Ser adaptable y tener una buena capacidad de planificación y adaptación suelen considerarse rasgos esenciales para toda empresa.
La criptoagilidad, la capacidad de un sistema de seguridad para pasar rápidamente de un algoritmo de cifrado a otro, es una forma fantástica de demostrar su capacidad de adaptación. Requiere tener una visión de las áreas de una organización en las que se utiliza el cifrado, el despliegue de la tecnología de cifrado y la capacidad de identificar y solucionar rápidamente los problemas cuando se producen. Una empresa con criptoagilidad es capaz de sustituir los activos obsoletos sin afectar gravemente a la arquitectura de su sistema.
Aunque el valor de esta tecnología aumenta rápidamente, varias empresas dudan en adaptarse a estos avances. Por ello, el entrevistado de hoy, Ted Shorter, Director Técnico de Keyfactorofrece una visión vital de las consecuencias potencialmente perjudiciales.
¿Cómo surgió Keyfactor en 2001? ¿Cómo ha sido su trayectoria hasta ahora?
Keyfactor fue fundada por Ted Shorter y Kevin von Keyserling en 2001 como una empresa de servicios profesionales que trabajaba con empresas de Fortune 500 para crear e implantar su infraestructura de clave pública (PKI). En 2014, Keyfactor amplió su oferta de servicios a software para resolver un problema fundamental en el sector cibernético: las soluciones existentes no podían gestionar eficazmente el rápido crecimiento de claves y certificados digitales necesarios para hacer operativas las empresas modernas de hoy en día.
Los cofundadores Ted y Kevin se dieron cuenta de que, para abordar este problema cada vez mayor, se necesitaba un nuevo enfoque que combinara la experiencia líder en PKI con las herramientas necesarias para descubrir, controlar y automatizar claves y certificados a gran escala. Como proveedor de servicios PKI convertido en plataforma software , Keyfactor ofrece la única solución que combina PKI as-a-Service gestionado por expertos y la automatización del ciclo de vida de los certificados a través de una única solución en la nube.
En la actualidad, Keyfactor es líder en soluciones de PKI como servicio y criptoagilidad. Más de 500 empresas de todo el mundo confían en nuestra plataforma, que permite a nuestros clientes prevenir de forma proactiva las interrupciones, reducir los riesgos y costes operativos e impulsar la criptoagilidad en entornos emergentes DevOps, Cloud y IoT .
¿Puede hablarnos más de su plataforma de criptoagilidad? ¿Qué características la hacen destacar?
Por supuesto. Pero primero, demos un paso atrás para discutir qué es exactamente la criptoagilidad. La criptoagilidad significa saber en cada caso dónde y cómo se utiliza la criptografía y disponer de herramientas y estrategias para identificar rápidamente los problemas y sustituir la criptografía obsoleta sin un gran esfuerzo manual o interrupción de las aplicaciones críticas para la empresa. Esto podría referirse a las claves criptográficas, certificados o identidades de máquina de la organización que identifican y conectan de forma segura prácticamente todo en una red empresarial, como cargas de trabajo, servicios y dispositivos.
Su importancia está creciendo entre las organizaciones porque el número de claves y certificados digitales que se utilizan en ellas se ha disparado como consecuencia del cambio a la computación en nube, las arquitecturas de aplicaciones modernas y los trabajadores remotos. Estos cambios están haciendo que sea mucho más difícil para los equipos de seguridad responder con eficacia cuando algo va mal, como cuando una autoridad de certificación, que valida las claves criptográficas y certificados digitales, es violada.
Keyfactor's Crypto-Agility Platform™ es notable porque ayuda a las organizaciones a orquestar sin problemas cada clave y certificado -sin importar dónde vivan- para que su negocio esté protegido de costosas interrupciones e incidentes de seguridad.
Nuestra plataforma reúne todas las claves y certificados en un único inventario mediante la integración directa con puntos finales de red, almacenes de claves y bases de datos de CA. Esto permite a las organizaciones mantener una visibilidad y un control completos sobre todas las claves y certificados de su entorno. Al automatizar la gestión del ciclo de vida de los certificados a escala, las organizaciones pueden garantizar que todos sus activos criptográficos son seguros y están actualizados con los últimos estándares del sector, responder rápidamente a cambios o vulnerabilidades impredecibles y reducir el riesgo de fallos en las aplicaciones o brechas de seguridad hasta en un 60%.
Otro aspecto de la plataforma que destaca sobre las demás es su capacidad de gestión de claves, que permite a las empresas administrar todo el ciclo de vida de las claves de cifrado mediante la aplicación de políticas para controlar el acceso y los privilegios de gestión de claves. Al aprovechar una sólida gestión de políticas de usuarios y objetos, las empresas pueden auditar cuándo, dónde y cómo se han utilizado las claves de cifrado.
¿Cuáles son los principales retos asociados a la Infraestructura de Clave Pública?
Dos de los principales retos asociados a la PKI son la visibilidad limitada del número de certificados dentro de la organización y la dependencia de procesos manuales para gestionar estos certificados.
Las empresas actuales dependen de innumerables dispositivos para llevar a cabo sus operaciones diarias. Cada dispositivo tiene su propia identidad digital única que se verifica mediante un certificado digital. Dado el número de dispositivos y certificados asociados dentro de una sola organización, existen algunas limitaciones de visibilidad bastante serias con las que puede lidiar un equipo de seguridad. No importa cuántas herramientas de supervisión utilice un equipo o lo detallada que sea su hoja de cálculo, lo que causa dolores de cabeza no son los certificados que conocen, sino el certificado que se pasó por alto.
Para obtener un inventario completo y preciso de su entorno criptográfico, necesita visibilidad de todas las bases de datos de autoridades de certificación, los puntos finales SSL/TLS de la red y los almacenes de claves y certificados. Sin esta visibilidad, es difícil detectar cualquier cambio inesperado, como la caducidad de un certificado.
Teniendo en cuenta el enorme volumen de certificados que hay que gestionar en una empresa, utilizar un proceso manual para gestionar el ciclo de vida de los certificados puede resultar extremadamente frustrante. Para los responsables de emitir y aprobar certificados, mantenerse al día con las solicitudes puede parecer imposible. Para los usuarios finales, renovar e instalar certificados manualmente puede dar lugar a errores y horas de tareas repetitivas. Esto se convierte en un reto aún mayor cuando se piensa en el corto ciclo de vida de los certificados digitales.
En septiembre de 2020, la vida útil de los certificados SSL/TLS se redujo a la mitad, pasando de 825 a 398 días. Sin automatización, este corto ciclo de vida hace que gestionar adecuadamente las identidades sea mucho más difícil. Si no se protegen y gestionan adecuadamente las identidades de las máquinas, se abre la puerta a que algunos certificados se cuelen por las rendijas, lo que aumenta el riesgo de interrupciones perjudiciales.
¿Cree que los recientes acontecimientos mundiales han alterado la forma en que las organizaciones abordan la ciberseguridad?
Sin lugar a dudas. El trabajo híbrido parece haber llegado para quedarse. Aunque el trabajo a distancia tiene sus ventajas, el panorama actual del trabajo híbrido añade aún más barreras a la hora de gestionar y proteger adecuadamente las identidades humanas y de las máquinas, lo que aumenta la oportunidad de que se produzcan ciberamenazas con más frecuencia que nunca.
Esto se debe a que los empleados dependen ahora de varios dispositivos para realizar su trabajo en sus nuevos entornos remotos. No solo hay más dispositivos y más dependencia de ellos, sino que además cada persona está conectada a una red diferente, en lugar de trabajar todos desde una o dos redes compartidas.
Debido a estos cambios en el entorno de trabajo, muchas organizaciones están empezando a adoptar enfoques más proactivos en un esfuerzo por prevenir las amenazas basadas en la identidad, lo que incluye gestionar y proteger adecuadamente las identidades de las máquinas.
La invasión rusa de Ucrania es otro acontecimiento mundial reciente que ha alterado la forma en que las organizaciones abordan la ciberseguridad. Aunque la perspectiva de ciberataques a nivel de estado-nación contra las organizaciones ha sido una amenaza real durante bastante tiempo, una guerra real que sucede junto a una guerra cibernética ha puesto esto más de relieve para muchos.
Como resultado, muchas empresas de todo el mundo están dando un paso atrás para analizar su ciberseguridad desde todos los ángulos, asegurándose de que todas las áreas de su negocio son seguras y nada se escapa por las grietas.
Su informe sobre el estado de la gestión de identidades de máquinas en 2022 reveló algunos puntos interesantes. Cuáles consideraría los descubrimientos clave?
El informe 2022 State of Machine Identity Management (Estado de la gestión de identidades de máquinas 2022) arrojó muchos resultados interesantes. El hallazgo más impactante fue que el 92 % de las organizaciones encuestadas experimentaron al menos una interrupción en los últimos 24 meses, lo que pone de relieve la creciente importancia de dar prioridad a la gestión de las identidades de máquinas. Muchos atribuyen este hecho a la reducción de la vida útil de los certificados digitales.
Además, el 65 % admitió que la menor vida útil de SSL/TLS está aumentando la carga de trabajo de sus equipos y el riesgo de interrupciones, un 10 % más que en 2021. Sin embargo, muchos no creen que los retos de la gestión de las identidades de máquina vayan a ralentizarse pronto, ya que casi dos tercios de los encuestados consideran que es probable o muy probable que se sigan produciendo interrupciones debidas a certificados caducados en los próximos dos años.
Otra conclusión interesante del informe es la dificultad de recuperarse de las interrupciones. De hecho, el tiempo medio de recuperación es de 3,3 horas, y el 68% de las organizaciones informan de un tiempo de recuperación de 3-4 horas o más. Ese tiempo de inactividad de la red podría ser perjudicial para la organización, ya que puede costar unos 300.000 dólares por hora. Por no mencionar que, si un sitio web o una aplicación críticos para la empresa se ven afectados por una interrupción, la reputación de la marca y los ingresos también se resienten.
¿Por qué cree que algunas organizaciones no son conscientes de las amenazas que se esconden en sus propios sistemas?
Muchas organizaciones no son conscientes de las amenazas que se esconden dentro de sus propios sistemas debido a la falta de visibilidad en toda la organización que se requiere para protegerse contra las amenazas actuales. Proteger adecuadamente todas las identidades humanas y mecánicas que componen una organización, especialmente en un mundo híbrido, es un reto increíble.
La automatización es la clave para mejorar la visibilidad en toda la organización. Cuando se trata de identidades, la automatización puede proporcionar visibilidad a través de las CA públicas y privadas de una empresa, los dispositivos de red y la infraestructura de nube, ayudando a las organizaciones a descubrir cualquier certificado desconocido a través de su red y llevarlos a un inventario centralizado. Además, los equipos de seguridad pueden simplificar rápidamente las renovaciones aprovechando las renovaciones de certificados totalmente automatizadas y las provisiones a dispositivos finales sin necesidad de intervención del administrador.
En el mundo híbrido actual, la visibilidad obtenida gracias a la automatización ayuda de forma significativa a proteger y gestionar adecuadamente todos y cada uno de los dispositivos que componen la empresa.
¿Qué tipo de amenazas cree que las empresas deben estar preparadas para afrontar en los próximos años?
En los próximos años, las empresas tendrán que empezar a prepararse para la computación cuántica. En mayo de este año, la Administración Biden anunció dos directivas presidenciales destinadas a impulsar iniciativas nacionales en ciencia cuántica y a concienciar sobre las posibles amenazas que la computación cuántica supondrá para la integridad de la seguridad en Internet. Con ello, la Administración reconocía que ningún dato está a salvo de futuros ataques a medida que madure la computación cuántica.
De hecho, este fue un tema candente en la Conferencia RSA de este año. Muchos profesionales del sector animan a las organizaciones a que empiecen a prepararse para un mundo post-cuántico.