"No confíes en nadie" -una frase que recuerda a Expediente X- es ahora un concepto familiar en el ámbito de la ciberseguridad.
A medida que aumenta la presión para proteger los sistemas y datos empresariales y los ataques se vuelven más sofisticados, los equipos de TI y seguridad de hoy en día no pueden permitirse confiar automáticamente en nada (ni en nadie) dentro o fuera de su red. Ni siquiera en los administradores de sistemas.
Cuando yo era una joven webmistress(sí, eso era un título), las cosas eran muy diferentes...
Estaba aprendiendo los entresijos del funcionamiento de nuestro nuevo sitio web cuando alguien mencionó la posibilidad de añadir una función de comercio electrónico. De repente, la seguridad de la información se convirtió en algo en lo que tenía que pensar.
Por supuesto, entonces no teníamos políticas de seguridad, así que simplemente fui a un sitio web, compré un certificado SSL y lo instalé en el servidor web. Si tenía tiempo, enviaba por correo electrónico el certificado y la contraseña a mi jefe como copia de seguridad, por si lo necesitábamos.
Con el tiempo, aprendí a solicitar certificados de confianza interna para usos aleatorios como la protección de transferencias de archivos (FTP) y comunicaciones internas (S/MIME). Simplemente me conectaba a Active Directory Certificate Services (ADCS) y solicitaba un certificado con los datos que me parecieran apropiados.
Una vez más, no existía ninguna política al respecto.
No cabe duda de que los tiempos han cambiado. Hoy en día, la mayoría de las organizaciones aplican políticas y prácticas de seguridad de TI estándar en todas las funciones de todas las líneas de negocio. Pero la capacidad de un administrador para solicitar de forma independiente un certificado directamente a una autoridad de certificación (CA) interna o externa no ha cambiado.
¿Administradores deshonestos o villanos?
Los administradores de sistemas y TI tienen acceso privilegiado y ejercen un inmenso poder sobre datos, dispositivos y aplicaciones. No se puede sobrevivir sin ellos, pero pocos incidentes pueden paralizar una organización como un administrador rebelde.
Pero no hay que equiparar a los administradores deshonestos con los villanos. En muchos casos, los agentes deshonestos tienen intenciones honestas (piense en James Bond), pero prefieren trabajar al margen de las políticas y prácticas organizativas que consideran demasiado restrictivas o lentas para su trabajo diario.
Por definición, pícaro significa "comportarse de forma no esperada o no normal, a menudo causando daños". Ese es el verdadero problema.
En realidad, la gran mayoría de los administradores quieren seguir las mejores políticas y prácticas, pero los pasos tradicionalmente lentos y manuales para crear una solicitud de firma de certificado (CSR) les llevan a optar por alternativas más rápidas y no conformes. Y para aquellos que siguen las políticas y procedimientos, la gente comete errores. El error humano siempre encontrará su lugar en los procesos manuales de TI.
Con cada error, el número de certificados no conformes acaba superando la capacidad de su equipo de infraestructura de clave pública (PKI) para seguir el ritmo. Entonces, sucede. Un auditor detecta varios certificados no conformes y exige una solución inmediata. Los equipos de PKI se ven obligados a ponerse en contacto con los administradores para encontrar, renovar y sustituir todos los certificados que no cumplen las directivas.
¿Se lo esperaba? Probablemente no. Pero, ¿debería ser una sorpresa? En absoluto.
Y lo que es más importante, los daños causados por estos incidentes son críticos. En una reciente entrada de blog, mi colega y Director de Seguridad de Keyfactor, Chris Hickman, analizaba el informeKeyfactor -Ponemon sobre "El impacto de las identidades digitales inseguras". Chris señala que las organizaciones experimentaron una media de cinco auditorías fallidas en los últimos 24 meses, con una pérdida económica media de más de 14 millones de dólares.
En sus palabras, "cuando no hay controles sobre cómo los administradores solicitan, renuevan e instalan certificados, es mucho más probable que infrinjan las políticas de TI, y rápidamente se hace imposible saber dónde se encuentra cada certificado, cómo se utilizan o quién es su propietario".
Encontrar el equilibrio: Automatización y control
El objetivo de los administradores de TI es asegurarse de que los sistemas y aplicaciones que gestionan cumplen los niveles de servicio definidos. En ese contexto, lo lógico es que también gestionen las claves y los certificados.
Al mismo tiempo, el equipo de PKI debe controlar en última instancia todas las claves y certificados de la empresa, y cómo se obtienen. Pero si no se establecen barandillas, no hay forma de aplicar políticas que eviten situaciones costosas (y francamente embarazosas) como las descritas en el informe.
Se trata de encontrar un equilibrio entre la necesidad de control del equipo de PKI y la necesidad de rapidez de los administradores. Proporcionar una estructura en torno a la emisión y el ciclo de vida de los certificados es la forma más sencilla de garantizar que el equipo de PKI tenga la visibilidad y el control necesarios para mantener la reclamación. Además, la automatización permite a los administradores de sistemas y TI evitar interrupciones sin perder un tiempo valioso.
Implantar la solución y los procesos adecuados para proteger y automatizar las identidades digitales ayudará a su organización a crear una cultura de confianza y a evitar el riesgo de administradores deshonestos, o simplemente faltos de tiempo.
Para más información, descargue el informe completo Keyfactor-Ponemon: