La adopción de la nube y de las TI "como servicio" ha cambiado nuestra forma de hacer negocios. Aunque hubo un tiempo en que migrar infraestructuras y aplicaciones a la nube provocaba miedo y dudas. Esos días de incertidumbre han pasado. Ahora se trata del momento oportuno. Y de financiación. Y de tener la seguridad de confiar en sus proveedores de nube. El reto que sigue obstaculizando la transformación digital de las empresas hoy en día es la voluntad de emprender proyectos intrincados para cosechar las recompensas que aguardan al otro lado.
En pocas palabras, la pregunta ya no es "¿deberíamos utilizar la nube?", sino "¿cómo, dónde y hasta qué punto podemos aprovechar la nube en nuestro beneficio?" A menudo comienza con unos pocos servidores y aplicaciones, y con el tiempo se extiende a aplicaciones de misión más crítica que permiten a Seguridad, DevOps y TI evolucionar rápidamente y responder a las cambiantes necesidades del negocio.
Seguridad en la nube
Cuando se habla de seguridad, la nube ocupa un lugar central. Es un área de la empresa que no puede verse frustrada por guerras presupuestarias o de priorización de proyectos. Las grandes brechas que hemos visto en empresas como Equifax y Target no se produjeron porque no se adoptaran medidas de seguridad.
En Keyfactor, hemos hablado con cientos de profesionales de TI responsables de su seguridad interna. Y la mayoría de las veces, las brechas, grandes o pequeñas, se producen por errores humanos involuntarios. Los ataques más exitosos son el resultado de hackers que se aprovechan de estas vulnerabilidades causadas por simples errores de configuración y descuidos. Cosas como contraseñas por defecto o certificados digitales caducados.
La complejidad es un enemigo de la seguridad. Si los controles de seguridad exigen un alto grado de conocimientos para funcionar, es lógico que los problemas de talento o los simples errores humanos tengan más probabilidades de afectar negativamente al perfil general de seguridad de su empresa.
Dado que las empresas se sienten más seguras con la nube y comprenden la importancia de trabajar con proveedores de servicios gestionados que también se tomen en serio la seguridad, los CISO buscan en los servicios basados en la nube una forma de automatizar los procesos, descargar la infraestructura de backend y las tareas de mantenimiento, y permitir que sus equipos se centren en cambio en lo que mejor saben hacer: proteger la empresa.
PKI: riesgos y desafíos para la seguridad
La infraestructura de clave pública (PKI) es la piedra angular de la seguridad en cualquier empresa, ya que permite el cifrado y las conexiones seguras entre personas, aplicaciones y dispositivos de toda la organización. La PKI ya no se limita a casos de uso aislados como el correo electrónico seguro, las firmas digitales y los certificados de SSL .
Hoy en día se espera que la PKI sea compatible con un número creciente de dispositivos conectados y aplicaciones empresariales, como DevOps y la seguridad de IoT . Y con la entrada en vigor de normativas de seguridad de datos más estrictas, las empresas dependen más que nunca de la PKI para garantizar la confianza.
Con todas sus ventajas demostradas, tampoco es de extrañar que la PKI sea compleja, muy compleja. A diferencia de otras herramientas de seguridad, no se trata sólo de tecnología. La PKI es un conjunto de piezas móviles que incluye hardware, software, políticas y procedimientos. Y en las medianas y grandes empresas, a menudo es responsable de custodiar cientos de miles de certificados digitales. Para hacerlo bien es necesario dominar simultáneamente el arte y la ciencia.
Pero a pesar del papel central de la PKI en la ciberseguridad, los objetivos empresariales no giran en torno a la creación de una PKI robusta. Una empresa media utiliza 75 productos diferentes para proteger su red. Es probable que los ingenieros y profesionales de la seguridad tengan otras responsabilidades, como auditorías, evaluaciones de riesgos, pruebas de penetración, etcétera. No es de extrañar entonces que solo el 39% de las organizaciones afirmen tener suficiente personal de seguridad de TI dedicado a la PKI, según un estudio de 2019 de Keyfactor-Ponemon.
La PKI no sólo es más complicada de lo que la mayoría de la gente cree, sino que es algo que funciona durante mucho tiempo, por lo que es fácil dejarla de lado, ignorarla o incluso olvidarse de ella por completo, hasta que se produce un fallo grave.
Los mandatos de cumplimiento, los cambios empresariales y la evolución de la criptografía como práctica son razones de peso para echar un segundo vistazo a la forma en que gestiona su PKI. Cuando se construye y opera de forma segura, su PKI debe mantener un alto nivel de seguridad desde su implementación a lo largo de su ciclo de vida, pero no es una tarea fácil.
¿Cuál es la respuesta? Mirar a la nube.
PKI gestionada en la nube
Cuando se trata de PKI, tiene dos opciones:
- Cree su propia PKI
- Aproveche una PKI gestionada alojada en la nube.
La PKI "hágalo usted mismo" no es imposible. La verdadera pregunta es: ¿dispone su organización de los recursos y la experiencia necesarios para crearla correctamente y mantenerla segura? Incluso si dispone de recursos internos, ¿deberían dedicarse al mantenimiento de la infraestructura? ¿O deberían centrarse en proteger su empresa?
La PKI gestionada es esencialmente su PKI, pero ya no es responsable de gestionarla internamente, lo que libera valiosos recursos de TI y seguridad para centrarse en otras prioridades. Además, tener una PKI gestionada profesionalmente tiene las ventajas económicas obvias. Una implantación de PKI interna suele costar más del doble que un servicio gestionado. Pero más allá de los dólares y céntimos, la ventaja real de la PKI gestionada es la seguridad de alta garantía.
Trasladar su PKI a la nube puede reducir inmediatamente los riesgos asociados a la creación y gestión interna. Todo, desde la seguridad física hasta la gestión de parches, se transfiere a un proveedor de confianza especializado en una cosa y sólo una cosa: PKI. Si su empresa sufre un ataque, tendrá un sistema crítico menos que restaurar gracias a su PKI alojada de forma segura en una ubicación en la nube aislada y fuera de las instalaciones.
Cómo elegir el socio de gestión de PKI adecuado
Las empresas suelen tener la visión de túnel de mantener internamente las funciones críticas de TI sin darse cuenta de las posibles ventajas para la seguridad de trasladar los servicios a la nube. Pero muchas están empezando a reconocer las ventajas empresariales y financieras. De hecho, el 55% de las organizaciones ya están externalizando o planean externalizar su implantación de PKI. A medida que el sector se da cuenta de que puede lograr los mismos objetivos que una PKI interna sin el riesgo y la complejidad de gestionarla, todo se reduce a un último obstáculo.
Confianza. El mayor reto al que se enfrentan los equipos de seguridad es confiar a otra persona su material criptográfico. Son las preguntas de "qué pasa si...". ¿Qué pasa si mi proveedor de PKI desaparece? ¿Qué pasa si quiero volver a trasladar mi PKI a la empresa? ¿Qué pasa si mi PKI es violada?
Un error común sobre la PKI alojada en la nube es que debe renunciar al control de las claves virtuales de su reino. Pero es fácil tener las dos cosas: mantener el control y externalizar la complejidad. Todo depende del proveedor que elija.
Un proveedor de PKI de confianza ofrecerá una plataforma que proporcione a su empresa un control total sobre las claves de CA raíz y los materiales de recuperación de PKI, mientras que las tareas de diseño, implantación y gestión seguirán siendo responsabilidad suya. También deben garantizar la flexibilidad para integrarse con múltiples autoridades de certificación (CA), tanto públicas como privadas. De este modo, tendrá libertad para transformar su PKI sin límites ni bloqueos.
Las amenazas a la ciberseguridad no van a ninguna parte y, en consecuencia, tampoco la necesidad de una postura de seguridad sólida. No importa cómo se mantenga, gestionar adecuadamente su PKI es absolutamente crítico. Keyfactor es el líder del mercado en PKI gestionada de alta seguridad y automatización del ciclo de vida de los certificados, en el que confían empresas, gobiernos y fabricantes de todo el mundo. Nuestros clientes se benefician de una PKI segura construida desde cero, respaldada por un equipo de expertos, un cumplimiento proactivo y una seguridad de vanguardia.
¿Está preparado para dar el siguiente paso? Descargue nuestro eBook para descubrir si Managed PKI es el paso adecuado para su empresa:
