Si le preocupa la confianza digital en su empresa, ya sabrá lo difíciles que han sido los últimos años. Los equipos responsables de las redes, las operaciones de seguridad y la gestión de identidades y accesos han tenido más problemas con los que lidiar y se han enfrentado a transformaciones muy rápidas y de gran calado, como la adopción del teletrabajo y la multiplicación y diversificación de los ataques en muy poco tiempo.
En el caso de los certificados PKI, por ejemplo, estos cambios y el aumento de la complejidad han puesto de manifiesto que, sin herramientas y procesos creados para un mundo como el actual, es muy difícil garantizar la seguridad.
En DigiCert, llevamos unos años hablando con responsables de equipos que se ocupan de operaciones relacionadas con los certificados PKI. Nuestro objetivo es comprender cómo se trabaja con la confianza digital en el mundo real, y esto es lo que hemos averiguado:
* Encuesta de DigiCert de 2021
«A nadie le gusta recibir una llamada de madrugada y enterarse de que los servicios han dejado de funcionar».
Los profesionales de la seguridad están sumidos en un tira y afloja constante, ya que deben calibrar todos los intereses en juego. Alguien que deba tomar una decisión se hará antes varias preguntas: ¿hasta qué punto puedo mejorar la eficacia de esta solución o este servicio? ¿Qué presupuesto tengo? ¿De cuánto tiempo dispongo? ¿Cómo compruebo que todo funciona bien y seguirá haciéndolo? Cuanto más urgente sea algo, más recursos habrá que dedicarle, pero actuar así saldrá más caro y, si el equipo se centra en un asunto, tendrá que desatender otro.
Además, es imposible saber qué ocurrirá cada día porque siempre surgirán imprevistos y, con ellos, la necesidad de apagar fuegos. Puede que la red deje de funcionar de repente y que el equipo que se ocupa de ella tenga que solucionarlo, o tal vez el equipo de gestión de identidades tenga que quitar manualmente del sistema a un empleado que ha dejado la empresa. Cuantos más fuegos haya que apagar, menos tiempo habrá para otros proyectos y más reactivo será el modelo de seguridad, cuando lo deseable sería adoptar un enfoque proactivo que ayude a mejorar las funciones relacionadas con todo lo que está supervisándose.
El cambio en los periodos de validez, que ahora son más cortos, obliga a supervisar y renovar los certificados con más frecuencia.
Y debido a la expansión de las infraestructuras empresariales, también se emiten más certificados sin que los responsables de las redes lo sepan.
«Lo ideal es que la infraestructura funcione de forma autónoma para que, si algo sale mal, el problema se corrija automáticamente y los afectados solo se enteren después, al recibir un aviso».
Nada tiene más valor para una empresa que sus empleados. Pero todos necesitan dormir, se equivocan y tienen rasgos que los diferencian, como su formación, su experiencia, su forma de comportarse o su intuición a la hora de abordar cuestiones técnicas. Las labores de gestión que no pueden realizarse sin intervención manual son un engorro, ya que exigen al personal un tiempo que podría dedicarse a otros fines.
En muchos casos, los equipos que supervisan infraestructuras empresariales grandes y complejas siguen recurriendo a las hojas de cálculo y el correo electrónico para gestionar parte de los certificados. Con estos métodos, hasta responder rápidamente a un problema en horario laboral acaba provocando interrupciones, trastocando las operaciones o empeorando la experiencia de los clientes o empleados.
La solución es automatizar estos procesos, pero muchas herramientas automatizadas son meros administradores de certificados que se añaden al entorno sin integrarse en él. Las soluciones de terceros compatibles con cualquier CA no son gratuitas, tienen que configurarse y, en lo que respecta a los flujos de trabajo, ofrecen funciones limitadas. Si hay que crear API personalizadas para integrarlas o se necesitan varias soluciones de software para gestionar diferentes casos de uso, la empresa tendrá que seguir dedicando recursos a estas tareas. El trabajo no desaparecerá; solo lo harán otras personas, lo que de nuevo hará chocar los intereses de los distintos miembros del equipo.
Hay muy pocas autoridades de certificación gratuitas, y los sistemas de PKI creados en la propia empresa son difíciles de adaptar si cambian las necesidades.
Ahora mismo, cuando un certificado provoca una interrupción, lo normal es que lleve horas —no minutos— restablecer el servicio.
«Las llamadas tecnologías inteligentes lo son solo hasta que dejan de serlo».
Como cada equipo entiende y aplica la supervisión de una manera distinta, para que los certificados funcionen, hacen falta soluciones que se adapten a casos de uso y recursos concretos. Pero encontrar el software de gestión, automatización, notificación o integración adecuado no es fácil: muchas soluciones no cumplen lo que prometen o lo hacen solo parcialmente.
Por esta razón, quienes no compran varios administradores de certificados ni recurren a los servicios de varias CA acaban utilizando soluciones imperfectas y diseñando sus propias herramientas y procesos, bien por falta de presupuesto, bien porque no encuentran un sistema prediseñado que satisfaga sus necesidades. El problema es que diseñar soluciones «caseras» lleva su tiempo y obliga a gestionarlas después. Y mantener una autoridad de certificación propia también tiene sus inconvenientes: se necesita un dominio de los sistemas de PKI que nos permita configurarla bien y no podremos disfrutar de funciones de automatización. Todo esto dificultará la gestión al equipo y es posible que, a la larga, acabe causando problemas.
El software de gestión compatible con cualquier CA no es lo bastante fiable ni resiliente.
Y las soluciones compradas a un proveedor rara vez incluyen flujos de trabajo adaptados a las necesidades particulares de cada equipo.
«Las empresas en crecimiento están intentando buscar formas de ahorrar, así que hay que devanarse los sesos para hacer más con menos».
Aunque las amenazas se han multiplicado en los últimos años y ahora hay más fuegos que apagar, en muchos equipos ni el presupuesto ni la plantilla se han ajustado de forma proporcional. Con los mismos empleados y menos dinero, es prácticamente imposible lograr el nivel de proactividad deseado o mitigar el riesgo y optimizar las operaciones tanto como quiere la empresa.
Otro aspecto importante es que el entorno digital es cada vez más grande y complejo, incluso desde la perspectiva de una sola empresa. El número de «cosas» conectadas aumenta a diario y, en los últimos años, se ha desdibujado la frontera que separaba a un equipo de otro o a una empresa del exterior. A veces, es difícil saber en qué punto termina algo y empieza otra cosa. Cuantos más certificados haya, más empeño habrá que poner en gestionarlos, pero de poco servirá este esfuerzo si se utilizan métodos lentos o manuales que hagan más probables los descuidos. Al haber más amenazas y más conexiones complejas, se produce un aumento del riesgo que, además de afectar a los equipos de seguridad, pone en peligro a toda la empresa.
En 2023, se prevé que los presupuestos informáticos crezcan menos que la inflación.
En los últimos años, la mayoría de los responsables de TI señalan la falta de profesionales como uno de los principales obstáculos para el avance de las principales iniciativas tecnológicas.
En este momento, las grandes empresas necesitan replantearse cómo gestionan sus certificados. Con el aumento de la complejidad, los casos de uso de la PKI y el número de amenazas, se necesitan soluciones que, de forma ininterrumpida, garanticen la confianza a todos los grupos y equipos, tanto si se ocupan de las redes como si son responsables de las operaciones de seguridad o la gestión de identidades y accesos. Y no basta con que estas soluciones parezcan maravillosas sobre el papel; tienen que funcionar en la práctica.
Según las conversaciones que hemos mantenido con diversos jefes de equipo, una solución de gestión de certificados debería:
¿Cuenta con un solo medio de registro para la detección y el inventariado de certificados?
¿Tiene un sistema que, cuando hay problemas, informe a los miembros del equipo que deban saberlo por medio de varios canales y de manera fiable?
¿Cuenta con integraciones sólidas gracias a las cuales no ha tenido que crear su propio software ni obtener por sus propios medios la licencia para usarlo?
¿Se ha reducido la rotación de personal del departamento de TI en los últimos cinco años?
¿Le resulta fácil contabilizar los inicios de sesión asociados a una autoridad de certificación?
¿Utiliza menos de dos proveedores para su infraestructura de clave pública?
¿Están bien coordinados los equipos de redes y los de gestión de identidades y accesos en lo que respecta a la seguridad?
¿Ha reducido el número de soluciones y procesos de digitalización en los últimos años?
¿Ha adoptado soluciones que permitan dejar de usar sistemas de PKI privados o autoridades de certificación creadas y administradas en la propia empresa?
¿Ha automatizado procesos relacionados con las redes, los dispositivos y los usuarios?
Cada respuesta negativa significa que su sistema de gestión de certificados está anticuado y su empresa está más expuesta a los riesgos.
La gestión del ciclo de vida de los certificados, tal y como se ha entendido durante años en el ámbito informático, ya no basta para satisfacer las necesidades actuales. ¿Qué se necesita, entonces, para gestionar la complejidad y el riesgo? Lo ideal es una solución completa que, por un lado, combine la gestión del ciclo de vida de los certificados con los servicios de PKI y, por otro, incluya las integraciones y configuraciones necesarias para que su equipo pueda crear un entorno de gestión de certificados automatizado y a su medida.
No es que la gestión del ciclo de vida de los certificados esté dejando de existir, sino que está transformándose en algo nuevo: la gestión del ciclo de vida de la confianza, una solución completa, automatizada y de eficacia técnica demostrada para la administración de certificados en el mundo real.
Si quiere dejar de correr riesgos por utilizar un sistema de gestión del ciclo de vida de los certificados anticuado, infórmese sobre cómo empezar a usar Trust Lifecycle Manager de DigiCert®. VER UNA DEMOSTRACIÓN>
© 2023 DigiCert, Inc. Todos los derechos reservados. DigiCert es una marca registrada de DigiCert Inc. en los Estados Unidos y otros lugares. El resto de las marcas comerciales y marcas registradas pertenecen a sus respectivos propietarios.