Este blog recoge las reflexiones de Chris Hickman, Director de Seguridad de Keyfactor, sobre el Informe 2020 Keyfactor-Ponemon Institute: El impacto de las identidades digitales inseguras. Haga clic aquí para descargar y acceder al informe completo.
En los dos últimos blogs de esta serie, hemos hablado de los retos que plantea la implantación de una infraestructura de clave pública (PKI) y de los obstáculos con los que se encuentran las organizaciones a medida que amplían sus operaciones de PKI para satisfacer las crecientes demandas y casos de uso empresariales. En realidad, estos retos se reducen normalmente a un problema central: una brecha de conocimientos entre el equipo de infoseguridad y los líderes empresariales.
Aunque las claves criptográficas y los certificados x.509 pueden ser familiares para el "chico de PKI" o el equipo de seguridad, los líderes empresariales no técnicos simplemente no entienden la importancia de la criptografía, hasta que es demasiado tarde. Cuando la PKI y la gestión de certificados digitales se consideran sólo una cuestión de TI, en lugar de una herramienta estratégica de negocio, las organizaciones siguen sufriendo costosas interrupciones e incidentes de seguridad.
Los cortes son sólo el principio
En el informe Keyfactor-Ponemon sobre el impacto de las identidades digitales inseguras, publicado recientemente, el 87% de los encuestados afirmó que su organización había sufrido al menos un corte relacionado con certificados en los últimos dos años, mientras que el 55% admitió haber sufrido cuatro o más de estos incidentes.
No faltan casos en los que la caducidad de un solo certificado ha derribado redes, interrumpido servicios o dejado a las organizaciones ciegas ante los ataques. Un ejemplo: un certificado caducado inutilizó un sistema de supervisión de Equifax, lo que permitió a los atacantes filtrar datos sin ser detectados durante más de dos meses. Más recientemente, Microsoft Teams dejó de funcionar durante casi tres horas después de que Microsoft olvidara renovar un certificado de autenticación.
Estos incidentes no sólo interrumpen las operaciones cotidianas, sino que también socavan la confianza en los productos y servicios, y provocan importantes tiempos de inactividad y pérdida de productividad tanto para los usuarios de la empresa como para los equipos de seguridad, que tratan de identificar y solucionar el problema. Gartner calcula que el coste medio del tiempo de inactividad de la red es de unos 300.000 dólares por hora, lo que equivale a 5.600 dólares por minuto.
Los grandes problemas están bajo la superficie
Y eso sólo es romper la superficie. Es posible que haya oído que el 90% de un iceberg se encuentra por debajo de la línea de flotación. Cuando se trata de PKI, las interrupciones reciben la mayor parte de la atención, ya que tienen el impacto más visible en el negocio, pero la mayoría de los problemas se encuentran en algún lugar debajo de la superficie.
Según el informe Ponemon, los profesionales de TI y seguridad afirman que su organización se enfrenta a problemas relacionados con el uso indebido de claves y certificados, autoridades de certificación (CA) comprometidas o fraudulentas y fallos de auditoría con mucha más frecuencia que a interrupciones imprevistas. No sólo eso, sino que también clasificaron la gravedad de todos estos incidentes por encima del riesgo de interrupciones causadas por certificados caducados.
Pero si las claves y certificados digitales mal gestionados suponen una amenaza tan importante, ¿por qué no va a ser una prioridad empresarial? En muchos casos, los responsables de TI y seguridad simplemente no son conscientes de la frecuencia y el impacto financiero de estos incidentes. Mientras tanto, los equipos de InfoSec a menudo luchan por cambiar la percepción sobre PKI y criptografía de conceptos excesivamente técnicos a infraestructura crítica para el negocio.
Por qué PKI no suele ser una prioridad empresarial
En el informe de este año, presentamos el Critical Trust Index™, una serie de métricas que miden la capacidad de las empresas para gestionar el rápido crecimiento de claves y certificados digitales en su negocio. Utilizando una escala de diez puntos, los encuestados respondieron a dieciséis preguntas relacionadas con el estado de sus operaciones de gestión de PKI y certificados digitales, indicando su capacidad de baja (0) a alta (10).
Como se muestra en la Figura 1, lo que encontramos fue una gran diferencia entre las respuestas de los ejecutivos y las del personal directamente implicado en la gestión de PKI y los certificados digitales.
| Papel del demandado | Índice de confianza crítica |
| Ejecutivo/VP | 6.15 |
| Director | 5.52 |
| Director | 4.66 |
| Supervisor | 4.26 |
| Personal/Técnico | 3.67 |
Sin embargo, esta desconexión no debería sorprendernos. Según Gartner, "los responsables de seguridad y gestión de riesgos a menudo desconocen el alcance o el estado de su despliegue de X.509. A medida que el alcance de los certificados se amplía a dispositivos, contenedores y , necesitarán utilizar la gestión automatizada de certificados para evitar interrupciones del sistema y ganar en eficiencia operativa". A medida que el ámbito de los certificados se amplíe a dispositivos, contenedores y IoT, tendrán que utilizar la gestión automatizada de certificados para evitar interrupciones del sistema y ganar eficiencia operativa."
A pesar de las herramientas que pueden automatizar el descubrimiento y la gestión de certificados, la mayoría sigue abordando el problema con una hoja de cálculo. Pero los equipos de PKI y seguridad se enfrentan ahora a un panorama de certificados expansivo, complejo y de múltiples proveedores que hace inviables los métodos de gestión manual. Sin visibilidad y control centralizados, más certificados crean más problemas.
Argumentos a favor de la gestión de certificados digitales
Los equipos responsables de las operaciones de PKI deben crear un argumento empresarial convincente, no sólo en torno a la mitigación del riesgo y el impacto de los incidentes relacionados con los certificados, sino también sobre cómo permitir la adopción de nuevas tecnologías al tiempo que se mantiene la seguridad de la empresa con una tecnología probada y escalable.
Este cambio de reactivo (evitar interrupciones) a proactivo (impulsar la innovación segura) garantiza que la PKI y la gestión de certificados se consideren un activo empresarial estratégico, no sólo un problema de TI.
Tómese cinco minutos para calcular su puntuación en el Índice de Confianza Crítica e identifique las mayores carencias de su organización. Comparta los resultados con su equipo, vea cómo se compara con sus homólogos y obtenga recomendaciones personalizadas para crear un caso empresarial convincente para la automatización del ciclo de vida de los certificados.
