En 2023, PKI seguirá irrumpiendo en el discurso empresarial dominante como una inversión crítica para el negocio. KeyfactorEl informe 'State of Machine Identity Management 2022 muestra que las organizaciones están luchando por modernizar sus prácticas de PKI.
- El 66% está desplegando más claves y certificados en su entorno informático, mientras que el 70% afirma que el aumento de claves y certificados ha incrementado la carga operativa.
- El 57% clasificó la criptoagilidad como una de las principales prioridades estratégicas para la seguridad digital, y el 55% dijo que las iniciativas de confianza cero eran el principal impulsor de PKI, claves y certificados.
- El 81% de las organizaciones experimentaron múltiples interrupciones disruptivas debido a certificados caducados en 2021 y 2022, con un tiempo medio de remediación de 3,3 horas.
A medida que las interrupciones del servicio se vuelven más arriesgadas, las nuevas normas de cumplimiento toman forma y la confianza cero gana adeptos como marco práctico, podemos esperar que la PKI y su uso evolucionen este año.
Para comprender cómo el cambiante entorno normativo, el panorama de las amenazas y las estrategias empresariales emergentes afectarán a la PKI, y cómo ésta influirá en ellos, hemos recurrido a Tomas Gustavsson, Director de PKI de Keyfactor. Él nos dio la primicia.
Keyfactor: ¿Prevé que la PKI se impondrá más en el proceso de desarrollo y dispositivo de los dispositivos IoT ?
Tomas Gustavsson: Con la introducción de la nueva legislación de la UE y el gobierno de EE.UU., determinados tipos de dispositivos IoT quedarán bajo escrutinio. Estas normativas abordarán las vulnerabilidades tradicionales de software y el potencial de las actualizaciones criptográficamente seguras y el cifrado de datos.
Predigo que este debate continuará y se intensificará en 2023, sobre todo en la UE con la introducción de la Ley de Ciberresiliencia de la UE. Podemos esperar que las mejores prácticas recomendadas por el NIST y la ENISA se conviertan en obligatorias, aunque esto sucederá lentamente.
Keyfactor: ¿Por qué la seguridad de la cadena de suministro es un punto débil? ¿Están ignorando las organizaciones la seguridad de la cadena de suministro? ¿Qué cree que hace falta para que las organizaciones dejen de ignorar la seguridad de la cadena de suministro?
Tomas: Algunas industrias como las telecomunicaciones y las infraestructuras críticas han priorizado durante mucho tiempo seguridad de la cadena de suministro. La cadena de suministro software se ha quedado rezagada porque no es tan evidente y la investigación aún no está bien establecida. El mundo software ha dado prioridad a la innovación sobre la seguridad, incluso en software , que maneja datos esenciales y sensibles.
Pero eso está cambiando por varias razones:
- Hemos visto cómo los grandes consumidores de software eran víctimas de ataques a la cadena de suministro y cómo respondían elevando las normas de seguridad de sus proveedores. Esto se extenderá a las organizaciones más pequeñas y será impulsado tanto por la contratación pública como por la privada.
- En los últimos años, la investigación académica ha aumentado considerablemente en torno a la cadena de suministro de software , por lo que podemos esperar que los paquetes populares de software se analicen más a fondo y, por tanto, se mejoren.
En la actualidad, la aplicación de controles de seguridad optimizados en la cadena de desarrollo y suministro de software requiere bastante experiencia, pero en los próximos años cabe esperar que estos controles de seguridad estén más integrados en las herramientas y sean más fáciles de optimizar.
Es prácticamente imposible asegurar las cadenas de suministro de software sin utilizar PKI, por lo que cabe esperar que cada vez sea más fácil integrar PKI en las herramientas de desarrollo.
Keyfactor: ¿Qué sectores darán prioridad a la PKI en los próximos años?
Tomas: Todos los sectores. PKI es el enfoque más maduro y estandarizado para resolver las demandas de seguridad a las que se enfrentan la mayoría de los sectores.
Algunas industrias, como las telecomunicaciones, llevan décadas utilizando PKI, por lo que es posible que no veamos tanto crecimiento en ellas en comparación con sectores como la automoción y fabricación. Estos entornos están en transición hacia un modelo en el que todo está conectado, lo que les obliga a aumentar el uso de PKI en comparación con lo que han necesitado tradicionalmente.
Incluso las organizaciones empresariales, que han utilizado PKI de forma sólida durante muchos años, están experimentando un crecimiento masivo en el uso de PKI debido a iniciativas como la confianza cero.
Keyfactor: ¿Cómo ayudará la gestión de PKI a la industria manufacturera a combatir los ataques de ransomware?
Tomas: PKI no puede resolverlo todo. Las organizaciones necesitan protecciones en varias fases para protegerse del ransomware y otros ataques. Por ejemplo firma de código es un componente crítico para evitar que se instale malware en tus sistemas. Si puede protegerse contra los ataques no autorizados software, puede estar protegido contra muchos tipos de ataques.
Dicho esto, las claves de firma de código robadas pueden permitir la firma de ransomware. Para una empresa con un ecosistema privado de dispositivos, es mejor utilizar certificados de firma de código de confianza privada que de confianza pública. Esto aísla los dispositivos del fabricante frente al robo de claves y certificados de confianza pública.
En 2023, podemos esperar que la seguridad en torno a las claves de firma de código de confianza pública se refuerce a medida que Microsoft imponga el uso de módulos de seguridad hardware para los suscriptores de certificados de firma de código utilizados para firmar código de Windows.
Keyfactor: ¿Cree que el trabajo a distancia seguirá existiendo? En caso afirmativo, ¿cómo deben utilizar las empresas la PKI para proteger el acceso remoto a la red?
Tomas: El trabajo a distancia está aquí para quedarse; el lugar de trabajo híbrido es la nueva normalidad. PKI es la columna vertebral de la comunicación segura, y la mayoría de los productos que protegen el trabajo a distancia utilizan PKI de una forma u otra. Independientemente de si se trata de una solución VPN, videoconferencia o herramientas de colaboración en la oficina, las empresas deben adoptar una estrategia de confianza cero.
Las estrategias de confianza cero ampliarán el uso de PKI a partes de la red que antes dependían únicamente de la segmentación de la red para permitir un acceso fácil y seguro a todos los recursos que necesitan los trabajadores remotos.
No hay ninguna razón para que no sea igual de fácil trabajar desde cualquier parte del mundo, de forma segura.
¿Está preparado para empezar a utilizar PKI para proteger su organización?
Se avecinan grandes cambios para 2023, y mantener una PKI bien gestionada será vital para el éxito de la empresa. Para poner en marcha su iniciativa de confianza cero o para empezar a planificar la modernización de su PKIKeyfactor puede ayudarle a escalar la PKI para alcanzar sus objetivos sin sacrificar la velocidad, la eficacia o la seguridad.
