Cómo la gestión adecuada de los certificados digitales mejora su postura de seguridad
Gestión de certificados digitales y ciberseguridad en la actualidad
La propia criptografía existe desde hace tiempo; lo interesante es cómo ha evolucionado con el tiempo. El panorama está cambiando con respecto a la época en la que teníamos mainframes y una gran potencia informática: ahora todo es más pequeño y, dada la proliferación de dispositivos y IoT, se está produciendo un cambio notable en el mercado. Cada vez se colocan más certificados digitales en teléfonos, iPads, dispositivos Android e incluso en objetos que simplemente tienen conexiones Bluetooth que requieren autenticación. Las grandes empresas que fabrican dispositivos de la Internet de las Cosas (IoT ) necesitan saber cómo protegerlos. Incluso los coches tienen pilas de red y, por lo tanto, la necesidad de poder actualizar el firmware. Como resultado, hay una oleada de certificados digitales en la naturaleza y, como empresa, es difícil gestionar esos certificados utilizando un método como una hoja de cálculo Excel. El uso de certificados para la autenticación conlleva la necesidad de gestionar un gran volumen de ellos, con el objetivo de ser más proactivos que reactivos. Es importante poner en perspectiva la forma en que su equipo de seguridad quiere gestionar sus certificados digitales. Si se olvida de sustituir aunque sólo sea un certificado en un único dispositivo o servidor, o tiene una lista de revocación que olvidó reemplazar, puede hacer caer toda su red.
Pensemos, por ejemplo, en Amazon. Por cada transacción que realiza Amazon, se genera un certificado. Si la infraestructura de clave pública (PKI) de Amazon se cae, perderá millones de dólares por segundo. Por tanto, disponer de certificados digitales y confiar en ellos para las funciones y tareas empresariales cotidianas requiere proactividad.
Dicho esto, ¿qué es la gestión de certificados digitales? El propósito es tener una visibilidad completa de todos los certificados de forma holística, identificando lo que es más crítico para el negocio y centrando la energía en asegurarse de que están en funcionamiento, no se ven comprometidos y no caducan. A menudo, sin embargo, la gestión de certificados digitales se considera una tarea de mantenimiento relativamente bajo, ya que dependiendo de la vida de sus certificados, puede que sólo tenga que preocuparse de que caduquen cada 1-5 años. El problema es que esta perspectiva permite el error humano. Si su empleado responsable de la gestión de certificados digitales se va de vacaciones la semana en que caduca un certificado, su negocio podría estar en peligro. El objetivo de una gestión adecuada de los certificados digitales es participar activamente para asegurarse de que los certificados están en funcionamiento.
Por qué una gestión adecuada de los certificados digitales es fundamental para su seguridad
Existen dos tipos de impactos críticos sobre los certificados digitales:
1. Interrupción
Impacto(s) empresarial(es) potencial(es):
- Pérdida de ingresos
- Insatisfacción del cliente
Las interrupciones se producen cuando un certificado se revoca y no se sustituye, o su ciclo de vida ha expirado. A veces, cuando se trata de la gestión de certificados, puede haber un solo certificado que haya caducado, pero 400 cajas que necesiten ser reemplazadas. Si se pasa por alto uno, o se utiliza incorrectamente, puede producirse una interrupción.
2. Infracción
Impacto(s) empresarial(es) potencial(es):
- Pérdida de datos
- Daños a la reputación
- Multas
- Gastos jurídicos
Los certificados utilizados para la firma digital permiten al propietario del certificado tener una prueba de la firma de un documento y la verificación de la identidad en el momento de la firma digital. Si un certificado sale a la luz y es vulnerado, deja de ser de confianza. En el mundo financiero, por ejemplo, esto podría dar lugar a multas como resultado de la expiración del certificado(s), y las funcionalidades no funcionan o no se ejecutan correctamente. Si se produce una brecha en un sitio de comercio electrónico, por ejemplo, los visitantes quedarán expuestos si introducen información sobre su tarjeta de crédito, ya que no estará cifrada cuando regrese al servidor del sitio de comercio electrónico.
Cómo pueden abordar los equipos de seguridad la gestión adecuada de los certificados digitales
Ante todo, la gestión adecuada de los certificados digitales se reduce realmente a encontrar expertos que tengan un historial probado con PKI y los certificados digitales, y que hayan aprendido de los escollos y los puntos débiles de las actividades de gestión.
Muchas empresas compran certificados a terceros, lo que puede resultar muy caro. Otras intentan gestionar los certificados digitales internamente en un esfuerzo por ahorrar dinero, sin embargo, proteger y gobernar las autoridades de certificación implica una miríada de decisiones de seguridad que son posiblemente más importantes que la emisión de certificados en su conjunto, y puede ser considerablemente difícil encontrar recursos internos con la experiencia adecuada para hacerlo.
Gestionar correctamente los certificados se reduce a utilizar una solución de gestión de certificados digitales software y dejar atrás el hábito de utilizar una hoja de cálculo. También es fundamental mantener la infraestructura en buen estado, algo en lo que también ayuda software . La gestión de certificados digitales consta de muchos elementos esenciales, no sólo desde la perspectiva de software , sino también en relación con el mantenimiento de la solidez de la infraestructura de clave pública (PKI) para tener la seguridad de que no se verá comprometida.
Algunos consejos:
- Sepa cuántos certificados va a gestionar: conozca su número.
- Si tiene un número muy elevado de certificados, reconozca que hay formas de eliminar el componente humano de la ecuación.
- Automatización
- Flujo de trabajo
- Encargar a un tercero la gestión de la infraestructura
- Determine si existe una base por coste para cada certificado al evaluar software.
- Si está llevando a cabo la gestión de certificados internamente, pregúntese si realmente se siente cómodo y confiado en cómo configura su política de seguridad en torno a la emisión de certificados.
- ¿Sabe qué nivel de seguridad necesita?
- ¿Están bien definidos los ciclos de vida de los certificados?
- ¿Está exponiendo su empresa a vulnerabilidades?
- Definir los sistemas y activos críticos para la empresa.
- ¿Hay lugares en su organización en los que no ha pensado que puede utilizar certificados digitales para proteger?
La ventaja de trabajar con una parte externa para la gestión de certificados digitales es tener acceso completo a las mejores prácticas del sector para tratar con una infraestructura compleja, así como el conocimiento y la sensibilidad de las políticas para garantizar que su PKI no se vea comprometida. Si no está seguro de contar con los especialistas internos adecuados, no intente gestionar los certificados digitales internamente.
Tanto si opta por gestionar los certificados internamente como por trabajar con un proveedor de confianza, hay que hacerlo bien. Tome la mejor decisión para su empresa en función de los recursos de que disponga.