Puede que los piratas informáticos acaparen los titulares, pero existe una amenaza mucho menos sexy, aunque igualmente grave, para su empresa: las interrupciones de servicio. Según el último informe de Ponemon, el 74% de las organizaciones siguen sufriendo interrupciones y tiempos de inactividad imprevistos debido a certificados caducados. El coste de estos incidentes es una mala experiencia para sus clientes y tiene un resultado aún peor para su negocio.
Esta misma semana he recordado el dolor que causan las interrupciones del servicio. Había quedado con una amiga para cenar. Llegó mientras mantenía una conversación telefónica muy animada -agitando los brazos- diciéndole a una pobre alma: "¡Para esto te pagamos!". Es jefa de operaciones de una empresa de Global 2000 que acababa de sufrir una interrupción del servicio de 25 minutos en Estados Unidos y otra de siete minutos en Europa.
Esto hizo que en la cena se hablara mucho de trabajo. Los cortes de suministro no son algo de lo que se hable hasta que ocurren. Y cuando ocurren, pasan rápidamente del segundo plano a la sala de juntas. En primer lugar, porque afectan a todos los miembros de la organización. Segundo, porque las interrupciones tienen costes enormes (~11 millones de dólares por interrupción*) y manchan rápidamente incluso a las marcas más reputadas.
Es por los ciberataques de alto perfil a Target, Equifax y Capital One, la importancia de estar al tanto de la infraestructura de clave pública (PKI) y los certificados digitales ha pasado a primer plano. Las empresas están invirtiendo ahora en herramientas para prevenir interrupciones y evitar ser la próxima en sufrirlas.
Una vez que terminó su llamada y pusimos unos aperitivos sobre la mesa (porque los aperitivos lo mejoran todo), charlamos sobre el gasto en TI de su organización con su proveedor de conectividad de red. Son varios millones de dólares.
¿Por qué no habrían gastado también una fracción de esa cantidad en implantar la automatización del ciclo de vida de los certificados digitales?
Por qué es importante cada certificado digital
Mientras que otros proveedores de gestión de certificados ofrecen una "garantía de no interrupción", la letra pequeña dice que proporcionarán asistencia para descubrir la causa de una interrupción después de que se produzca.
Espera. ¿Después de que ocurra? Eso es después de que el daño ya está hecho.
Cada certificado digital es importante. Cada identidad digital tiene el potencial de causar una interrupción de algún tipo. Cada certificado digital debe gestionarse para evitar interrupciones. Ese es el valor de la supervisión, la elaboración de informes y la automatización. La prioridad es asegurarse de que nunca se produzca una interrupción. No que alguien venga y analice qué ha ido mal.
No todas las soluciones son iguales. Muchas carecen de las herramientas necesarias para descubrir todas las identidades digitales en los complejos entornos informáticos actuales. Pero cuando cada certificado tiene una fecha de caducidad, cada certificado debe ser supervisado y gestionado. La realidad es que, en muchos casos, otras soluciones no están diseñadas para cubrir todos los certificados, y los modelos de costes impiden la cobertura completa necesaria para evitar interrupciones.
En resumidas cuentas, no existe una "garantía de no interrupción". La forma más eficaz que tiene cualquier organización de evitar interrupciones es descubrir, supervisar y automatizar el ciclo de vida de todos los certificados de su entorno (sin límites ni cláusulas). No garantizar que se descubrirá lo que ha ido mal después de los hechos.
Al final, comimos un pan y un queso estupendos, pero mi amigo seguía sin estar del todo relajado. ¿Por qué? Porque no sabía en qué parte del mundo podría producirse el siguiente apagón. Esa no es forma de pasar un jueves.
Descarga el Informe Ponemon-Keyfactor 2019, El impacto de las identidades digitales inseguras:
