Este artículo fue publicado originalmente por Forbes como parte del Forbes Technology Council, una comunidad exclusiva por invitación para CIOs, CTOs y ejecutivos de tecnología de clase mundial.
La confianza cero es un reconocimiento de que los controles de red heredados, como los firewalls y las VPN, no son suficientes para proteger la empresa. Esto se ha vuelto cada vez más cierto debido a la transformación digital, la computación en la nube y las tendencias de DevOps.
El marco se basa en la noción de «nunca confiar, siempre verificar» y considera la confianza como una vulnerabilidad. Esto ha dejado a la identidad como una de las únicas herramientas restantes para controlar el acceso a servicios, aplicaciones y otras operaciones críticas para el negocio.
La identidad es clave para asegurar la creciente huella digital de las empresas actuales. Esto ha resultado en la búsqueda de estrategias de confianza cero y un mayor uso de infraestructuras de clave pública (PKI) y certificados digitales. Pero en el camino, un componente crítico de una empresa segura se ha descontrolado. Las identidades de máquinas, que están creciendo exponencialmente y pueden ser igualmente vulnerables a un compromiso, no están recibiendo la atención proactiva necesaria para garantizar operaciones seguras.
El reciente crecimiento de las identidades de máquinas también puede generar vulnerabilidades. Un informe de CyberArk reveló que las identidades de máquinas superan a las humanas en una proporción de 45 a 1, y que el 68% de las identidades no humanas tienen acceso a datos y activos sensibles.
Las organizaciones deben adoptar un enfoque integral de identidad para proteger a los humanos y a las máquinas. Considerar un uso eficiente de la PKI puede ayudar a obtener un mejor control de las identidades en sus redes.
El crecimiento de las identidades de máquinas ha superado a las protecciones
Los negocios se desarrollan en un mundo basado en la nube y orientado a los servicios. Las empresas están dejando atrás la infraestructura heredada y las operaciones locales. En su lugar, están impulsando arquitecturas de nube ágiles, escalables y responsivas que han trasladado las transacciones a la nube y al edge.
Pero las superficies de ataque de las organizaciones también se están expandiendo, y los actores de amenazas lo han notado, centrándose en ataques basados en credenciales que comprometen las identidades de los usuarios como vía de acceso a las redes. Las estrategias de confianza cero (Zero Trust) centradas en la validación continua de identidades son baluartes contra esos ataques, pero la mayoría de las implementaciones no son lo suficientemente completas.
Una encuesta reciente realizada por mi empresa, Keyfactor, y el Ponemon Institute, subraya los desafíos que han surgido en la vertiginosa carrera hacia la transformación digital, particularmente en lo que respecta a las identidades de máquinas.
Los encuestados tienen PKI implementada, pero muchos afirmaron tener dificultades con la visibilidad completa de los certificados. Más de la mitad dijo no saber cuántas claves y certificados estaban en uso en sus organizaciones. La falta de control sobre los certificados ha tenido consecuencias significativas: el 81% de los encuestados afirmó haber experimentado dos o más interrupciones disruptivas causadas por certificados caducados en los dos años anteriores, lo que representa un aumento del 77% con respecto al informe del año pasado. A los encuestados les toma, en promedio, tres horas responder a una interrupción relacionada con certificados, aunque el 39% dijo que les toma cuatro horas o más.
Los ciclos de vida más cortos de los certificados (que se han reducido de cinco años hace una década a 398 días) también han hecho que la emisión y gestión de certificados sea más desafiante. Las organizaciones pudieron haber tenido una actitud de 'configurar y olvidar' hacia la criptografía —algunas PKI de hace 15 años todavía están en uso—, pero el entorno actual exige atención a un ciclo de actualización más rápido.
El cambio a la nube, el crecimiento de la fuerza laboral remota y el énfasis en las estrategias de seguridad de confianza cero han generado un mayor uso de PKI, claves y certificados digitales. Pero la proliferación de identidades de máquinas aún debe abordarse. Para obtener control, las organizaciones necesitan comprender los fundamentos de una gestión adecuada de PKI y certificados.
Los pasos para asegurar las identidades de máquinas
La PKI proporciona una columna vertebral de identidad que puede garantizar una conexión segura entre usuarios, dispositivos y aplicaciones para el cifrado, la autenticación y las firmas digitales, al proporcionar identidades digitales únicas mediante la emisión de certificados digitales.
Mantenerse al día con la explosión de identidades de máquinas requiere un enfoque integral compuesto por varias características importantes.
1. Una estrategia sólida
Las organizaciones necesitan una estrategia a nivel empresarial para gestionar la criptografía y las identidades de máquinas. A menudo, no existe un propietario común para una estrategia de criptografía en la empresa porque la PKI y las identidades de máquinas son utilizadas de forma tan generalizada por diferentes equipos en toda la organización. Los CISO y los líderes de seguridad necesitan una orquestación fluida entre las unidades de negocio para garantizar que los sistemas estén protegidos y que los empleados puedan trabajar de manera eficiente sin introducir vulnerabilidades.
Una metodología estándar de extremo a extremo incluye esfuerzos que definen políticas y responsabilidades, desarrollan un inventario criptográfico, identifican y remedian vulnerabilidades, monitorean y auditan continuamente, y automatizan el ciclo de vida de manera ágil.
2. Ser criptoágil
Las empresas deben centrarse en la criptoagilidad, que es la capacidad de adaptarse rápidamente a eventos criptográficos de impacto, como el compromiso de una autoridad de certificación o un nuevo ataque que debilite un algoritmo criptográfico.
Mediante la criptoagilidad, las empresas pueden ejecutar un enfoque proactivo para asegurar las identidades y responder a las brechas o incidentes a una velocidad óptima. De cara al futuro, a medida que más empresas modernicen su PKI y migren a la nube, podemos esperar que un número creciente se centre en la criptoagilidad en sus planes de respuesta a incidentes. Esto los preparará aún más para manejar las amenazas emergentes relacionadas con la identidad de hoy en día.
3. Un CCoE maduro
Un centro de excelencia criptográfico (CCoE) puede ofrecer liderazgo, definir la propiedad y proporcionar orientación sobre el uso de PKI e identidades de máquinas. Un CCoE no necesariamente posee y opera todas las herramientas para la gestión de PKI e identidades de máquinas, sino que sirve como centro de políticas, gobernanza y mejores prácticas.
Como parte de esto, los líderes empresariales deben considerar qué líderes de seguridad y no-TI deben participar. Los involucrados deben ser capaces de actuar como asesores y expertos en la materia, y de implementar las mejores prácticas en toda la empresa.
4. El conjunto de herramientas adecuado para la gestión de identidades
Es fundamental tomarse el tiempo para comprender las diferentes soluciones disponibles que ayudan a escalar y automatizar la gestión de identidades. Naturalmente, se necesitarán diferentes herramientas para elementos como la gestión de identidades frente a la gestión de certificados, pero cuantas más formas haya de consolidar estas necesidades y conjuntos de herramientas, mejor.
En resumen, existe una correlación entre la creciente huella digital en la empresa moderna actual y los desafíos de seguridad inherentes a la gestión y protección adecuadas de las identidades de máquinas. Pero con las herramientas y estrategias adecuadas implementadas, los líderes de seguridad pueden encontrar un camino a seguir.
