Desde 2021, el Informe sobre el Estado de la Identidad de Máquinas de Keyfactor ha ayudado a las organizaciones a evaluar el panorama de la identidad de máquinas y la PKI. Los hallazgos del informe ilustran cómo se utiliza la PKI en el mundo empresarial, así como las prioridades y desafíos que ocupan la mente de los líderes de seguridad y de la alta dirección por igual.
Keyfactor se enorgullece de presentar el Informe sobre el Estado de la Identidad de Máquinas de 2023, realizado en colaboración con el Ponemon Institute. El informe de este año muestra cómo las organizaciones siguen luchando por sentar las bases para una gestión eficiente de la PKI a escala, incluso a medida que la concienciación sobre la PKI como una necesidad crítica para el negocio sigue aumentando.
- La adopción de la confianza cero, los dispositivos IoT y los servicios basados en la nube está impulsando el despliegue de claves, PKI y certificados.
- Por primera vez en la historia del informe, "reducir la complejidad de la infraestructura PKI" se clasificó como la máxima prioridad.
- La escasez de mano de obra sigue suponiendo un reto para las organizaciones a la hora de establecer una estrategia de PKI y MIM a nivel empresarial.
La realidad de la computación cuántica está cada vez más cerca, los casos de uso para las identidades de máquinas se están expandiendo y las interrupciones son cada vez más críticas. Si bien se reconoce ampliamente que cada máquina necesita una identidad, existe una escasez de debate y comprensión sobre la gestión de esas identidades.
Entonces, ¿qué pueden empezar a hacer las organizaciones ahora para gestionar mejor las identidades de máquinas? El Informe sobre el Estado de la Gestión de Identidades de Máquinas de este año ofrece varias consideraciones sobre las cuales construir una estrategia de gestión de identidades de máquinas (MIM) que pueda permitir una mayor cripto-agilidad para el futuro.
1. Establecer la propiedad de la identidad de la máquina
Los certificados son utilizados por equipos de toda la empresa —seguridad, TI, DevOps, la nube y otros—. Cada equipo tiene sus propias necesidades en cuanto a herramientas y uso, pero nadie es realmente el propietario de una estrategia global de identidad de máquinas.
Esto se debe, en parte, a que no existe una. En el informe de este año, solo el 47 % de las organizaciones afirmó tener una estrategia empresarial para la gestión de PKI e identidades de máquinas.
Cuando nadie es responsable de la estrategia de PKI, no puede haber una alineación en torno a las mejores prácticas, la toma de decisiones sobre conflictos relacionados con la identidad o el soporte interorganizacional para problemas de certificados. Esto se traduce en un mayor riesgo de interrupciones y tiempos de respuesta más prolongados.
En el pasado, las organizaciones han utilizado equipos de seguridad para implementar y gestionar certificados y criptografía. Sin embargo, la criptografía se ha convertido en un conjunto de iniciativas estratégicas que requieren un conocimiento más amplio y una estrategia a largo plazo.
Establecer un Centro de Excelencia en Criptografía (CCoE) o un grupo de trabajo de identidad de máquinas que incluya participantes multifuncionales ha demostrado ser eficaz para prevenir silos y mantener la visibilidad de los activos criptográficos. Los interesados que conforman este grupo viven y respiran sus casos de uso a diario, por lo que pueden tomar decisiones sobre herramientas y procesos que realmente permiten la productividad y aportan valor empresarial. Además, pueden servir como punto de contacto único para los usuarios de toda la empresa, ofreciendo respuestas unificadas que refuerzan la misión general.
2. Invierta en su estrategia de gestión de identidades de máquinas
La formulación de cualquier estrategia requiere un elemento humano, que es aportado por el grupo de trabajo de identidad de máquinas. Una vez definida la visión, las organizaciones deben realizar inversiones que permitan y aceleren esa visión con automatización, visibilidad y control centralizado sobre los ciclos de vida de los certificados.
Obtener visibilidad es el primer paso y, quizás, el más difícil. En el informe de este año, el 62 % de los encuestados afirmó no saber cuántas claves y certificados tiene su organización —lo que supone un aumento respecto al 55 % en 2022 y al 53 % en 2021.
Esto puede parecer contradictorio, ya que la concienciación sobre las identidades de máquinas y la madurez de las tecnologías de gestión están en aumento. Pero demuestra que la explosión en volumen y casos de uso en torno a las identidades de máquinas está superando la capacidad organizativa para gestionarlas. Este desafío solo se hará más difícil a medida que los ciclos de vida de los certificados se acorten.
Uno de los primeros pasos de un grupo de trabajo de identidad de máquinas recién formado debería ser auditar el panorama de identidades de máquinas de la organización e identificar las brechas. A partir de ahí, pueden explorar herramientas y procesos que se adapten a los requisitos únicos de varios equipos e integrarlos con las herramientas, flujos de trabajo y aplicaciones existentes.
La contrapartida entre un CCoE centralizado y dedicado a PKI y un grupo de trabajo de identidad de máquinas es que los miembros del grupo de trabajo tienen otras responsabilidades. Especialmente bajo las presiones de una escasez de mano de obra continua, las organizaciones harían bien en capacitar a los miembros del grupo de trabajo para gestionar las responsabilidades de identidad de máquinas de la manera más eficiente posible.
3. Reduzca la complejidad en su PKI
Un titular importante que surge del Informe sobre el Estado de la Identidad de Máquinas de este año es la importancia de reducir la complejidad en torno a la PKI. La reducción de la complejidad en la PKI se clasificó como la principal prioridad estratégica, pasando del 50 % en 2021 al 58 % en el informe de este año.
Pero hacer que la PKI sea menos complicada puede ser, bueno, complicado. Hay varios factores en juego.
- Mayor volumen de identidades de máquinas
El 71 % de los encuestados afirmó que sus organizaciones están implementando más claves criptográficas y certificados digitales, frente al 60 % en 2021.
- Menos recursos para dedicar a la PKI
El 53 % de los encuestados afirmó que sus organizaciones no asignan suficientes recursos y personal dedicado a la implementación de PKI. - La proliferación de PKI y CA complica las estrategias de identidad de máquinas
En promedio, las organizaciones utilizan 9 soluciones diferentes de PKI y CA, con una combinación de PKI privadas internas, certificados autofirmados, servicios basados en la nube y herramientas integradas en plataformas DevOps.
Este tipo de proliferación es el resultado de la falta de responsabilidad en torno a la PKI. Solo el 31 % de los encuestados afirmó que sus organizaciones tienen un grupo de trabajo de identidad de máquinas maduro.
Los equipos que trabajan en silos adoptan sus propias herramientas, lo que aumenta la redundancia y expande la superficie de ataque de la organización. Sin una estrategia global o al menos un proceso unificado para tomar decisiones sobre PKI, es difícil identificar soluciones que satisfagan múltiples propósitos.
Las interrupciones relacionadas con certificados están afectando gravemente a las organizaciones
En el informe de este año, el 55 % de los encuestados afirmó que las interrupciones relacionadas con certificados han causado una grave disrupción en los servicios de cara al cliente, mientras que otro 50 % dijo que las interrupciones han causado una disrupción importante a los usuarios internos o a un subconjunto de clientes.
Para empeorar las cosas, el tiempo de recuperación de las interrupciones de certificados es cada vez mayor: 3,79 horas de media, en comparación con las 3,3 horas del informe del año pasado.
Otros factores están haciendo de la PKI un problema más urgente de resolver. La escasez de mano de obra con habilidades cibernéticas continúa, mientras que la seguridad de la firma de código se está convirtiendo en una parte más integral de las estrategias de gestión de identidades de máquinas.
El Informe sobre el Estado de la Identidad de Máquinas 2023 de Keyfactor aborda estos desafíos. Independientemente de dónde se encuentre en su trayectoria con la PKI, habilitar la escalabilidad y eficiencia a largo plazo es posible. Esperamos que el informe de este año le brinde claridad y entusiasmo sobre el futuro. En Keyfactor, seguiremos trabajando para ofrecerle información que le ayude a navegar por el panorama de la identidad de máquinas y a establecer la confianza digital en toda la empresa.
