![[Recapitulación del seminario web] La necesidad de una gestión integral de la criptografía](https://www.keyfactor.com/wp-content/uploads/EndtoEnd-Methodology.png)
Tuve la maravillosa oportunidad de participar en un seminario web la semana pasada con mi amigo y colega Ted Shorter de Keyfactor. El tema de la sesión fue la necesidad de una gestión del ciclo de vida de la criptografía de extremo a extremo en la empresa - y la discusión dejó una clara impresión en mí. Me gustaría explicar por qué.
Se me ocurrió que nuestros muchos proyectos de consultoría de seguridad en TAG Cyber rara vez están motivados por clientes empresariales que expresan la necesidad de mejorar la gestión de claves, certificados e infraestructura criptográfica relacionada. Nuestros proyectos siempre parecen derivarse de problemas relacionados con SIEM, SOC, IAM, UBA y otras herramientas de seguridad empresarial.
Pero casi siempre, una vez que el compromiso de consultoría de seguridad avanza, descubrimos que los equipos tienen prácticas de ciclo de vida particularmente malas, o incluso inexistentes, para su criptografía. A menudo esto se explica como un artefacto de la participación de múltiples equipos, incluidos los equipos de red, los desarrolladores y la organización de seguridad.
Lo que recomendamos en estos casos, y lo que Ted y yo reforzamos durante nuestra sesión, es que una metodología integral viable no sólo es posible, sino que puede ser más fácil de aplicar de lo que cabría esperar. Y sí, no dudo en admitir que Keyfactor puede y quiere ayudar en este sentido. He aquí los elementos del proceso integral.
Pasos clave a tener en cuenta
Todo comienza en el primer paso con la definición de políticas y responsabilidades. Esta determinación establece una base de actividad coordinada y es especialmente útil en las grandes organizaciones que cuentan con un control y un soporte distribuidos para las claves y los certificados. Esto está bien, pero debe orquestarse cuidadosamente.
El segundo paso consiste en elaborar un buen inventario de todas las tecnologías, procesos y aplicaciones criptográficas. Esto se hace mejor utilizando la tecnología cuando es posible, pero a menudo puede requerir que los equipos compartan información como parte de una iniciativa de descubrimiento organizativo. La gestión del inventario, como es de esperar, es un proceso continuo.
El tercer paso implica el duro trabajo de identificar y corregir todas las vulnerabilidades que se encuentren en la infraestructura criptográfica, incluidos todos los sistemas y aplicaciones. Durante nuestro seminario web, Ted defendió con acierto que este es el núcleo del proceso integral y el que requiere más tiempo y atención para hacerlo bien.
El cuarto paso es continuo y permanente, y consiste en supervisar y auditar todos los procesos criptográficos. El mantenimiento y soporte de la infraestructura relacionada con claves y certificados son tareas esenciales que ayudan a garantizar tanto el cumplimiento como la seguridad de cualquier sistema que dependa de la criptografía. Tal vez sea más preciso decir que esta fase es concurrente con las demás.
Por último, la metodología integral hace hincapié en la automatización del ciclo de vida, en consonancia con los principios básicos de la agilidad. Para tareas rutinarias como garantizar la no caducidad de los certificados, el soporte automatizado proporciona la cobertura esencial que ayuda a los equipos de criptografía a dormir por la noche. La automatización ha pasado de ser una comodidad opcional a un requisito esencial.
Si quieres saber más, consulta el libro electrónico en el que he trabajado con Ted y el equipo de Keyfactor. En él se exponen los componentes esenciales de la metodología integral que proponemos, y se incluyen ejemplos que te ayudarán a aplicar el proceso a tu propia situación. Después de leer el eBook, le ruego me comunique su opinión. Estaré encantado de conocer su opinión.
