Desde 2021, el informe State of Machine Identity de Keyfactorha ayudado a las organizaciones a evaluar el panorama de la identidad de máquina y la PKI. Las conclusiones del informe ilustran cómo se está utilizando la PKI en el mundo empresarial, así como las prioridades y los retos que ocupan las mentes de los líderes de seguridad y de la C-suite por igual.
Keyfactor se enorgullece de presentar el informe 2023 State of Machine Identity Report, realizado en colaboración con el Ponemon Institute. El informe de este año muestra cómo las organizaciones siguen luchando para sentar las bases de una gestión eficiente de la PKI a escala, a pesar de que sigue aumentando la concienciación de que la PKI es una necesidad crítica para el negocio.
- La adopción de la confianza cero, los dispositivos IoT y los servicios basados en la nube están impulsando la implantación de claves, PKI y certificados.
- Por primera vez en la historia del informe, "reducir la complejidad de la infraestructura PKI" se situó como la principal prioridad.
- La escasez de mano de obra sigue suponiendo un reto para las organizaciones a la hora de establecer una estrategia PKI y MIM para toda la empresa.
La realidad de la computación cuántica está cada vez más cerca, los casos de uso de las identidades de las máquinas se están ampliando y las interrupciones de servicio son cada vez más graves. Aunque se reconoce ampliamente que cada máquina necesita una identidad, hay una escasez de debate y comprensión sobre la gestión de esas identidades.
¿Qué pueden hacer las organizaciones ahora para gestionar mejor las identidades de máquina? El Informe sobre el estado de la gestión de identidades de máquinas de este año ofrece varias consideraciones sobre las que construir una estrategia de gestión de identidades de máquinas (MIM) que pueda permitir una mayor criptoagilidad para el futuro.
1. Establecer la propiedad de la identidad de la máquina
Los certificados son utilizados por equipos de toda la empresa: seguridad, TI, DevOps, nube y otros. Cada equipo tiene sus propias necesidades en cuanto a herramientas y uso, pero nadie posee realmente una estrategia global de identidad de máquinas.
Esto se debe en parte a que no la hay. En el informe de este año, sólo el 47% de las organizaciones afirmaron contar con una estrategia empresarial para gestionar la PKI y las identidades automáticas.
Cuando nadie es dueño de la estrategia PKI, no puede haber alineación en torno a las mejores prácticas, toma de decisiones sobre conflictos relacionados con la identidad o apoyo entre organizaciones para cuestiones de certificados. El resultado es un mayor riesgo de interrupciones y tiempos de respuesta más largos.
En el pasado, las organizaciones recurrían a equipos de seguridad para implantar y gestionar certificados y criptografía. Sin embargo, la criptografía se ha convertido en un conjunto estratégico de iniciativas que requieren conocimientos más amplios y una estrategia a más largo plazo.
El establecimiento de un Crypto Center of Excellence (CCoE) o un grupo de trabajo sobre identidad de máquinas que incluya participantes multifuncionales ha demostrado su eficacia para evitar los silos y mantener la visibilidad de los activos criptográficos. Las partes interesadas que componen este grupo viven y respiran sus casos de uso todos los días, por lo que pueden tomar decisiones sobre herramientas y procesos que realmente permitan la productividad y ofrezcan valor empresarial. Además, pueden servir como único punto de contacto para los usuarios de toda la empresa, ofreciendo respuestas unificadas que refuercen la misión general.
2. Invierta en su estrategia de gestión de identidades de máquinas
La formulación de cualquier estrategia requiere un elemento humano, que el grupo de trabajo sobre identidad de las máquinas aporta. Una vez definida la visión, las organizaciones deben realizar inversiones que permitan y aceleren esa visión con automatización, visibilidad y control centralizado de los ciclos de vida de los certificados..
Obtener visibilidad es el primer paso, y quizá el más difícil. En el informe de este año, el 62 % de los encuestados afirmaron que no saben cuántas claves y certificados tiene su organización - frente al 55% en 2022 y el 53% en 2021.
Esto puede parecer contradictorio, ya que la concienciación sobre las identidades de máquinas y la madurez de las tecnologías de gestión van en aumento. Pero demuestra que la explosión de volumen y casos de uso en torno a las identidades de máquinas está superando la capacidad organizativa para gestionarlas. Este reto será cada vez más difícil a medida que se acorten los ciclos de vida de los certificados.
Uno de los primeros pasos de un grupo de trabajo sobre identidad de máquinas recién formado debe ser auditar el panorama de identidad de máquinas de la organización e identificar las lagunas. A partir de ahí, pueden explorar herramientas y procesos que se adapten a los requisitos específicos de los distintos equipos e integrarlos con las herramientas, flujos de trabajo y aplicaciones existentes.
La contrapartida entre un CCOE centralizado y dedicado a PKI y un grupo de trabajo de identidad de máquina es que los miembros del grupo de trabajo tienen otras responsabilidades. Especialmente bajo la presión de la actual escasez de mano de obra, las organizaciones harían bien en capacitar a los miembros del grupo de trabajo para gestionar las responsabilidades de identidad de máquina de la forma más eficiente posible.
3. Reduzca la complejidad de su PKI
Uno de los principales titulares que se desprenden del informe State of Machine Identity de este año es la importancia de reducir la complejidad en torno a la PKI. Reducir la complejidad de la infraestructura de clave pública es la principal prioridad estratégica, y ha pasado del 50 % en 2021 al 58 % en el informe de este año.
Pero hacer que la ICP sea menos complicada puede ser, bueno, complicado. Hay varios factores en juego.
- Mayor volumen de identidades de máquinas
El 71% de los encuestados dijo que sus organizaciones están implementando más claves criptográficas y certificados digitales, frente al 60% en 2021.
- Menos recursos para dedicar a PKI
El 53% de los encuestados afirma que sus organizaciones no asignan suficientes recursos y personal dedicados a la implantación de PKI. - La proliferación de PKI y CA desordena las estrategias de identidad de las máquinas
De media, las organizaciones utilizan 9 soluciones PKI y CA diferentes, con una mezcla de PKI privada interna, certificados autofirmados, servicios basados en la nube y herramientas integradas en plataformas DevOps.
Este tipo de dispersión es el resultado de una falta de propiedad en torno a PKI. Solo el 31% de los encuestados afirma que sus organizaciones cuentan con un grupo de trabajo maduro sobre identidad de máquinas.
Los equipos que trabajan en silos adoptan sus propias herramientas, lo que aumenta la redundancia y amplía la superficie de ataque de la organización. Sin una estrategia global o, al menos, un proceso unificado para tomar decisiones sobre PKI, es difícil identificar soluciones que satisfagan numerosos fines.
Las interrupciones relacionadas con los certificados afectan gravemente a las organizaciones
En el informe de este año, el 55% de los encuestados afirmaron que las interrupciones relacionadas con los certificados han causado graves a los servicios de cara al cliente, mientras que otro 50% afirmó que las interrupciones habían afectado gravemente a los usuarios internos o a un subconjunto de clientes.
Para complicar aún más las cosas, el tiempo necesario para recuperarse de las interrupciones de los certificados es cada vez mayor: 3,79 horas de media, frente a las 3,3 horas del informe del año pasado.
Otros factores están haciendo de la PKI un problema más urgente de resolver. La escasez de mano de obra cualificada en cibernética continúa, mientras que la seguridad de la firma de código se está convirtiendo en una parte más integral de las estrategias de gestión de identidad de las máquinas.
Keyfactorhabla de estos retos. Independientemente de dónde se encuentre en su viaje de PKI, permitir la escala y la eficiencia a largo plazo es a largo plazo. Esperamos que el informe de este año le aporte claridad e ilusión de cara al futuro. En Keyfactor, seguiremos trabajando para ofrecer información que le ayude a navegar por el panorama de la identidad de máquinas y a establecer la confianza digital en toda la empresa.