Si usted es un equipo de ICP -a menudo un equipo solitario de una persona-, se lo juega todo, pero a menudo no dispone de los recursos necesarios.
Usted es responsable de miles de identidades digitales, en algunos casos millones, utilizadas por decenas o cientos de administradores en toda la empresa. Incluso un solo certificado mal gestionado podría costar millones, y puede que PKI ni siquiera sea su responsabilidad principal.
Es una situación difícil.
La infraestructura de clave pública (PKI) es una de las funciones de TI más críticas en cualquier empresa. Las organizaciones dependen cada día de las claves de cifrado y los certificados digitales para generar confianza y seguridad en sus operaciones cotidianas.
Pero PKI no es sólo tecnología, sino que se nutre de un amplio conjunto de políticas, procedimientos y, lo que es más importante, personas.
Al leer el reciente Keyfactor-informe del Instituto Ponemon sobre el impacto de las identidades digitales insegurasrecuerdo los riesgos y a menudo los costosos resultados a los que se enfrentan las organizaciones cuando las identidades digitales no se gestionan adecuadamente.
Como antiguo administrador de PKI, conozco perfectamente los riesgos de seguridad identificados en este informe, pero también veo las oportunidades que ofrece para mejorar los procesos y las herramientas. Al fin y al cabo, todos los riesgos pueden minimizarse si se entienden perfectamente.
Utilizando la tecnología adecuada, los equipos de PKI tienen el poder de reducir significativamente los riesgos operativos y de seguridad, al tiempo que acortan los tiempos de respuesta de horas a minutos, en caso de que se produzca un incidente.
Sumerjámonos en los datos y veamos qué revelan:
- Por qué a las empresas les cuesta delegar la responsabilidad de la gestión de PKI;
- Los numerosos riesgos y responsabilidades de la propiedad de PKI; y
- Cómo puede adelantarse a las posibles amenazas y evitar graves pérdidas económicas.
1. PKI - La "patata caliente" técnica
Según el informe, la responsabilidad sobre las claves y los certificados PKI suele estar dispersa por toda la organización. Ninguna función aparece como clara propietaria del presupuesto de PKI: el 20% afirma que son las líneas de negocio y el 19%, las operaciones de TI.
¿A qué se debe esta desconexión?
La responsabilidad de la PKI siempre ha sido una especie de "patata caliente" técnica. La mera complejidad de la criptografía de clave pública basta para asustar a la mayoría de los profesionales de TI.
Y si no es la complejidad, es el riesgo. La tasa de fracaso de una PKI empresarial típica es considerable. El miedo a asumir personalmente ese nivel de riesgo hace que pocos se sientan inclinados a asumir el reto.
Sin embargo, es esencial que cada organización cuente con un equipo o individuo dispuesto a dar el paso. La PKI ha sido una herramienta de seguridad oculta pero fundamental durante más de dos décadas. A medida que el Internet de las Cosas (IoT ) y las canalizaciones DevOps exigen acceso a claves y certificados firmados, el papel de la PKI se vuelve cada vez más crítico.
Si su empresa aún no tiene un propietario de PKI, es hora de que se convierta en esa persona o de que la encuentre. Usted (o ellos) serán un activo inestimable en los próximos años.
2. Riesgos y responsabilidades de ser propietario de una PKI
Antes, cuando sólo se manejaban unos cientos de certificados, se podía gestionar una PKI sólida utilizando una hoja de cálculo (incluso entonces era todo un reto).
Pero los tiempos han cambiado.
Hoy en día, la empresa media calcula que tiene:
- Más de 82.000 claves y certificados
- Otros 56.000 certificados utilizados en cifrado de datos, SSL/TLS, VPN y servicios de aplicaciones.
Es mucha responsabilidad. Si se pasa por alto un solo certificado, los daños pueden ser graves.
Los encuestados en el informe Keyfactor -Ponemon experimentaron una media de cuatro interrupciones no planificadas debidas a certificados caducados en los últimos 24 meses. En el mismo periodo, sufrieron cinco auditorías fallidas, con un coste medio de más de 14 millones de dólares.
Supongo que puede considerar estas cifras altas o bajas, dependiendo del tamaño de su organización, pero el principio se mantiene: la falta de una gestión suficiente de claves y certificados conduce a resultados costosos.
Hoy en día, hacer un seguimiento de las llaves y los certificados no sólo es un quebradero de cabeza, sino una pesadilla. Pensar que se puede hacer un inventario preciso y gestionar todos los datos necesarios (es decir, ubicación, fecha de caducidad, intensidad de la clave, etc.) en una hoja de cálculo de Excel es sencillamente irreal.
3. De las hojas de cálculo a las soluciones
Aquí es donde entra en juego la tecnología.
Un inventario preciso sólo puede lograrse mediante la visibilidad en tiempo real, ya que los certificados se emiten, revocan e instalan continuamente en su infraestructura.
Cuando se puede hacer un seguimiento de cada certificado en tiempo real, se evitan fallos operativos y de seguridad que tan a menudo dejan a otros pensando: "el equipo de PKI ha vuelto a fallar" (a pesar de los múltiples esfuerzos por notificárselo al propietario del certificado).
El siguiente paso es automatizar la gestión del ciclo de vida de los certificados.
Como sabemos, la mayoría de las empresas cuentan con un pequeño equipo dedicado a la gestión de certificados digitales. La automatización sirve como un potente multiplicador de la fuerza de trabajo al alertar a los equipos sobre certificados caducados o fuera de política. También permite que otras unidades de negocio renueven o sustituyan los certificados por sí mismas con un esfuerzo mínimo o nulo.
Una vez que pueda encontrar, controlar y automatizar el ciclo de vida de cada certificado de su entorno, el papel de "propietario de PKI" pasa rápidamente de arriesgado a gratificante.
En cualquier escenario, la solución adecuada puede ayudarle a adelantarse a las posibles amenazas y evitar graves pérdidas económicas.
Los hechos y las cifras que se destacan en el informeKeyfactor -Ponemon Institute sobre El impacto de las identidades digitales inseguras pueden ayudarle a construir su caso para implementar una estrategia integral de identidad digital y adoptar las herramientas adecuadas para lograr el éxito.
