Las comprobaciones de estado son fundamentales para mantener las infraestructuras de clave pública (PKI) y una postura de seguridad general sólida, pero con demasiada frecuencia se pasan por alto.
La Infraestructura de Clave Pública (PKI) no es un escenario de "configurar y olvidar".
Los expertos en seguridad saben que una PKI sólida es un aspecto fundamental de los programas de ciberseguridad. Muchas organizaciones de seguridad tienden a destinar una gran cantidad de recursos a la planificación y la implementación, pero descuidan su cuidado y alimentación, lo que es tan perjudicial como configurar incorrectamente una PKI.
La infraestructura de clave pública no es una herramienta de seguridad del tipo "instalar y olvidar". Puede ser tentador dejarla sola una vez que está en funcionamiento, pero es un grave error: la supervisión y gestión continuas son fundamentales para garantizar los niveles más altos posibles de seguridad.
Más allá de conseguir que la PKI de una empresa funcione de forma estable, es fundamental verificar que todos sus componentes funcionan correctamente. Cuando una PKI se convierte en parte de una infraestructura corporativa y ya no hay un equipo de proyecto, es fundamental asegurarse de que se cuida y se alimenta; de lo contrario, hay muchos puntos de tropiezo peligrosos para los equipos de seguridad que se centraron simplemente en implementar la PKI, pero no en sus operaciones en curso. De ahí la importancia de realizar comprobaciones periódicas de la salud de la PKI.
¿Cuándo debe realizar una comprobación de la salud de la PKI?
Si su(s) CA(s) no ha(n) sido revisada(s) en más de un año (o en absoluto), es un buen indicio de que a su empresa le toca hacerlo. La mayoría de las políticas de certificados (PC) estipulan que el cumplimiento de una CA debe verificarse mediante auditorías periódicas, no más de un año (dos como máximo).
¿En qué consiste un chequeo de la PKI?
En primer lugar, determine si puede realizar internamente la comprobación de la salud de su PKI. Necesitará personal experto con los conocimientos específicos de PKI necesarios para mantener una PKI de forma continuada. Como recomienda Microsoft, su equipo de seguridad necesitará especialistas con capacidad para:
- Emitir y revocar certificados.
- Realizar tareas de administración de servidores: hardware, aplicación de parches y copias de seguridad.
- Publicar listas de revocación de certificados y gestionar la propia CA.
Por desgracia, el campo de expertos con conocimientos adecuados para mantener la salud de una PKI es limitado. Si aún no dispone de expertos internos en PKI, puede plantearse solicitar ayuda a un socio de ciberseguridad.
Tanto si decide realizar la comprobación de la salud de su PKI internamente como a través de un socio, el proceso debe incluir una revisión completa de la arquitectura y el modelo de seguridad de su PKI. Cada uno de los siguientes pasos es fundamental para determinar el nivel de salud y los posibles problemas de su infraestructura:
- Revisión completa de la implantación inicial de la PKI
- Evaluación de la escalabilidad de la PKI existente frente a las necesidades futuras de las unidades de negocio
- Recomendaciones para un diseño y una metodología adecuados
- Aplicación adecuada de los cambios necesarios, lo que permite una autenticación fiable y segura.
No pase por alto ningún aspecto de su PKI:
- Arquitectura
- Configuración del sistema
- Modelo de seguridad
- Revisión de la política
- Modelos de inscripción
- Revocación
- Auditoría
- Recuperación en caso de catástrofe y continuidad de la actividad
- Recomendaciones del Estado actual
- Recomendaciones para el futuro
¿En qué beneficia a las empresas un chequeo médico?
Además de garantizar una postura de seguridad organizativa general sólida, las comprobaciones de estado de PKI revisan su infraestructura para detectar muchos signos de eficacia. En última instancia, esto permite a su equipo de seguridad confiar en una alta disponibilidad y tolerancia a fallos continuas, así como en la agilidad a medida que el negocio se expande. Además, las comprobaciones de estado realizadas correctamente verificarán la seguridad de las políticas de emisión y revocación de certificados y la solidez de los procesos criptográficos.
- Riesgo reducido
- Coste reducido
- Mayor tiempo de actividad
- Conformidad
- Reducción de los vectores de ataque
- Ciclos operativos predecibles
Nivel de garantía satisfactorio desde el primer día
El objetivo de una PKI bien gestionada es mantener la seguridad desde la implementación hasta el final natural de la infraestructura, con sus componentes funcionando de una manera coherente que permita la presentación de informes adecuados, el cumplimiento y las normas de auditoría en cada coyuntura. Las comprobaciones periódicas de la salud de la PKI son un componente crítico para lograr este objetivo.
CSS puede ayudarle a determinar si su empresa debe someterse a una revisión de la salud de su PKI y a ejecutar con éxito las operaciones regulares. Garantizar que su organización está capacitada para gestionar una PKI segura y saludable es nuestra misión.
Si su equipo de seguridad está interesado en saber más sobre las comprobaciones de la salud de la PKI, o en explorar la posibilidad de trabajar con CSS para revisar su PKI, nuestros expertos están aquí para responder a sus preguntas. Póngase en contacto con nosotros para hablar de sus necesidades de PKI.
