resolver el problema, los equipos deben esforzarse por mejorar sus capacidades de descubrimiento. Necesitan herramientas de descubrimiento basadas en la red y de descubrimiento local (es decir, agentes y orquestadores) para encontrar dónde residen los certificados en la red, qué aplicaciones los utilizan y dónde se almacena la clave privada. 

El verdadero objetivo es la centralización. La centralización de CLM en toda la organización no sólo permite una mayor visibilidad y control, sino que también consolida la propiedad de CLM y alinea la gobernanza y las mejores prácticas en toda la organización. 

Preguntas

• ¿Cuántos informes hacen falta para crear una visión holística de CLM en varias CA? ¿Qué informes faltan?
• Si un certificado está a punto de caducar, ¿cómo nos aseguramos de que el propietario lo renovará a tiempo?
• ¿Sé dónde se utiliza cada certificado o sólo sé desde dónde se emitió? 

En el quinto y último nivel de madurez de CLM , las organizaciones han logrado la automatización sin intervención de CLM y una verdadera criptoagilidad. Las organizaciones de nivel 5 han establecido un inventario completo de todos los certificados de sus entornos, independientemente de su origen o destino. Aunque quede un pequeño porcentaje de certificados sin automatizar, se conoce el 100% de los certificados.

En el nivel 5, la PKI segura está tan integrada en el flujo de trabajo DevOps que es prácticamente invisible y discreta para los desarrolladores. Los silos de uso de PKI se han desmantelado por completo. Los equipos de seguridad de la información desempeñan un papel activo en el entramado DevSecOps, ayudando a los ingenieros a subir el listón de la calidad, la velocidad y la seguridad.

Si el nivel 5 te parece imposiblemente lejano, no te preocupes. Centrarte en madurar de un nivel a otro te ayudará a alcanzar la plena madurez en CLM de la forma más eficaz posible.

Para poner en marcha la evolución de CLM dentro de su organización, considere los siguientes pasos:

1. Crea tu equipo: Empiece por evaluar qué partes interesadas participan en CLM e incorpórelas al proceso. La colaboración y la comunicación entre equipos son esenciales para el éxito de la gestión de CLM .
2. Comprender los casos de uso: Obtenga una comprensión completa de los diversos casos de uso que requieren CLM dentro de su organización. Este conocimiento le ayudará a identificar las áreas críticas que necesitan atención y mejora.
3. Trace un mapa de su infraestructura CLM : Cree un mapa detallado de toda su infraestructura CLM . Este ejercicio clarificará el estado actual de CLMe identificará las áreas que necesitan mejoras.
4. Seguimiento: Desarrolle un plan de seguimiento de su progreso hacia la madurez CLM . Establezca hitos mensurables y evalúe continuamente sus avances, realizando los ajustes necesarios.

Cualquier organización puede alcanzar el nivel más alto de madurez de CLM , y tendrá que hacerlo para mantenerse a la vanguardia del creciente volumen de certificados y casos de uso, así como de las nuevas amenazas a la seguridad.

Los niveles 1 y 2 están pensados para evaluar la ineficacia de los equipos y discernir una visión específica de la madurez de CLM . Los niveles 3 y 4 tienden un puente hacia una práctica CLM escalable y resistente.

Independientemente de la fase de madurez en la que se encuentre una organización en CLM , el libro electrónico Modelo de madurez deCLM puede proporcionar una hoja de ruta que ayude a dar el siguiente paso. 

Al adoptar la automatización, fomentar la colaboración y aplicar prácticas sólidas de CLM , las organizaciones pueden construir una base sólida para futuras políticas de gestión de certificados.