Las organizaciones están aumentando rápidamente el tamaño, alcance y escala de su infraestructura de protección de datos, lo cual queda reflejado en el dramático aumento en la adopción de Infraestructura de Clave Pública (PKI, por sus siglas en inglés) en empresas en todo el mundo, según la investigación del Instituto Ponemon a petición de nCipher Security (una compañía de Entrust).
PKI se encuentra en el núcleo de casi toda infraestructura de Tecnologías de la Información, permitiendo la seguridad para iniciativas críticas digitales como la nube, el despliegue de dispositivos móviles, la identidad y el internet de las cosas (IoT).
El Estudio de Tendencias Globales en PKI e IoT en 2020 se basa en las respuestas de más de 1,900 profesionales de seguridad en IT en 17 países, incluyendo México.
A medida que las organizaciones se tornan más dependientes de la información digital y se enfrentan a cada vez mayores y más sofisticados ciberataques, también dependerán de PKI para controlar el acceso a sus datos y verificar a gran escala las identidades de las personas, sistemas y dispositivos.
IoT es la tendencia de mayor crecimiento que impulsa el despliegue y aplicación de PKI, aumentando un 26% en los últimos cinco años hasta alcanzar un 47% en 2020.
Los servicios alojados en la nube son el segundo impulsor, citado por el 44% de los encuestados. En México los encuestados citan IoT como la tendencia más importante (52%) y también que dependen de proveedores de servicios externos para la dotación de personal PKI más que cualquier otro país (25% en comparación con la media global del 14%).
El uso de PKI aumenta para los casos de uso en la nube y para la autenticación
Los certificados TLS/SSL para páginas web y servicios dirigidos al público son citados con mayor frecuencia como los casos de uso para las credenciales PKI (un 84%). Las aplicaciones públicas alojadas en la nube experimentaron el mayor crecimiento en comparación con el año anterior, citado por un 82% (lo cual supone un aumento del 27% con respecto a la cifra en 2019), seguido por la autenticación de usuarios de empresa, indicada por un 70% de los encuestados (lo cual supone un incremento del 19% en comparación con la cifra en 2019). Todos subrayan la necesidad crítica de implementar PKI para apoyar las aplicaciones centrales del negocio.
La media del número de certificados que una organización necesita gestionar creció un 43% en el estudio de 2020 en comparación con el año anterior, de 39.197 a 56.192 certificados, lo cual recalca un requisito fundamental para la gestión de certificados de empresa. Es probable que este incremento esté motivado por la transición de la industria a periodos más cortos de validez de certificados, y un incremento agudo en el número de casos de uso ligados a la autenticación de usuarios en la nube y en la empresa.
Retos, cambios e incertidumbre
El estudio de 2020 halla que los profesionales de IT están haciendo frente a nuevos retos a la hora de habilitar aplicaciones para que usen PKI. Más de la mitad (un 52%) citó como reto principal la falta de visibilidad de las capacidades de seguridad de una PKI ya existente, lo cual supone un incremento del 16% en comparación con el estudio de 2019. Esta cuestión subraya la falta de experiencia en materia de ciberseguridad existente incluso dentro de las organizaciones con mejores recursos, así como la necesidad de especialistas en PKI que puedan crear hojas de ruta empresariales, customizadas en base a buenas prácticas de seguridad y operacionales. Los encuestados también citan como retos cruciales la incapacidad de cambiar aplicaciones heredadas y la incapacidad de las PKI ya existentes de respaldar nuevas aplicaciones – ambos en un 51%.
A la hora de implementar y gestionar PKI, los profesionales de seguridad en IT se encuentran más retados por asuntos organizacionales tales como la falta de responsabilización, así como insuficientes habilidades y recursos. Las cifras del estudio relativas al despliegue de PKI indican claramente una tendencia hacia enfoques más diversificados, incluso llegando a convertirse en algunos países en más prevalentes las ofertas ‘como servicio’ que en las mismas instalaciones. En México, un 81% de encuestados declaró que el principal reto a la hora de implementar y gestionar PKI era la clara falta de responsabilización.
Las dos áreas de mayor cambio e incertidumbre en PKI derivan de nuevas aplicaciones como IoT (citado por el 52% de los encuestados) y los mandatos y estándares externos (un 49%). El ambiente reglamentario también está impulsando de manera creciente el despliegue de aplicaciones que usen PKI, indicado por un 24% de los encuestados. Un 59% de los encuestados mexicanos citó los mandatos y estándares externos como las áreas de mayor cambio e incertidumbre en la evolución de PKI.
Las prácticas de seguridad no han seguido el ritmo del crecimiento
En los próximos dos años, un promedio del 41% de dispositivos IoT dependerán primordialmente de certificados digitales para su identificación y autenticación. A pesar de aumentar el cifrado de dispositivos IoT, plataformas y repositorios de datos, este tan sólo se sitúa en un 33%– suponiendo un posible punto de exposición al público de datos de carácter sensible. Los encuestados mencionaron varias amenazas a la seguridad IoT, incluyendo la alteración de la función de los dispositivos IoT a través de malware u otros ataques (68%) y el control remoto del dispositivo por un usuario no autorizado (54%). Sin embargo, los encuestados clasifican los controles relativos a la protección ante posible malware – como la emisión segura de parches y actualizaciones para dispositivos IoT – en último lugar en su lista de cinco funciones de seguridad IoT más importantes.
El Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST) recomendó que los módulos criptográficos para las autoridades de certificación (CAs), los servidores de recuperación de claves y respondedores del protocolo de estado de certificado en línea (OCSP) sean validados en base al estándar FIPS 140-2 de nivel 3 o mayor. El 39% de los encuestados para este estudio usa Módulos de Seguridad de Hardware (HSM por sus siglas en inglés) para mantener seguras su PKI, en la mayoría de los casos para gestionar sus claves privadas para sus CA de raíz, emisión o reglamento. Sin embargo, sólo un 12% de encuestados indicó que emplea HSM en sus instalaciones OSCP, lo cual pone en evidencia una brecha significativa entre buenas prácticas y prácticas observadas.
En México el uso de controles de PKI y buenas prácticas tiende a estar por debajo de la media, particularmente el uso de una ubicación segura citado por un 31% de encuestados en el país frente al 49% global. Adicionalmente, México se sitúa en el tercer puesto a nivel global a la hora de usar autoridades internas de certificación corporativa (79%).