Los líderes que adoptan una visión descendente de sus empresas pueden perderse la visión sobre el terreno, especialmente en lo que respecta a la seguridad y a las minucias técnicas implicadas en el mantenimiento de los procesos digitales que mantienen el negocio en marcha.
La infraestructura de clave pública (PKI) y la gestión de certificados digitales son ejemplos de ello. Si la seguridad es accesoria al objetivo principal de la empresa, la PKI es accesoria a la seguridad. Es un mecanismo crucial de un aparato necesario que impide que ocurran cosas malas para que la empresa pueda perseguir su propósito y objetivos principales.
Por ello, a menudo se descuida la PKI. Aunque no sea esencial para la misión de la empresa, una PKI mal gestionada y con recursos insuficientes consume más recursos de los que las organizaciones y los directivos son conscientes.
En resumen, PKI y los certificados digitales protegen las interacciones entre sistemas digitales y cifran los datos.. Piense en estos certificados como pasaportes: formas de identidad emitidas por una autoridad de confianza. Al igual que los pasaportes, estos certificados caducan al cabo de cierto tiempo y deben volver a emitirse.
Gestionar estos certificados es más difícil de lo que parece.
- La organización media mantiene más de un cuarto de millón de certificados.
- El seguimiento, la gestión y la emisión de nuevos certificados son tareas muy manuales y técnicas.
- Sólo se necesita un certificado caducado para causar un servicio servicio.
Así que, de todos los problemas de la empresa que hay que resolver, ¿por qué resolver éste?
Porque los certificados y la PKI mal gestionados cuestan a la empresa millones de dólares y cuestan aún más en ineficiencias posteriores.
El coste de una interrupción
En Keyfactor2023 State of Machine Identity Reportel 77% de los encuestados afirmó que su organización había experimentado al menos dos interrupciones importantes relacionadas con certificados en los últimos 12 meses. Más de la mitad de los encuestados afirmaron que estas interrupciones causaron graves trastornos a los servicios de cara al cliente, a los usuarios internos y a subconjuntos de clientes.
Estas perturbaciones no son triviales. Los costes de la pérdida de negocio y los daños a la reputación son sustanciales. El tiempo de inactividad imprevisto causado por certificados caducados puede costar a las organizaciones más de 300.000 dólares por hora.. Según el informe State of Machine Identity Report, la organización media tarda 3,79 horas en identificar, remediar y recuperarse de una interrupción relacionada con un certificado, lo que sitúa los costes en torno a 1,1 millones de dólares.
Los costes laborales de la gestión manual de PKI
Muy pocas empresas cuentan con un equipo dedicado a la PKI. Más a menudo, la responsabilidad de gestionar los certificados y la PKI recae en los equipos de TI y/o de seguridad. Si tenemos en cuenta el volumen de certificados que hay en el entorno de una organización (256.000 de media), el riesgo de gestionarlos mediante hojas de cálculo o herramientas heredadas de cosecha propia resulta evidente.
Estos equipos suelen estar ya sobrecargados de trabajo. La ineficacia de los procesos de ICP no hace sino dificultar su trabajo. Agravan el agotamiento, lo que genera costes de rotación, y distraen a estos equipos de sus tareas principales. Esto significa que cuesta más dotar de recursos a los equipos de TI y seguridad y aumenta la probabilidad de error en estas funciones.
De hecho, el 53% de los encuestados en el informe State of Machine Identity (Estado de la identidad de máquina) afirmaron que no disponen de personal suficiente para desplegar y mantener su PKI. A medida que el volumen de identidades de equipos sigue creciendo a medida que las organizaciones se trasladan a la nube, realizan adquisiciones, adoptan dispositivos IoT y digitalizan más procesos empresariales, la tarea de gestionar la PKI a gran escala será cada vez más complicada. gestionar la PKI a gran escala será cada vez más onerosa..
PKI is an intensely technical niche. IT and security teams rarely boast PKI-specific expertise. Therefore, they may not have the wherewithal to improve these processes and architect PKI more efficiently. They may not even know what to look for in searching for a PKI solution.
Infraestructura redundante y costes de proveedores
El hecho de que algún equipo de la organización gestione la PKI no significa que lo haga con una estrategia global. Muy a menudo, no existe una propiedad centralizada de la PKI y la gestión de certificados. En este caso, los equipos que utilizan certificados (como los equipos DevOps) encuentran sus propios proveedores y adoptan sus propias soluciones.
El problema es que a menudo lo hacen sin tener en cuenta la seguridad y no documentan los certificados que crean y emiten. Los certificados no rastreados acechan dentro de la infraestructura, esperando como una bomba de relojería a que caduquen y provoquen un apagón.
Cuando equipos aislados buscan sus propias soluciones PKI, crean redundancia y dispersión, lo que genera costes y complejidad innecesarios.
PKI como servicio
Algunas organizaciones encuentran factible componer e implantar en toda la empresa una arquitectura PKI, políticas y herramientas que mitiguen los costes de PKI.
¿Tiene tiempo para hacerlo? ¿Es realmente la gestión interna de su PKI la forma en que desea gastar su presupuesto?
A muchas organizaciones les resulta más eficiente y eficaz dejar PKI completamente fuera del alcance de sus equipos internos a través de socios que ofrecen PKI como servicio.
Despídete de los cortes de suministro.
Estos proveedores y sus herramientas descubren y rastrean proactivamente todos y cada uno de los certificados del entorno y los compilan en un centro de gestión universal.
Aproveche los profundos conocimientos de PKI.
Los socios de PKI tienen las habilidades y los conocimientos de los que carecen los equipos de TI y seguridad. Pueden crear eficiencias e implantar mejores prácticas que simplifiquen, amplíen y minimicen los gastos generales de PKI. Mientras tanto, sus equipos internos pueden volver al negocio con mucho más ancho de banda.
Siéntase seguro con las mejores prácticas del sector.
El proveedor de PKI adecuado aprovechará normas como ISO 27000, PCI-DSS, SOC2, etc., para proteger su infraestructura en el entorno actual de amenazas en rápida evolución. Esto da confianza a los equipos de seguridad y proporciona a la dirección pruebas de que su PKI sigue las mejores prácticas de seguridad del sector.
Posicionar la empresa para el futuro.
With a streamlined, expertly managed PKI, your organization can pursue new initiatives, prepare for quantum computing, and stay ahead of emerging threats.
For the business to succeed, it must be able to trust its digital infrastructure. As with so many aspects of transformation, outsourcing niche-but-necessary expertise to specialized partners can provide an instant lift to the entire business.
With Keyfactor, organizations get all the advantages of a best-in-class PKI without the effort and expense of running it in-house. Check out our Essential Guide to Evaluating PKI Solutions and learn how to pick the right PKI Solution for your organization.
