Los responsables y gestores de TI familiarizados con la infraestructura de clave pública (PKI) la reconocen como una de las herramientas de seguridad más antiguas y probadas del sector. Los profesionales de TI también reconocen el coste y los recursos dedicados que se necesitan para poner en marcha y gestionar un programa PKI internamente. A medida que continúa la evolución digital, también lo hace la transformación de PKI y su importancia dentro del tejido de seguridad empresarial.
Como todas las iniciativas de seguridad, la modernización de PKI dentro del marco de seguridad es clave para mitigar el riesgo y lograr el cumplimiento. Pero con la escasez de personal cualificado en el sector y las prioridades presupuestarias en competencia, ¿cómo puede sortear las barreras para implantar un programa que sea adecuado para su equipo, la empresa y su presupuesto? ¿Por dónde empezar?
Empecemos por el principio
PKI ha superado la prueba del tiempo, ofreciendo una garantía de seguridad fundamental a los CISO y CIO, y la validación de normas a los ojos de los reguladores. Hoy en día sigue siendo una herramienta fundamental utilizada por los equipos para proteger las identidades digitales de su organización en personas, aplicaciones y dispositivos. Sin embargo, a pesar de su papel fundamental en el marco de la ciberseguridad, la PKI ha luchado por encontrar un propietario claro dentro de la organización. A esto hay que añadir los resultados de una encuesta reciente en la que sólo el 36% de los encuestados afirmaron que sus organizaciones cuentan con suficientes miembros del personal de seguridad de TI dedicados a la implantación de PKI.
A medida que evolucionan el riesgo cibernético y las normas del sector, también lo hacen el papel y la propiedad del programa del CISO. Atrás quedaron los días de la gestión del centro de datos y las aplicaciones. Hoy en día, se espera que los CISO comprendan y se hagan cargo de la complejidad de la pila tecnológica de la organización y del SaaS y PaaS que la soporta. Los complejos requisitos de TI, como la migración a la nube y los proyectos de autenticación por capas en todo el ecosistema de TI, exigen flexibilidad y superposición de procesos para garantizar una postura de seguridad sólida que pueda escalar junto con las necesidades de infraestructura.
Conseguir la PKI adecuada
Los CISO que toman las riendas de su programa PKI tienen dos opciones: construir o comprar. Históricamente, la mayoría de los líderes optaban por construir, asumiendo ahorros operativos a lo largo del tiempo. Desgraciadamente, tanto entonces como ahora, los CISO han descubierto que sin los recursos adecuados y un cuidado y alimentación continuos, la PKI puede degradarse, dando lugar a claves y certificados vulnerables, interrupciones del sistema o, lo que es peor, una brecha significativa. Además de los costes añadidos del tiempo de inactividad de la red, los eventos de PKI plantean vulnerabilidades de red evitables y más gastos para corregir y recuperar el tiempo de inactividad y las pérdidas.
Fallos del programa PKI y cómo evitarlos
A diferencia de los procesos más recientes, la PKI y su larga historia nos ofrecen innumerables estudios de casos reales sobre lo que ha funcionado bien y lo que no. Un estudio de caso reciente siguió a una institución financiera que optó por crear una aplicación para gestionar su PKI y su creciente número de certificados. Aunque la empresa pudo aprovechar un centro de datos existente y la seguridad física, sólo la implantación le llevó cuatro meses y requirió la dedicación de varios miembros del equipo de desarrollo, ingeniería y TI. Además de los recursos, el proyecto acumuló importantes costes de hardware, licencias e integración.
Por otro lado, al igual que muchas otras funciones de seguridad, cada vez más líderes ven las ventajas de la externalización de PKI y optan por "comprar" PKI a través de la implantación en la nube. Las razones son sencillas: despliegue simplificado, mejor higiene de la seguridad, menores costes de personal y gasto en programas más predecible (y gestionable) a lo largo del tiempo.
Keyfactor se ha asociado con el analista de ciberseguridad Simon Gibson y GigaOm para ayudarle a explorar los costes ocultos de la PKI, tanto interna como subcontratada. Descargue el informe gratuito para obtener consejos que le ayuden a determinar sus requisitos de PKI, elaborar su presupuesto y decidir si la PKI basada en la nube y externalizada es adecuada para su empresa.
