Si usted no vigila su ICP... ¿quién lo hace?
Aunque el título suene siniestro, este blog se centrará en las partes que deberían tener los ojos puestos en su infraestructura de clave pública (PKI), más que en los "malos actores" que no deberían. Sin embargo, estos últimos no son menos importantes, y podrían ser fácilmente el tema de un futuro blog.
Figura 1: Entradas y salidas de la PKI empresarial
De acuerdo con el diagrama lógico mostrado anteriormente, las áreas empresariales y técnicas comunes suelen incluir:
- Seguridad empresarial: A menudo junto con organizaciones de control y auditoría corporativas, responsables de la definición de políticas y de la capacidad de auditar en función de ellas.
- Seguridad informática: Los equipos de seguridad informática suelen encargarse de la emisión y gestión de certificados digitales, así como del soporte operativo de la propia PKI.
- Ingeniería de sistemas: Los sistemas dedicados a la PKI casi siempre están sujetos a las mismas actividades de administración de la seguridad local, parcheado del sistema operativo y ventana de mantenimiento que el resto de sistemas de la empresa. Este es uno de los factores clave de la necesidad de modelos de seguridad y auditoría bien definidos y bien implementados dentro de la PKI.
Entre los puntos débiles comunes de la PKI se encuentran las condiciones adversas que se acumulan con el tiempo, como la mala configuración general, la degradación del modelo de seguridad, el incumplimiento y las vulnerabilidades de seguridad. Muy a menudo, estas condiciones son atribuibles a una falta de visibilidad y de supervisión adecuada por las partes apropiadas. Estas condiciones pueden producir, y a menudo producen, costosas interrupciones en la empresa. Entonces, ¿quién debe vigilar qué? A continuación se exponen algunos ejemplos prácticos.
- Plataformas como los servidores web de la intranet y los sistemas de control de acceso a la red necesitan una visibilidad constante de los estados de los certificados para seguir funcionando. Por ejemplo, un certificado de autenticación de servidor RADIUS no vigilado podría caducar y desactivar la autenticación de toda la infraestructura WiFi de una empresa. La plataforma de gestión automatizada de certificados digitales y operaciones PKI de Certified Security Solutions, CMS Enterprise, le permite configurar colecciones de certificados y adjuntar metadatos para alertar a sus equipos de plataforma sobre caducidades inminentes, de modo que puedan tomar medidas para evitar pérdidas significativas de productividad y/o ingresos.
- A la luz de los numerosos requisitos de cumplimiento normativo, como PCI, Sarbanes-Oxley y Gramm-Leach-Bliley, los departamentos de control y auditoría de las empresas, así como los organismos de auditoría independientes, confían cada vez más en los datos de los informes sobre la postura de seguridad, que abarcan desde la seguridad física hasta la política de contraseñas y los puntos fuertes de los algoritmos de firma de certificados. Por ejemplo, el CMS se utiliza con frecuencia para proporcionar visibilidad de los certificados SHA1 activos en los entornos informáticos de las empresas.
Figura 2: Informe mensual de la CMS sobre la fuerza de los algoritmos
Este blog ha cubierto sólo unos pocos ejemplos de requisitos de visibilidad en relación con la PKI de su empresa. CSS puede trabajar con usted en una solución automatizada de gestión de certificados y PKI, CMS Enterprise, o en un servicio gestionado de PKI a gran escala, CMS Sapphire, para garantizar que los equipos adecuados de su empresa tengan acceso a los datos correctos.
