DigiCert, Inc., el proveedor número uno del mundo de soluciones TLS/SSL, IoT y PKI, ha publicado hoy su encuesta de 2021 sobre el estado de la automatización de la infraestructura PKI, que revela que la empresa media gestiona más de 50 000 certificados de PKI públicos y privados. Si no se hace bien, la gestión manual de tal volumen de certificados puede acarrear costosas interrupciones. Dos tercios de las empresas ya han sufrido interrupciones provocadas por certificados que caducan de forma inesperada, y el 25 % experimentó entre cinco y seis interrupciones de este tipo solo en los últimos seis meses. Estos problemas, entre otros, están haciendo que cada vez haya más interés por automatizar la PKI.
La probabilidad de haber implementado ya la automatización de la PKI es seis veces mayor en las empresas más importantes, en las que, por otro lado, se cumplen los SLA y se tiene un mayor conocimiento de las propias carencias.
A casi dos tercios de las empresas les falta visibilidad y les preocupa el tiempo que dedican a gestionar certificados. El 37 % de las empresas tienen más de tres departamentos a cargo de la gestión de los certificados, lo que genera confusión. En promedio, estas empresas tienen hasta 1200 certificados sin gestionar, y casi la mitad (el 47 %) afirma detectar con frecuencia certificados de origen dudoso, que son aquellos que se implementaron sin el consentimiento o la intervención del equipo de TI.
«El volumen de certificados se ha disparado» —declara Brian Trzupek, vicepresidente sénior de productos de DigiCert—. Además, desde 2018, los períodos de validez de los certificados TLS públicos pasaron de tres años a solo uno. Debido a esto, a las empresas les cuesta cada vez más gestionar los certificados digitales de forma manual y les interesa automatizar sus procesos, pero quieren tener la certeza de que saben cómo hacerlo y de que son conscientes de los costos y las ventajas a largo plazo en términos de seguridad».
«En cualquier empresa, existe el riesgo constante de sufrir interrupciones de servicio por culpa de certificados de PKI caducados, y más ahora que hay que renovarlos más a menudo» —señala Michele Liberman, responsable de operaciones SaaS de Smart Communications—. El costo de gestionar los certificados es elevado, ya que hay que supervisar cada uno de ellos en términos de caducidad, solicitud, creación e implementación. Por eso las empresas salen ganando con la automatización, ya que se reducen tanto los riesgos como la carga de trabajo de los técnicos internos.
La mayor parte de las empresas se están planteando adoptar la automatización de la PKI. De hecho, el 91 % está, al menos, debatiéndolo. Solo el 9 % afirma no estar evaluando esta alternativa y confiesa no tener planes de hacerlo. La mayoría (el 70 %) espera implementar una solución en los próximos 12 meses. Un cuarto (25 %) de las empresas ya están implementando una solución o incluso ya lo hicieron.
Cada empresa es un mundo
La encuesta incluía una serie de preguntas destinadas a conocer el rendimiento de cada empresa con respecto a diversas métricas de PKI. Una vez combinados todos los resultados, se dividió a las empresas participantes en tres grupos:
- Líderes: aquellas que no lo podrían estar haciendo mejor
- Rezagadas: aquellas que siguen unas prácticas muy desaconsejables
- Intermedias: aquellas que no lo están haciendo mal, pero podrían hacerlo mejor
Luego, se comparó a las empresas líderes y las rezagadas para estudiar las diferencias entre ambas y analizar en qué ámbitos lo estaban haciendo mejor las primeras.
¿El resultado? El rendimiento de las empresas líderes es entre dos y tres veces mayor que el de las rezagadas en cualquier ámbito (p. ej., minimización de los riesgos para la seguridad de la PKI, eliminación de las interrupciones del servicio de PKI o cumplimiento de los SLA en materia de PKI). Las empresas rezagadas, por su parte, acusan una gran variedad de desventajas, como caídas de la productividad, problemas relacionados con el cumplimiento de la normativa o la pérdida de clientes e ingresos.
Qué se puede aprender de los líderes en PKI
Los líderes en PKI tienden a considerar que esta tecnología es importante para el futuro de su negocio. Además, a estas empresas les preocupa dos veces más que al resto el tiempo que lleva gestionar los certificados de PKI. Lea el informe para obtener más información sobre lo que están haciendo las empresas líderes y sobre las ventajas que esas prácticas reportan a su negocio.
Recomendaciones
DigiCert recomienda a las empresas empezar a trabajar cuanto antes en automatizar sus procesos de gestión de certificados (incluidos los flujos de trabajo empresariales) de cara a garantizar que sigan las prácticas recomendadas para las implementaciones de PKI. Estas son algunas de las medidas recomendadas:
Certificados:
- Identificar todos y cada uno de los certificados del entorno (TLS, de firma de código, de cliente, etc.) y hacer inventario de ellos.
- Reparar las claves y los certificados que no se ajusten a la política empresarial.
- Proteger el entorno siguiendo las prácticas recomendadas para la emisión y la revocación. Estandarizar y automatizar los procesos de inscripción, emisión y renovación.
Procesos de gestión de certificados: automatizar los procesos de certificados manuales o no gestionados (como los de firma de código o de documentos, de correo electrónico, etc.) o de otras soluciones de gestión de accesos e identidades con un software que, además, centralice la visibilidad y el control.
La encuesta estuvo a cargo de ReRez Research e incluyó a profesionales de TI de 400 empresas con al menos 1000 empleados en América del Norte, EMEA, Asia-Pacífico y América Latina.
Consultar más información y el informe completo en https://www.digicert.com/campaigns/es-pki-automation
Comentarios Cerrados