10-11-2022

Medición del éxito de las iniciativas de confianza digital

Diana Jovin

La confianza digital nos permite darle forma al mundo conectado en el que vivimos, participar en él y contribuir a su crecimiento, teniendo la certeza absoluta de que las actividades que llevamos a cabo en Internet —ya sean interacciones, transacciones o procesos empresariales— son seguras.

En «Confianza digital: el nuevo requisito de la TI», cubrimos los cuatro pilares fundamentales de la confianza digital:

  • Estándares tecnológicos y sectoriales que definen qué constituye la confianza.
  • El cumplimiento y las operaciones que, sobre la base de la PKI, rigen la generación de confianza.
  • El software que permite gestionar la confianza pública o privada en una empresa y ofrece visibilidad y control centralizados con respecto al ciclo de vida de los certificados digitales.
  • La ampliación de la confianza a otros ecosistemas, como el ciclo de vida de los dispositivos, las cadenas de suministro de software, los consorcios y mucho más.

Pero ¿cuál es el secreto del éxito en el campo de la confianza digital y cómo se lo puede medir?

En los departamentos de TI, puede haber más de un garante de la confianza digital, a saber, los administradores de la PKI, los encargados de gestionar las identidades y los accesos, y los arquitectos de seguridad de los productos y de la información. Cada uno de estos departamentos cuenta con métricas que miden el éxito de las iniciativas de confianza digital o que permiten evaluar los pasos dados en esa dirección. Las juntas directivas de las empresas incluso controlan algunas de estas métricas, lo que resalta la importancia que tiene la confianza digital en los objetivos empresariales.

Estas métricas pueden clasificarse en cuatro áreas principales:

1. Interrupciones del servicio

Qué se mide: Las interrupciones del servicio ocasionadas por la caducidad accidental de un certificado no pasan desapercibidas en lo más mínimo, en especial si se producen en sistemas que son críticos para la empresa. Las interrupciones pueden tener varias causas, como la negligencia, especialmente si se lleva un registro manual de los certificados, los errores humanos, la mala configuración de los certificados o la práctica de actividades no autorizadas, es decir, el uso de certificados de origen dudoso que se hayan comprado por fuera del departamento de TI.

Las métricas pueden medir factores como los siguientes:

  • La cantidad de interrupciones que se producen a raíz de la caducidad accidental de un certificado (en muchos casos, el objetivo es cero).
  • El impacto financiero de cada interrupción del servicio.
  • El tiempo que lleva corregir una interrupción de esta naturaleza.

Quién realiza la medición: Los equipos de operaciones de seguridad, de TI y de seguridad de la información que deben responder a las amenazas con celeridad pueden sacar provecho de un inventario de activos criptográficos centralizado que les ofrece control y visibilidad de su entorno.

Cómo abordar esta cuestión: Las herramientas de detección que supervisan e inventarían los activos criptográficos del entorno de una empresa pueden brindar un repositorio centralizado. Por su parte, las herramientas de evaluación de vulnerabilidades ofrecen calificaciones de seguridad e identifican los algoritmos que están desactualizados para priorizar su corrección. Por último, las herramientas de automatización pueden ayudar a agilizar el proceso de corrección deseado u optimizar la respuesta a los cambios realizados en las normativas.

2. Adopción, usabilidad y seguridad

Qué se mide: La adopción es una métrica clave. ¿Los usuarios instalan los certificados en los sistemas correspondientes? ¿Se comunican con el equipo de asistencia técnica para solicitar ayuda con la configuración? ¿Los problemas con los certificados impiden que los empleados sean productivos durante la etapa de incorporación o atentan contra la seguridad de la empresa cuando se le debe revocar el acceso al sistema a un empleado que abandona la compañía?

Las métricas pueden medir factores como los siguientes:

  • Tasa de adopción
  • Carga de asistencia técnica
  • Plazo para el aprovisionamiento o la revocación del acceso

Quién realiza la medición: Estas consideraciones son importantes para los administradores de identidades y accesos que tienen la responsabilidad de gestionar el acceso al sistema y el aprovisionamiento de ciertos servicios, como la VPN, los sistemas inalámbricos o la seguridad del correo electrónico. También pueden ser relevantes para los equipos de operaciones centralizadas de TI que asisten a los departamentos de TI de otras unidades comerciales o empresas subsidiarias.

Cómo abordar esta cuestión: Los profesionales de TI consideran que la automatización es una estrategia clave para abordar los asuntos relacionados con la adopción, la usabilidad y la seguridad. La automatización puede hacer que el aprovisionamiento y la gestión de las credenciales sean procesos invisibles para los usuarios finales y que se lleven a cabo de manera sencilla durante la incorporación o la desvinculación de los empleados, lo que mejora las tasas de adopción, reduce la carga de asistencia técnica y elimina los problemas de aprovisionamiento.

3. Agilidad y vulnerabilidad

Qué se mide: Es posible que los profesionales de TI que gestionan las vulnerabilidades estén preocupados por la agilidad criptográfica, es decir, por la capacidad de responder a las amenazas o de prepararse para los cambios que puedan producirse en las normativas o en los estándares criptográficos. Estos profesionales necesitan conocer a fondo los activos criptográficos de la empresa y sus vulnerabilidades asociadas o perfiles criptográficos.

Las métricas pueden medir factores como los siguientes:

  • El inventario de activos criptográficos
  • Perfiles algorítmicos
  • Claves y perfiles de certificado, y su estado

Quién realiza la medición: Los equipos de operaciones de seguridad, de TI y de seguridad de la información que deben responder a las amenazas con celeridad pueden sacar provecho de un inventario de activos criptográficos centralizado que les ofrece control y visibilidad de su entorno.

Cómo abordar esta cuestión: Las herramientas de detección que supervisan e inventarían los activos criptográficos del entorno de una empresa pueden brindar un repositorio centralizado. Por su parte, las herramientas de evaluación de vulnerabilidades ofrecen calificaciones de seguridad e identifican los algoritmos que están desactualizados para priorizar su corrección. Por último, las herramientas de automatización pueden ayudar a agilizar el proceso de corrección deseado u optimizar la respuesta a los cambios realizados en las normativas.

4. Riesgo y cumplimiento normativo

Qué se mide: Los profesionales de TI que gestionan el riesgo suelen sentir cierta preocupación por el cumplimiento normativo, el acceso privilegiado, las superficies de ataque, la inteligencia de amenazas y los indicadores de confianza.

Las métricas se pueden definir como indicadores de riesgo clave que controlan la postura que se adopta con respecto al riesgo y los márgenes de tolerancia en una o más de estas áreas.

Quién realiza la medición: Esta tarea está a cargo de los departamentos de TI que se encargan de gestionar los sistemas, aplicaciones o redes y de los equipos de operaciones de seguridad y de TI.

Cómo abordar esta cuestión: Las herramientas que manejan la autenticación, el acceso privilegiado, los inventarios de redes y la supervisión pueden contribuir a cumplir los objetivos de estos equipos, al igual que las estrategias que ayudan a prevenir la compra de certificados no autorizados. Además, el bloqueo de dominios que ofrece la autorización de la autoridad de certificación (CAA) puede prevenir la adquisición de estos certificados de origen dudoso, lo que, por su parte, ayuda a evitar los ataques de intermediario.

Por último, el control de registros de CT puede resultar eficaz para detectar la presencia de certificados no autorizados en las redes de la empresa.

La confianza digital y la junta directiva

Algunos profesionales de TI han observado que logran mejores resultados cuando las métricas de confianza digital no están en manos de la junta directiva, es decir, cuando no se producen interrupciones a raíz de la caducidad accidental de un certificado, cuando el aprovisionamiento de las credenciales está automatizado, cuando los indicadores de riesgo clave se encuentran dentro de los márgenes de tolerancia deseados y cuando las vulnerabilidades criptográficas se abordan de manera oportuna. Sin embargo, para alcanzar estos objetivos, es fundamental contar con estrategias que reduzcan las interrupciones del servicio, mejoren la adopción, optimicen las operaciones, garanticen el cumplimiento de las normativas y disminuyan el riesgo. Es posible que los ejecutivos de la empresa quieran consultar las métricas para ver si se está avanzando con respecto a estos objetivos.

Un método muy eficaz para gestionar las metas de las iniciativas de confianza digital es incorporar a un socio que sea experto en la materia, como DigiCert. Además de su vasta cartera de soluciones de confianza digital y de su participación activa en distintos organismos de normalización, DigiCert puede ofrecer a las empresas un profesional al que puedan recurrir en caso de emergencia a fin de minimizar el tiempo de inactividad y lograr que las métricas sigan arrojando resultados positivos.

Consulte a DigiCert

¿Le gustaría obtener más información sobre la plataforma que ofrece DigiCert para garantizar la confianza digital? Envíenos un correo electrónico a pki_info@digicert.com para conocer más detalles o coordinar una consulta con el equipo de ventas.

UP NEXT

Artículos destacados

09-14-2021

Predicciones de seguridad para 2022

Estándar BIMI: cómo preparar el logotipo de su empresa

Cómo obtener un certificado VMC y registrar un logotipo