Cómo la gestión adecuada de los certificados digitales mejora su postura de seguridad
Gestión de certificados digitales y ciberseguridad en la actualidad
La criptografía existe desde hace tiempo; lo interesante es cómo ha evolucionado con el tiempo. El panorama está cambiando desde los días en que teníamos mainframes y gran potencia de cálculo; con todo volviéndose más pequeño, y dada la proliferación de dispositivos e IoT, se está produciendo un cambio notable en el mercado. Cada vez más certificados digitales se instalan en teléfonos, iPads, dispositivos Android e incluso en objetos que simplemente tienen conexiones Bluetooth que requieren autenticación. Las grandes empresas que fabrican dispositivos de Internet de las cosas (IoT) necesitan saber cómo protegerlos. Incluso los coches tienen pilas de red y, por lo tanto, la necesidad de poder actualizar el firmware. Como resultado, hay una avalancha de certificados digitales en circulación y, como empresa, es difícil gestionar esos certificados utilizando un método como una hoja de cálculo de Excel. El uso de certificados para la autenticación conlleva la necesidad de gestionar un gran volumen de ellos, con el objetivo de ser más proactivo que reactivo. Es importante poner en perspectiva cómo su equipo de seguridad desea gestionar sus certificados digitales. Si olvida reemplazar incluso un certificado en un solo dispositivo o servidor, o tiene una lista de revocación que olvidó reemplazar, puede paralizar toda su red.
Considere Amazon, por ejemplo. Por cada transacción que realiza Amazon, se genera un certificado. Si la infraestructura de clave pública (PKI) de Amazon deja de funcionar, perderán millones de dólares por segundo. Por lo tanto, tener certificados digitales en circulación y depender de ellos para respaldar las funciones y tareas comerciales diarias requiere proactividad.
Dicho esto, ¿qué es la gestión de certificados digitales? El propósito es tener una visibilidad completa y holística de todos los certificados, identificando cuáles son los más críticos para el negocio y centrando los esfuerzos en asegurar que estén operativos, no comprometidos y que no caduquen. Sin embargo, a menudo la gestión de certificados digitales se considera una tarea de mantenimiento relativamente bajo, ya que, dependiendo de la vida útil de sus certificados, es posible que solo tenga que preocuparse por la caducidad cada 1 a 5 años. El problema es que esta perspectiva da lugar a errores humanos. Si su empleado responsable de la gestión de certificados digitales se va de vacaciones la semana en que caduca un certificado, su negocio podría estar en riesgo. El objetivo de una gestión adecuada de certificados digitales es participar activamente para asegurar que los certificados estén operativos.
Por qué una gestión adecuada de los certificados digitales es fundamental para su postura de seguridad
Existen dos tipos de impactos críticos para los certificados digitales:
1. Interrupción del servicio
Posibles impactos comerciales:
- Pérdida de ingresos
- Insatisfacción del cliente
Las interrupciones del servicio ocurren cuando un certificado es revocado y no se reemplaza, o cuando su ciclo de vida ha caducado. A veces, en lo que respecta a la gestión de certificados, puede haber un solo certificado caducado, pero 400 equipos que necesitan ser reemplazados. Si incluso uno se pasa por alto o se utiliza de forma incorrecta, puede producirse una interrupción del servicio.
2. Violación de seguridad
Posibles impactos comerciales:
- Pérdida de datos
- Daño a la reputación
- Multas
- Honorarios legales
Los certificados utilizados para la firma digital permiten al propietario del certificado tener una prueba de la firma de un documento y la verificación de la identidad en el momento de la firma digital. Si un certificado se expone y se ve comprometido, ya no se confía en él. En el sector financiero, por ejemplo, esto podría dar lugar a multas debido a la caducidad de los certificados y a que las funcionalidades no funcionen o no se ejecuten correctamente. Si hay una brecha de seguridad en un sitio de comercio electrónico, por ejemplo, los visitantes quedarán expuestos si introducen información de tarjetas de crédito, ya que no estará cifrada al transmitirse de vuelta al servidor del sitio de comercio electrónico.
Cómo los equipos de seguridad pueden abordar la gestión adecuada de los certificados digitales
En primer lugar y, sobre todo, la gestión adecuada de los certificados digitales se reduce a encontrar expertos con un historial probado en PKI y certificados digitales, y que hayan aprendido de los escollos y puntos débiles de las actividades de gestión.
Muchas empresas compran certificados a terceros, lo que puede resultar muy costoso. Otras intentan gestionar los certificados digitales internamente en un esfuerzo por ahorrar dinero; sin embargo, proteger y gobernar las autoridades de certificación implica una miríada de decisiones de seguridad que son posiblemente más importantes que la emisión de certificados en su conjunto, y puede ser considerablemente difícil encontrar recursos internos con la experiencia adecuada para hacerlo.
La gestión adecuada de los certificados se reduce a utilizar una solución de software de gestión de certificados digitales y abandonar el hábito de usar una hoja de cálculo. Mantener la infraestructura en buen estado también es fundamental, y el Software también ayuda en ello. Hay muchas piezas esenciales para la gestión de certificados digitales, no solo desde la perspectiva del Software, sino también en relación con el mantenimiento de una PKI robusta para tener el nivel de garantía de que no se verá comprometido.
Algunos consejos:
- Sepa cuántos certificados va a gestionar; conozca su número.
- Si tiene un número extremadamente elevado de certificados, reconozca que hay formas de eliminar el componente humano de la ecuación.
- Automatización
- Flujo de trabajo
- Involucrar a un tercero para llevar a cabo la gestión de la infraestructura
- Determine si existe un coste por certificado al evaluar el Software.
- Si ejecuta la gestión de certificados internamente, pregúntese si se siente realmente cómodo y seguro en cómo ha configurado su política de seguridad en torno a la emisión de certificados.
- ¿Sabe qué nivel de garantía necesita?
- ¿Están definidos correctamente los ciclos de vida de sus certificados?
- ¿Está exponiendo su negocio a vulnerabilidades?
- Defina los sistemas y activos críticos para el negocio.
- ¿Hay lugares en su organización en los que no ha pensado que pueda proteger utilizando certificados digitales?
La ventaja de trabajar con un tercero para la gestión de certificados digitales es tener acceso completo a las mejores prácticas del sector para tratar con una infraestructura compleja, así como el conocimiento y la sensibilidad de las políticas para garantizar que su PKI no se vea comprometida. Si no está seguro de contar con los especialistas internos adecuados, no intente gestionar los certificados digitales internamente.
Tanto si decide gestionar los certificados internamente como si trabaja con un proveedor de confianza, debe hacerse correctamente. Tome la mejor decisión para su negocio en función de los recursos de que disponga.
