En las últimas semanas, hemos recibido varias consultas de ejecutivos y profesionales asobre la mejor manera de los retos de continuidad empresarial que surgen con la COVID-19 pandemiay la necesidad de proteger rápidamente a gran escala a los trabajadores a distancia.. Para ayudar a nuestra comunidad de seguridad, hemos lanzado un centro de recursos con recomendaciones para profesionales de PKI y de la seguridad..
Nos sentamos para una sesión de preguntas y respuestas con nuestro Director de Seguridad, Chris Hickman, paraa más información en cómo abordare estos remoto-mano de obra a distancia.
completo transcripción abajo.
¿Cómo ha afectado COVID-19 a las operaciones cotidianas de una organización y a la postura general de seguridad de la empresa?
Bor lo general, la mayoría de las organizaciones han pasado a permitir que sus empleados trabajen a distancia para ayudar a aplanar la propagación del virus distanciando a la gente del lugar de trabajo. Es estupendo ver esta respuesta global - aunque es creard retos para las empresas, sobre todo en materia de seguridad..
Las grandes Las empresas más grandes, acostumbradas aa tener una plantilla móvil muy diversa, probablemente la transición les resultó relativamente sencilla. Sin embargo, es la primera vez que probamos este tipo de organización del trabajo a gran escala, y es probable que surjan problemas por el camino.
En hablando con la gente que conozco en las industrias que han tratado de poner en marcha los planes de continuidad de negocio, que sin duda han tenido una verdadera atención hacia la seguridad, por razones obvias. Tratando de mantener los datos de la empresa segura mientras se mueve la gente de sus lugares naturales de trabajo a lugares remotos es una tarea tremenda y desalentadora. La escala de la seguridad se está poniendo a prueba de una manera que nunca se ha probado antes.
¿Qué tipo de conversaciones mantiene hoy con sus clientes sobre esta nueva realidad?
Wstamos viendo un tremendocantidad de conversaciones sobre cómo pueden ahora o en el futuro aprovechar la nube nube para mitigar estos retos.
Enestán preguntas como, "Hómo vamos aa que los datos estén seguros donde se encuentran remotamente hoy frente a donde ha tradicionalmente¿Cómo podemos permitir a la gente acceder a su data mientras están fuera de las cuatro paredes de la organización?"
Y por último "¿Cómo podemos escalar?" Por ejemplo, cuando sólo tiene 10% a 20% de su plantilla trabajando en a distancia, es un modelo muy diferente a tener de repente más del 95% al 100% de nuestra fuerza de trabajo ahora a distancia.
A nuevo conjunto de factores de riesgo se han introducido donde las empresas están mitigando sobre la marcha, y sin duda les presenta con un momento difícil en nuestro espacio en nuestra industria. Sin embargo, hay una gran oportunidad paraa la seguridad a escala y sentirnos seguridad a tenemos la estrategia estrategia y prácticas para mantener a nuestros empleados y data.
¿Cuáles son los retos de cambiar, básicamente de la noche a la mañana, a un modelo de trabajo desde casa?
Un gran reto es escalarde la seguridaduando todo planificaciónen el mundo probablemente nunca consideró este tipo de cambio. Literalmente durante la noche miles de personas en cada empresa moved de de ir a la oficina todos los días a trabajar en casa con sus familias.
Mi función en Keyfactor me obliga a estar constantemente en movimiento y viajando, así que me siento muy cómodo con todo este cambio. También me siento cómodo con nuestra compade mantener seguros los datos a los que tengo acceso. También soy muy consciente de cómo aplico esa seguridad cuando estoy en lugares como habitaciones de hotel o me conecto a través de una cafetería Wi-Fi.
Otro gran reto para la seguridad en estos momentos es la gente. Los empleados que no están acostumbrados a este trabajo a distancia estilo de protección de datos y aplicación de políticas para proteger sus datos se convierten en vulnerables a los riesgos de seguridad. Los empleados y las empresas deben ajustar a esta realidad y mirar más allá de lair oficina paredes y cubículoss a aplicar una buena higiene de seguridad.
En sigue habiendo gente que intenta aprovecharse de la situación.. Wosotros ya anecdóticamente un aumento de relacionados con COVID-19 ataques de phishing. Las empresas de todos los tamaños deben ser conscientesque cuando se produzca una situación como ésta habrá, lamentablemente, quienes quieran aprovecharse de ella.
¿Qué lugar ocupan en este panorama la infraestructura de clave pública (PKI) y la gestión de certificados digitales? ¿Cómo puede aplicarse a un entorno de trabajo desde casa a gran escala?
Hay un sinfín de posibilidades para aprovechar PKI en esta situación y el mismo número de riesgos potenciales si no se tienen en cuenta o planifican adecuadamente.o no se planifican adecuadamente.. Dos certificados digitales siguen siendo la forma número uno de identificar los activos de su empresa, y hacene que disponen de comunicaciones seguras a través de esos activos para gestionarlos a distancia.
En muchos casos, PKI es para ayudar a los empleados remotos con aplicaciones que utilizamos para el soporte remoto. Las empresas utilizan certificados digitales en segundo plano para proteger helpdesk-tipo de comunicaciones, que obviamente están siendo muy aprovechadas a medida que la gente se adapta hoy en día. Los certificados se utilizan cómo identificar a los empleados: cómo conectarlos a Internetcómo enasegurarse de que son las personas que se supone que utilizan los activos de la empresa.
Además, puedenpueden estar utilizando algunos de estos certificados digitales subyacentes para decidir si los datos deben ir a ese punto final o no. Por ejemplo, ...si estoy tratando de descargar un archivo a una máquina casera.., sin un certificado soy libre de descargar cualquier tipo de información que pueda ser segura o estar corrupta. Mientras que si estoy en una máquina de trabajo, tengo un certificado de mi empresa que me permite descargar la información apropiada.
PKI es un arma de doble filo si no se concibe y planifica adecuadamente. La mayoría de los sitios PKI que existe hoy en día no está diseñada para ir más allá de la red tradicional de la cuatro paredes de la organización. No está diseñada para escalar a la nube y no tiene esas capacidades para llegar a donde viven los datos frente a protegerlas cosas que están entre mis cuatro paredes. PKI puede aprovecharse, pero la escala debe incorporarse o la PKI debe reconsiderarse para abordar la escala.
Ahora que sus equipos de TI y seguridad están a cientos de kilómetros de distancia de esa sala de servidores, ¿cómo pueden gestionar la PKI de forma eficaz en este nuevo entorno?
In un bien diseñada PKI bien diseñada son múltiples facetas de la infraestructura que se prestan a al tiempo de actividad. Con tecnologías como la gestión remota y remoto escritorio remoto, es relativamente y transparente saber dónde se encuentra físicamente ese activo reside. PKI presenta un par de interesante ende interés porque la CA raíz suele estar desconectada y requiere la presencia física de varias personas. presencia física de varias personas.
En Hay algunas organizaciones que, lamentablemente, probablemente no se han planteado: "¿Cómo gestiono esos activos físicos que están completamente desconectados en este tipo de realidad?ísicos que están completamente desconectados en este tipo de realidad". TEn pueden haber construido su plan de continuidad de negocio en torno a los certificados, pero sin pensar en cómo se va a hacer.en conseguir tres de cinco personas a la sala de servidores cuando cuando de repente están a cientos de kilómetros de distancia?"
También hay un efecto agravante ya que una ICP emite todos sus certificados. Empresas compran sus certificates de una PKI pública. Y, más tradicionalmente, si no tienes una buena gestión de esos activos, ahora es muy difícil priorizar qué certificados son significativos para el negocio en este momento.
We gusta contar nuestros clientes a hagan inventario todos los certificados su organización organización yiguir dónde viven y qué protegen. Una vez en que hacen esto, en pueden prioripriorizar esos activos. Y se darán cuenta de que esas prioridades han cambiado.
Por ejemplo, VPN podría haber sido un "nice-to-have hace una semana. Ahora es imprescindible. El establecimiento de prioridades ayuda a en las prioridades cambiantes y lo que tengo que hacer como empresa para adaptar mi PKI y/o mis plataformas de gestión del ciclo de vida de los certificados.
Gartner y otros analistas se refieren a la criptografía como "infraestructura crítica". ¿Alguna opinión al respecto?
No podría estar más de acuerdo. PKI ha sido tradicionalmente un espalda-de-la-servidor-tipo de tecnología. Creo que este tipo de eventos contribuye a hacerla avanzar. Pero la gentecon las que me comunico están que hacer mucho con un presupuesto limitado, un conjunto limitado de herramientas y los retos de la distancia.
Cuando las cosas se calmen y vuelvan a la normalidadl, la gente y las organizaciones se darán cuenta de que no podemos esperar a este tipo de acontecimientos para invertir en ello. Tiene que ser un ciclo constante de formación y inversión para mantener estas aplicaciones dependientestiones dependientes dependientes.
