En nuestra tercera entrada del blog de la serie dedicada al estudio «Total Economic Impact» de Forrester —no te pierdas la primera entrada sobre cómo calcular el valor real en dólares de la PKI y la segunda sobre las 5 cifras que cambiarán tu forma de ver la PKI—, vamos a analizar los testimonios de nuestros clientes, que nos permiten conocer la historia más allá de las cifras.
1. Hacer más con el mismo equipo
La idea con la que viven la mayoría de los responsables de TI y seguridad es que cualquier tipo de crecimiento requiere más personal. Más certificados, más servidores y más identidades implican más ingenieros. Eso suele ser cierto, hasta que se empieza a trabajar de forma más eficiente.
«Aunque nuestro uso de certificados se ha multiplicado por más de diez desde que adoptamos Keyfactor, nuestro equipo se ha mantenido prácticamente igual. De hecho, somos más reducidos que cuando empezamos».
— Jefe de proyecto, Seguridad de la información, Comercio minorista
Un aumento de diez veces en el volumen de certificados, pero con el mismo equipo, no es solo una mejora incremental de la eficiencia; es un cambio fundamental en la forma de gestionar los certificados. Cuando la creación, la renovación y la implementación se automatizan, el crecimiento deja de ser un problema de personal. La organización en cuestión cuenta ahora con menos de cinco recursos internos dedicados a tareas relacionadas con los certificados, menos que antes Keyfactor, a pesar de gestionar un número de certificados diez veces mayor.
Para los responsables de seguridad que se ven presionados a hacer más sin aumentar la plantilla, estos son los cálculos que cambian el panorama.
2. Infraestructuras: el coste oculto del que nadie hablaba
Es difícil darse cuenta del coste que se ha ido acumulando silenciosamente durante años: servidores que necesitan parches, cortafuegos que requieren mantenimiento, administradores de sistemas cuyos calendarios están repletos de tareas que no aportan ningún valor estratégico.
«Con Keyfactor, solo necesitamos una pequeña parte de la infraestructura que necesitábamos antes».
— Jefe de proyecto, Seguridad de la información, Comercio minorista
Esta empresa de telecomunicaciones había ido creando, a lo largo de muchos años, una infraestructura PKI compuesta por más de 70 servidores de certificación, como consecuencia directa de la acumulación de certificados privados gestionados de forma independiente, sin una plataforma unificada que los consolidara. El coste no se limitaba al hardware, sino que abarcaba también al personal encargado de su gestión, las actualizaciones y el mantenimiento continuos, así como la creciente carga operativa que suponía un entorno PKI en constante expansión y con una visibilidad limitada.
El cambio a la PKI basada en SaaS Keyfactorno solo redujo los costes de infraestructura, sino que eliminó toda una categoría de cargas operativas. El estudio de Forrester reveló que las organizaciones pueden reducir los costes de infraestructura de PKI entre un 65 % y un 95 % en un plazo de tres años, lo que supone un ahorro en valor actual de más de 1,4 millones de dólares.
3. Prevención de cortes de suministro imprevistos
Las interrupciones del servicio debidas a la caducidad de certificados son el tipo de incidente que, visto en retrospectiva, parece totalmente evitable, pero que, sin embargo, se producen constantemente en las organizaciones que carecen de una visibilidad centralizada. Las consecuencias van desde pequeñas interrupciones internas hasta cortes en el servicio que afectan a los clientes y que pueden suponer pérdidas de cientos de miles de dólares por hora.
«Con Keyfactor, solo hemos tenido un pequeño incidente [de interrupción del servicio] en cinco años».
— Jefe de proyecto, Seguridad de la información, Comercio minorista
Sin un sistema de seguimiento a nivel de toda la organización, sin un proceso de renovación estandarizado y sin un sistema de alerta temprana, las interrupciones del servicio eran una cuestión de cuándo se producirían, no de si se producirían.
Esto cambió gracias a la visibilidad centralizada y a las renovaciones automatizadas. El estudio de Forrester estimó una reducción del 95 % en los incidentes relacionados con los certificados para el tercer año en una organización media. Tomando como referencia un coste medio de 100 000 dólares por cada incidente evitado, el resultado fue un valor actual de más de 3,6 millones de dólares solo por la reducción de incidentes. La conclusión es clara: las interrupciones del servicio no tienen por qué ser inevitables, y el ahorro es inmediato.
4. Tu mejor personal no debería dedicarse a la administración de sistemas
La gestión manual de certificados conlleva un coste oculto en términos de recursos humanos que rara vez se refleja en las partidas presupuestarias. Los ingenieros con los conocimientos técnicos necesarios para automatizar el futuro dedican sus días a tareas operativas manuales que ya deberían pertenecer al pasado.
«Teníamos muchos ingenieros que se dedicaban exclusivamente a gestionar el ciclo de vida de los certificados y no hacían nada más. Ahora, esos ingenieros se centran en la seguridad y el cumplimiento normativo, y colaboran con nuestros socios comerciales para automatizar de verdad el ciclo de vida de los certificados».
— Vicepresidente sénior, director de Seguridad e Infraestructura de Redes, Banca
Antes de Keyfactor, la gestión, renovación y despliegue de certificados en este banco se llevaban a cabo a nivel de los equipos de aplicaciones, lo que suponía una fragmentación entre numerosos equipos y casi 100 personas. El vicepresidente ejecutivo lo describió sin rodeos: la gestión de certificados no aportaba valor al negocio. Más bien lo consumía.
Keyfactor solo ahorró horas de trabajo, sino que las reasignó. Los ingenieros que antes desempeñaban funciones de administradores de sistemas con un título más pomposo se dedican ahora a tareas de integración estratégica. Forrester cuantificó esta reasignación de recursos en las áreas de aprovisionamiento, renovación e implementación en un ahorro total de mano de obra de más de 7,5 millones de dólares (valor actual) para la organización tipo a lo largo de tres años. Además, ahora su mejor personal especializado en seguridad se dedica por fin a la seguridad.
5. El reloj ya está en marcha para la era poscuántica
Las organizaciones que gestionan actualmente los parques de certificados no solo se están preparando para el panorama actual de amenazas. También se enfrentan a los requisitos de cumplimiento normativo del futuro: períodos de validez más cortos para los certificados, algoritmos resistentes a la computación cuántica y un escrutinio regulatorio cada vez más estricto. La cuestión no es si estos cambios se producirán, sino si su infraestructura estará preparada cuando lleguen.
Keyfactor uno de los principales impulsores de la compatibilidad con algoritmos poscuánticos. Además, están atentos a las tendencias del sector en lo que respecta a la reducción de la vigencia de los certificados y están desarrollando sistemas para facilitar la agilidad criptográfica en este ecosistema. La implicación constante Keyfactoren el sector me hace confiar en que, para 2029, cuando el sector haya alcanzado ambos objetivos, estaremos a la vanguardia de las tendencias del sector y no nos quedaremos atrás».
— Ingeniero jefe de seguridad, Software
Para 2029, TLS públicos deberán renovarse cada 47 días. Las normas de criptografía poscuántica están pasando de ser meras recomendaciones a convertirse en obligaciones. Para las organizaciones que aún gestionan los certificados de forma manual, o mediante herramientas fragmentadas y utilizadas por equipos de forma aislada, la carga operativa que supondrán estos cambios será enorme.
Para las organizaciones que ya utilizan Keyfactor, se trata de una cuestión de configuración, no de una crisis. Esa es la diferencia entre una plataforma y una herramienta: una se adapta al sector, mientras que la otra te obliga a adaptarte a ella.
En resumen
Cinco clientes, de cinco sectores distintos, con cinco problemas totalmente diferentes: sobrecarga de la infraestructura, frecuencia de las interrupciones del servicio, mala distribución del personal, escalabilidad y preparación para el futuro. Pero una sola plataforma les dio respuesta a todos ellos.
El estudio TEI de Forrester reveló que una organización media obtiene unos beneficios de 12,7 millones de dólares en tres años, frente a unos costes de 2,8 millones, lo que supone un retorno de la inversión del 356 % y una amortización en menos de seis meses. Sin embargo, las cifras anteriores reflejan algo que el modelo financiero no puede expresar del todo: la sensación que se tiene cuando los problemas operativos crónicos se convierten en oportunidades de negocio.
Para conocer todos los resultados, lea el estudio completo «Total Economic Impact™» de Forrester encargado por Keyfactor.
