Este blog recoge las reflexiones de Chris Hickman, Director de Seguridad de Keyfactor, sobre el Informe 2020 Keyfactor-Ponemon Institute: El impacto de las identidades digitales inseguras. Haga clic aquí para descargar y acceder al informe completo.
La infraestructura de clave pública (PKI) es una de las herramientas más potentes de su pila informática. Las matemáticas son complicadas, pero el concepto básico es sencillo. La PKI le permite utilizar certificados digitales para proteger datos confidenciales, asegurar las comunicaciones de extremo a extremo y proporcionar una identidad digital única a los usuarios, dispositivos y aplicaciones de su empresa.
No hace mucho, PKI se consideraba una tecnología de nicho, una herramienta creada para un fin específico y que, en su mayor parte, funcionaba silenciosamente en segundo plano. Desde entonces, el alcance de la PKI se ha ampliado mucho más allá de los casos de uso tradicionales y se ha extendido a los dispositivos, la infraestructura en la nube, los contenedores y IoT.
Sin duda, el papel de la PKI ha cambiado, pero los retos que implica su implantación y gestión siguen siendo relativamente los mismos. A pesar de su papel fundamental, las implantaciones internas de PKI a menudo crean más retos (y costes) de los que resuelven. Esto hace que la mayoría de las organizaciones miren por el retrovisor en lugar de aprovechar todo el potencial de su implantación de PKI.
Retos fundamentales en las operaciones de PKI
En el recientemente publicado Informe 2020 Keyfactor-Ponemon Institute: The Impact of Unsecured Digital Identities, las respuestas a la encuesta de 603 profesionales de TI y seguridad revelaron algunos de los problemas fundamentales en la gestión de PKI. Desglosemos algunos de los principales retos y cómo pueden afectar a su organización.
Competencias y recursos insuficientes
Si ha trabajado en el sector tecnológico durante algún tiempo, no es ningún secreto que hay una grave escasez de mano de obra en ciberseguridad. A medida que aumenta el número de infraestructuras críticas conectadas a Internet, se reduce el número de personas cualificadas que comprenden la acuciante necesidad de la ciberseguridad.
PKI no es como cualquier otra tecnología de su pila de TI: requiere conocimientos y habilidades altamente especializados para ejecutarla con eficacia. Ese conjunto de habilidades no solo es escaso, sino que también es difícil de retener.
Según el informe, sólo el 38% de los encuestados afirma que su organización cuenta con suficiente personal dedicado a la implantación de su PKI.
Con demasiada frecuencia, esto conduce a situaciones en las que la PKI cae en manos inexpertas, donde incluso el más mínimo percance podría causar una interrupción significativa o una brecha de seguridad.
Falta de inversión
A pesar del papel fundamental de la PKI en la seguridad empresarial, la mayoría de las organizaciones siguen abordando el problema con un mosaico de hojas de cálculo, PKI interna y herramientas proporcionadas por CA. La forma en que aprovisionamos y ejecutamos la infraestructura ha cambiado por completo (de la estática hardware a la infraestructura dinámica y altamente automatizada) y, sin embargo, muchas siguen utilizando métodos manuales y obsoletos para desplegar y gestionar su PKI.
Puede que la financiación de la ciberseguridad esté aumentando, pero la PKI sigue siendo, en muchos casos, inadecuada y carece de fondos suficientes, lo que crea riesgos significativos para la organización. Sin las herramientas y los recursos adecuados, los ingenieros o administradores de PKI pasan más tiempo apagando incendios que habilitando nuevos casos de uso que puedan beneficiar a la empresa.
Sin propiedad clara
Uno de los mayores retos de la implantación de PKI sigue siendo la falta de una propiedad clara.
A la pregunta de a quién corresponde el presupuesto de PKI, las respuestas fueron muy variadas, desde operaciones de TI (21%) y seguridad de TI (18%), hasta líneas de negocio (19%) y equipos de redes (16%).
Esto a menudo supone una presión contradictoria para los implicados cuando algo sale mal, como una auditoría fallida o una AC comprometida.
La PKI tiende a ser una tecnología utilizada por todos, pero que no pertenece a nadie. Con demasiada frecuencia, vemos situaciones en las que cada equipo, desde operaciones de TI hasta desarrolladores, está creando una PKI independiente para aplicaciones específicas, sin ninguna supervisión por parte del equipo de seguridad. Esto no sólo conduce a un caos en la gestión de la PKI, sino que también hace que sea mucho más difícil aplicar políticas coherentes y responder eficazmente a un incidente de seguridad.
Seguridad de la CA raíz
La autoridad de certificación raíz (CA) es la base de confianza de todos los certificados emitidos en su entorno. Si no puede confiar en su CA raíz, no podrá confiar en su PKI.
Sin embargo, si nos fijamos en las conclusiones del informe, menos de la mitad de los encuestados (44%) confía en la seguridad de su CA raíz.
Con toda probabilidad, esa cifra es mucho menor, porque muchas organizaciones dan por sentado que su CA raíz es segura sin llevar a cabo una auditoría adecuada. Otra suposición peligrosa es que los certificados digitales son inherentemente fiables y seguros. Si no conoce las políticas de las CA emisoras y raíz, no puede asumir que los certificados emitidos son de confianza.
Cómo resolver sus problemas de PKI
Ya hemos hablado de los retos de la implantación de la PKI, ahora toca hablar de soluciones. He aquí tres pasos que puede dar para asegurarse de que dispone de las herramientas y los recursos adecuados para gestionar correctamente su PKI:
- Construir un caso de negocio: La PKI y la gestión de certificados suelen considerarse excesivamente técnicas, por lo que los directivos de las empresas no entienden la importancia de invertir en ellas. Según Gartner, "los responsables de seguridad que logren reposicionar la gestión de certificados X.509 en un argumento empresarial convincente, como el negocio digital y la habilitación de la confianza, aumentarán el éxito del programa en un 60%, frente a menos del 10% actual".
- Audite su PKI: Empiece por comprender la arquitectura actual de su entorno PKI: cuántas CA tiene en su entorno (incluidas las CA olvidadas), cómo se implementaron y con qué propósito, y qué controles y políticas de seguridad se establecieron. Cuando se trata de la CA raíz, busque cosas como: ¿utiliza la CA raíz un HSM? ¿O está la CA raíz desconectada en todo momento?
- Invierta en experiencia: A veces, incluso los expertos necesitan experiencia. La PKI es una infraestructura crítica que requiere cuidados y alimentación rutinarios para mantenerla en funcionamiento de forma segura. Las empresas deben ser expertas o externalizar su PKI a un experto de confianza. Los proveedores de PKI gestionada pueden invertir mucho más en infraestructura, seguridad y conocimientos de PKI de última generación de lo que es factible para la mayoría de las organizaciones.
Tómese cinco minutos para calcular el Índice de Confianza Crítica de su organización y obtenga recomendaciones personalizadas sobre cómo gestionar eficazmente su PKI y sus certificados digitales.
