La infraestructura de clave pública (PKI) es una herramienta de eficacia probada que se ha convertido en un componente de seguridad fundamental para las empresas de todos los sectores. Los atacantes buscan constantemente el camino más fácil para acceder a la red y el aumento de las infracciones basadas en certificados, como la de Equifax, ha puesto en el punto de mira la identidad digital y el riesgo de la PKI.
A diferencia de las actuales defensas de seguridad automatizadas y basadas en el aprendizaje automático, el proceso de gestión de PKI es manual para la mayoría de los equipos de TI. Sin embargo, la escasez de personal cualificado y la falta de recursos del sector suelen dejar las tareas básicas de gestión de sistemas como la PKI al final de la lista de prioridades. Cuando esto ocurre, comprometer dispositivos IoT o robar claves y certificados sensibles se convierte en una tarea de bajo esfuerzo para atacantes oportunistas.
En SecTor, la principal conferencia sobre formación en seguridad informática de Canadá, realizamos una encuesta para conocer mejor los retos a los que se enfrentan los profesionales de TI que trabajan en la gestión de la PKI de su organización. Esto es lo que dijeron los encuestados:
1.) ¿Cuál es su mayor reto con PKI?
Presupuesto insuficiente/coste elevado - 13%.
Falta de conocimientos y experiencia: 18%.
Procesos manuales o complejos: 50%.
Requisitos reglamentarios y de cumplimiento - 18
2.) ¿Cuál de los siguientes aspectos le preocupa más?
Falta de propiedad o responsabilidad de PKI: 24%.
Interrupciones e infracciones causadas por certificados caducados - 14%.
Adopción segura de DevOps, la nube y IoT : 43%.
Preparación ante amenazas y riesgos cuánticos - 19
3.) ¿Cuál sería la mayor ventaja de una solución PKI moderna?
Capacidad de adaptarse al crecimiento de la empresa - 22
Automatización de tareas manuales y complejas - 41
Infraestructura y operaciones PKI gestionadas - 8%.
Visibilidad de todas las claves y certificados digitales - 30%.
4.) Como profesional de la seguridad, ¿cree que se necesita más legislación sobre privacidad y seguridad para proteger mejor a las empresas y los consumidores canadienses?
Sí - 87%.
No - 13%
5.) ¿Cree que los reguladores y los cargos electos canadienses están haciendo lo suficiente para normalizar las directrices de seguridad sobre medidas como el cifrado de datos?
Sí - 42%
No - 58%
Estos resultados no son sorprendentes, teniendo en cuenta los temas recurrentes que tuvimos con los profesionales en la conferencia:
Apagones
Las interrupciones no planificadas y el tiempo de inactividad debido a certificados caducados afectan prácticamente a todos los equipos de la empresa. Los equipos de infraestructura que no estaban directamente implicados en PKI sufren el impacto de estas interrupciones debido a certificados perdidos por su equipo de seguridad. Las interrupciones tienen un impacto más amplio y frecuente en toda la empresa. Las infracciones son de mayor riesgo, pero menos probables, y afectan más directamente a un único equipo: el equipo de seguridad.
PKI como servicio
La gestión del ciclo de vida de los certificados es sólo una parte del panorama general. Muchas organizaciones luchan por construir, desplegar y gestionar adecuadamente su PKI internamente, por no hablar de los certificados emitidos desde sus CA públicas. Muchas de las personas con las que hablamos, incluidas las que participan directamente en la gestión de PKI, ni siquiera sabían que poner su PKI en la nube era una opción.
Firma del código Partes interesadas
Muchos equipos de seguridad no son conscientes del proceso de firma de código o no participan en él, lo que significa que los desarrolladores y los gestores de desarrollo son los principales responsables de la seguridad de las claves de firma de código. Al mismo tiempo, los desarrolladores y los equipos de ingeniería no comprenden ni aprecian el riesgo que conlleva el proceso de firma de código.
Concienciación sobre los riesgos de la firma de códigos
Gran parte del público que asistió a la presentación de nuestra conferencia desconocía los recientes e importantes ataques que aprovecharon certificados de firma de código legítimos para vulnerar organizaciones, incluida la operación Shadowhammer, que afectó a ASUS.
Internet de los objetos (IoT)
Los dispositivos conectados fueron un tema central durante toda la conferencia, pero parece que tanto los fabricantes de dispositivos IoT como las empresas que los adoptan están muy por detrás de las mejores prácticas del sector. A pesar de la explosiva adopción de IoT, siguen faltando prácticas de seguridad fundamentales, como la firma del firmware y el cifrado y la autenticación de los dispositivos.
Está claro que la gestión adecuada de PKI para los equipos de TI y seguridad de las empresas se está convirtiendo en un serio desafío. Existe una gran presión para dar soporte a las necesidades diarias de la organización y, al mismo tiempo, gestionar el crecimiento del negocio y las nuevas iniciativas. Cuando se trata de ciberseguridad, la PKI seguirá siendo un componente básico del marco de seguridad más amplio. Y como las empresas dependen cada vez más de la PKI para generar confianza, es fundamental hacerlo bien.
