La mayoría de las organizaciones, independientemente de su tamaño, se inclinan por tener una PKI interna. Según todas las mediciones, su PKI se mantiene segura gracias a los módulos de seguridad de hardware y cuenta con políticas de certificados bien definidas. Hay un grupo más amplio de organizaciones que gestionan una PKI más simplificada que puede que no esté sujeta a normativas o auditorías intensas.
Sin embargo, lo que comienza como el uso de PKI para un caso de uso empresarial sencillo (por ejemplo, autenticación de clientes para Wi-Fi) evoluciona rápidamente hacia un entorno complejo a medida que sus dispositivos crecen y la adopción de la multi-nube se convierte en su nueva normalidad.
La automatización se convierte ahora en una parte importante para el éxito de su PKI.
Tanto si se encuentra en el lado simplista como en el más seguro, he aquí algunos objetivos de la automatización de PKI y cómo evaluar de forma práctica su estado de madurez actual.
Automatización para aumentar la eficacia operativa
Todas las organizaciones quieren ahorrar dinero automatizando las tareas rutinarias. Por eso la RPA (automatización robótica de procesos) es uno de los mercados de más rápido crecimiento en la empresa software. Los que gestionan ICP quieren lo mismo.
La realidad es que sólo el 38% de los profesionales de TI y seguridad afirman contar con suficiente personal de seguridad de TI dedicado a su implantación de PKI. La mayoría cumple los acuerdos de nivel de servicio (SLA) mediante la ejecución manual del trabajo y esto se convierte en un enorme problema para la eficacia operativa. Dado que hay un número limitado de expertos en PKI en su empresa, la acumulación de cargas de trabajo puede poner en peligro el cumplimiento de estos SLA.
El uso de la automatización de PKI para las tareas de gestión del ciclo de vida de claves y certificados puede reducir la cantidad de trabajo manual necesario. Aprovechar la automatización también le permite reutilizar certificados, así como intercambiar identidades entre servidores, equilibradores de carga, cortafuegos, contenedores, cargas de trabajo en la nube, dispositivos móviles y IoT .
En resumidas cuentas, más automatización equivale a mayor eficacia operativa para los responsables de PKI.
Automatización para garantizar la continuidad de la actividad
Debido a la pandemia actual, el término "continuidad empresarial" pasó de ser aburrido a ser inmediatamente relevante. Parece que ahora todo el mundo quiere hablar de cómo garantizar la continuidad empresarial en estos tiempos de incertidumbre.
Sin embargo, la marca de una PKI de éxito siempre ha sido la capacidad de garantizar la continuidad del negocio y evitar interrupciones. La causa más común de las interrupciones del sistema puede remontarse a un certificado caducado. Estos certificados caducan debido a un cuello de botella de procesos manuales necesarios para su renovación, reemisión y despliegue a escala.
La automatización de la PKI puede ayudar a eliminar esas tareas manuales perdidas mediante la detección automatizada de puntos finales, la notificación de caducidades inminentes y la gestión de la renovación y reemisión de certificados. Una vez que la automatización de la PKI se ha configurado correctamente, estas interrupciones pueden reducirse, si no eliminarse.
Seguimiento de la madurez de su PKI
Más certificados, ciclos de vida más cortos y estándares cambiantes en criptografía han aumentado exponencialmente el riesgo de interrupciones y auditorías fallidas. Tenga en cuenta los objetivos que acabamos de comentar y vea en qué punto de madurez de automatización de PKI se encuentra.
Fase 1: Manual
A pesar de la adopción de nuevas tecnologías como la nube, los dispositivos móviles y IoT , la mayoría de las organizaciones siguen utilizando métodos manuales para rastrear y gestionar los certificados.
Señales que indican que estás en una etapa manual:
- Uso de hojas de cálculo Excel
- Recursos intensivos
- Sin descubrimiento de claves y certificados
- Expuestos a un alto riesgo de averías
Fase 2: Reactiva
Las herramientas proporcionadas por CA y las interfaces PKI son un nivel superior a las hojas de cálculo, pero sin una detección y automatización centralizadas, los equipos de seguridad siguen atrapados en un modo reactivo.
Señales que indican que estás en una fase reactiva:
- Múltiples silos de CA
- Visibilidad y control limitados
- Automatización de cero a limitada
- Informes y análisis mínimos
Fase 3: Proactiva
A medida que las organizaciones empiezan a invertir en herramientas para descubrir y automatizar el ciclo de vida de los certificados, pueden centrarse menos en evitar interrupciones y más en habilitar nuevos casos de uso de PKI.
Señales que indican que estás en una etapa proactiva:
- Visibilidad total de todas las claves y certificados digitales
- Automatización integral
- Informes y alertas en tiempo real
- Aplicación normalizada de las políticas
Fase 4: Dinámica
Una PKI eficaz es algo más que gestionar claves y certificados; se trata de las personas, la infraestructura y la política que hay detrás de su PKI y que le permiten responder y adaptarse al cambio de forma eficaz.
Señales que indican que estás en una etapa dinámica:
- Implantación de una estrategia PKI Cloud-First
- CA y tecnología agnóstica
- Criptoagilidad obtenida
- Altamente escalable y ampliable
Próximos pasos
Es muy probable que su automatización PKI actual resida en una de las dos primeras fases. Y no pasa nada. Ser honesto con la fase en la que se encuentra actualmente su despliegue de PKI le permite establecer un curso de corrección realista.
Comparta este artículo y el libro blanco con el resto de su equipo de InfoSec para empezar a planificar una hoja de ruta de automatización de PKI para el futuro.