Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

  • Inicio
  • Blog
  • PKI
  • Respuestas a sus preguntas: Ampliación remota de PKI

Respuestas a sus preguntas: Ampliación remota de PKI

PKI

Cuando se trata de preparar su seguridad para las circunstancias inesperadas de la vida -ya sea una infracción, una auditoría fallida o una pandemia mundial que obligue a su empresa a averiguar cómo escalar PKI de forma remota-, algunassituaciones pueden parecer más fáciles de preparar que otras.

Pero, ¿y si le dijéramos y le mostráramos el plan para prepararse mejor para todas las situaciones?

Los expertos de nCipher se unieron a nuestro equipo para debatir cómo ha cambiado la seguridad con un entorno de trabajo predominantemente remoto, cómo y por qué las empresas están utilizando eficazmente la PKI para proteger su panorama empresarial y las tendencias previstas en criptografía.

Lea lo más destacado o vea el debate completo de 30 minutos a continuación:

¿Cuáles son las prioridades comunes de los profesionales de TI y Seguridad que buscan lograr, y cómo han cambiado esas prioridades con una fuerza de trabajo predominantemente remota?

La mayor prioridad en la lista de todos es que todo funcione lo mejor posible, ya que mucha gente ha hecho la transición al trabajo a distancia.

Muchos se enfrentan a dificultades para tachar esto de su lista, puesto que ya era un reto encontrar personas cualificadas y recursos para gestionar el cifrado y la PKI antes de COVID-19.

Ese reto, unido al aumento de los ataques de phishing, ha empujado a las organizaciones a demandar una solución inmediata que les permita escalar su seguridad para cubrir situaciones a las que los empleados remotos nunca se habían enfrentado antes.

Dado que cada vez son más las empresas que expresan una necesidad repentina e inmediata de competencias y recursos para tachar de su lista de prioridades la "seguridad rápida y sin fisuras", la mejor y única solución sería una basada en la nube y gestionada por expertos.

 

nCipher publica dos informes con Ponemon cada año. Cuáles son los aspectos más destacados del último informe que ponen de relieve los problemas y las soluciones que deben buscar las empresas? 

La principal razón por la que se encripta es para proteger un tipo de datos específico. Desde la información de los clientes y las IP hasta la información crítica para la empresa, en los últimos cinco años se ha pasado de un enfoque centrado en las auditorías a otro centrado en los datos.

El mayor problema es que esta magnitud de datos vive en multitud de lugares. Esto hace que las cosas sean difíciles de rastrear y asegurar, si no se supervisan correctamente.

Con la movilidad y la nube, los datos y la información importantes siguen avanzando mientras los equipos encargados de gestionar toda esa información dan un paso atrás al intentar localizarlo todo.

En el frente de la PKI, aunque ha aumentado el número de personas que utilizan algún tipo de revocación automática, todavía hay un tercio de empresas que no tienen forma de revocar certificados. Esto supone un grave riesgo especialmente para los certificados de corta duración.

El cumplimiento de las normativas sigue siendo importante, pero la necesidad de proteger tipos de datos específicos se ha convertido en la principal necesidad de las empresas a la hora de encontrar una solución de seguridad.

 

¿Qué ha visto, y qué hace, sobre la renovación y seguridad de los certificados de menor duración? 

Una de las cosas más interesantes que hemos visto procede de los proveedores de IoT , que se han acostumbrado a emitir certificados con una vida útil de unos 20 años con la expectativa de no tener que volver a tocarlos.

Pero, como el cripto funciona con una velocidad de depreciación y rotura significativamente más rápida, aquellos vendedores que utilizaron el método de "configúralo y olvídate" para sus dispositivos han puesto a los dispositivos y a los usuarios de esos dispositivos en un riesgo significativo.

 

¿Qué papel desempeña la firma de código en la seguridad a distancia?

Se trata, sin duda, de otra gran pieza del rompecabezas de la seguridad remota que las empresas intentan armar.

En el caso de las garantías de alto valor, es absolutamente fundamental que el código esté firmado por una fuente validada para garantizar que se puede confiar en él y que no caerá en las manos equivocadas.

Desde el punto de vista del desarrollo, es muy difícil contar con prácticas que protejan ese certificado de firma de código y, al mismo tiempo, garantizar que los desarrolladores puedan acceder a él, crear, firmar y codificar, lo que crea una necesidad de equilibrio entre la seguridad y el flujo de trabajo.

Por desgracia, en muchas organizaciones, la seguridad es la que se lleva la peor parte.

 

¿Cuál es el verdadero argumento comercial para el uso de PKI frente al mero "Secure at Desk"?

La PKI se utiliza para apuntalar muchas de las principales tecnologías de acceso. La gente la utiliza para su correo electrónico, VPN, certificados de sitios web y autenticación de usuarios. Es una parte integral de muchas cosas, pero no siempre recibe la atención que merece.

Tener una PKI robusta ya no es sólo cuestión de mantener una o dos aplicaciones. Se trata de mantener 8,9, 10, 11+ aplicaciones, y necesita ser tratada como tal. Debe tratarse como un activo crítico para la empresa.