Este artículo fue publicado originalmente por Forbes como parte del Forbes Technology Council, una comunidad a la que sólo se puede acceder por invitación y que reúne a CIO, CTO y ejecutivos de tecnología de primer nivel.
La confianza cero es un reconocimiento de que los controles de red heredados, como cortafuegos y VPN, no son suficientes para proteger la empresa. Esto es cada vez más cierto debido a las tendencias de transformación digital, computación en la nube y DevOps.
El marco se basa en la noción de "nunca confíes, siempre verifica" y considera la confianza como una vulnerabilidad. Esto ha dejado la identidad como una de las únicas herramientas que quedan para controlar el acceso a servicios, aplicaciones y otras operaciones críticas para la empresa.
La identidad es clave para proteger la huella digital en rápido crecimiento de las empresas actuales. Esto ha dado lugar a la búsqueda de estrategias de confianza cero y a un mayor uso de infraestructuras de clave pública (PKI) y certificados digitales. Pero por el camino, un componente crítico de una empresa segura se ha descontrolado. Las identidades de máquinas, que están creciendo exponencialmente y pueden ser igualmente vulnerables a los riesgos, no están recibiendo la atención proactiva necesaria para garantizar la seguridad de las operaciones.
El reciente crecimiento de las identidades automáticas también puede crear puntos débiles. Un informe de CyberArk reveló que las identidades automáticas superan en número a las humanas por 45 a 1 y que el 68% de las identidades no humanas tienen acceso a datos y activos sensibles.
Las organizaciones necesitan adoptar un enfoque integral de la identidad para proteger a las personas y las máquinas. Considerar un uso eficiente de PKI puede ayudar a obtener un mejor control de las identidades en sus redes.
El crecimiento de las identidades automáticas ha superado a las protecciones
Los negocios se desarrollan en un mundo basado en la nube y orientado a los servicios. Las empresas están dejando atrás la infraestructura heredada y las operaciones locales. En su lugar, apuestan por arquitecturas en la nube ágiles, escalables y con capacidad de respuesta que han trasladado las transacciones a la nube y fuera de ella.
Pero las superficies de ataque de las organizaciones también se están ampliando, y los actores de las amenazas se han dado cuenta, centrándose en ataques basados en credenciales que comprometen las identidades de los usuarios como vía de acceso a las redes. Las estrategias de confianza cero centradas en la validación continua de las identidades son baluartes contra esos ataques, pero la mayoría de las implementaciones no son lo suficientemente completas.
Un reciente estudio de mi empresa, Keyfactor, y el Ponemon Institute subraya los retos que han surgido en la precipitada carrera hacia la transformación digital, especialmente en lo que respecta a las identidades de las máquinas.
Los encuestados disponen de PKI, pero muchos afirman tener dificultades para tener una visibilidad completa de los certificados. Más de la mitad afirma no saber cuántas claves y certificados se utilizan en sus organizaciones. La falta de control sobre los certificados ha tenido consecuencias significativas, ya que el 81% de los encuestados afirma haber sufrido dos o más interrupciones causadas por certificados caducados en los dos años anteriores, lo que supone un aumento del 77% con respecto al informe del año pasado. Los encuestados tardan una media de tres horas en responder a una interrupción relacionada con un certificado, aunque el 39% afirma que tardan cuatro horas o más.
Los ciclos de vida más cortos de los certificados (que se han reducido de cinco años hace una década a 398 días) también han hecho más difícil su emisión y gestión. Es posible que en el pasado las organizaciones tuvieran una actitud de "todo listo y olvidado" hacia la criptografía -algunas ICP de hace 15 años siguen en uso-, pero el entorno actual exige prestar atención a un ciclo de actualización más rápido.
El paso a la nube, el crecimiento de la mano de obra remota y el énfasis en estrategias de seguridad de confianza cero han generado un mayor uso de PKI, claves y certificados digitales. Pero la proliferación de identidades de máquinas aún debe abordarse. Para obtener el control, las organizaciones necesitan comprender los fundamentos de una gestión adecuada de PKI y certificados.
Pasos para proteger las identidades de las máquinas
PKI proporciona una red troncal de identidad que puede garantizar una conexión segura entre usuarios, dispositivos y aplicaciones para el cifrado, la autenticación y las firmas digitales, proporcionando identidades digitales únicas mediante la emisión de certificados digitales.
Seguir el ritmo de la explosión de identidades de las máquinas requiere un enfoque global compuesto por varias características importantes.
1. Una estrategia sólida
Las organizaciones necesitan una estrategia a nivel de toda la empresa para gestionar la criptografía y las identidades de máquina. A menudo, no hay un propietario común para una estrategia de criptografía en la empresa porque PKI y las identidades de máquina son ampliamente utilizadas por diferentes equipos en toda la organización. Los CISOs y los líderes de seguridad necesitan una orquestación sin fisuras a través de las unidades de negocio para asegurarse de que los sistemas están protegidos y los empleados pueden trabajar eficientemente sin introducir vulnerabilidades.
Una metodología estándar de extremo a extremo incluye esfuerzos que definen políticas y responsabilidades, desarrollan un inventario criptográfico, identifican y corrigen vulnerabilidades, supervisan y auditan continuamente y automatizan el ciclo de vida de forma ágil.
2. Ser criptoágil
Las empresas deben centrarse en la criptoagilidad, que es la capacidad de adaptarse rápidamente a eventos criptográficos impactantes, como el compromiso de una autoridad de certificación o un nuevo ataque que debilite un algoritmo criptográfico.
A través de la criptoagilidad, las empresas pueden ejecutar un enfoque proactivo para asegurar las identidades y pueden responder a las brechas o incidentes a una velocidad óptima. De cara al futuro, a medida que más empresas modernicen su PKI y migren a la nube, podemos esperar que un número cada vez mayor se centre en la criptoagilidad en sus planes de respuesta a incidentes. Esto las preparará aún más para hacer frente a las amenazas actuales relacionadas con la identidad.
3. Una CCoE madura
Un centro de excelencia criptográfica (CCoE) puede ofrecer liderazgo, definir la propiedad y proporcionar orientación sobre el uso de PKI e identidades de máquina. Un CCoE no necesariamente posee y opera todas las herramientas para la gestión de PKI e identidades de máquina, sino que sirve como centro de política, gobernanza y mejores prácticas.
Como parte de esto, los líderes empresariales deben pensar en qué líderes de seguridad y no informáticos deben participar. Los implicados deben ser capaces de actuar como asesores y expertos en la materia y transmitir las mejores prácticas a toda la empresa.
4. El conjunto de herramientas de gestión de identidades adecuado
Es fundamental dedicar tiempo a comprender las diferentes soluciones disponibles para ayudar a escalar y automatizar la gestión de identidades. Naturalmente, necesitará herramientas diferentes para elementos como la gestión de identidades frente a la gestión de certificados, pero cuantas más formas haya de consolidar estas necesidades y conjuntos de herramientas, mejor.
En definitiva, existe una correlación entre la creciente huella digital en la empresa moderna actual y los retos de seguridad inherentes a la correcta gestión y protección de las identidades de las máquinas. Pero con las herramientas y estrategias adecuadas, los responsables de seguridad pueden encontrar un camino a seguir.