Ciudad de México, Agosto 2019.-
A medida que continúa aumentando una gran cantidad de dispositivos
conectados y la tecnología sigue desarrollándose hacia un futuro lleno
de computadoras cuánticas, asegurar dispositivos/ aplicaciones y
volverse "cripto ágil" es fundamental para el esfuerzo de una
organización para ser y mantenerse seguro, hoy y en el futuro.
Un
objetivo empresarial común es mejorar la agilidad empresarial. La
capacidad de adaptarse rápidamente a los cambios del mercado le da a la
organización una ventaja competitiva y también puede evitar pérdidas
innecesarias. La información es el elemento vital de una organización, y
el departamento de seguridad de la información es responsable de
establecer y mantener conexiones seguras entre los sistemas de TI y
todos los dispositivos externos.
Como
práctica recomendada, el cifrado siempre debe usarse entre diversos
sistemas que tienen que interoperar. Su organización debe requerir
enlaces encriptados para proteger la información en tránsito, ya sea que
esté destinada a sistemas internos o externos. A medida que aumenta el
número de dispositivos conectados, convertirse en "cripto ágil" es un
componente clave de la agilidad empresarial de una organización.
La mala visibilidad limita la agilidad
Un
problema común que enfrentan la mayoría de los profesionales de
seguridad es no tener una comprensión completa de dónde se usa el
cifrado en toda la infraestructura de TI. Mantener un inventario de
software es algo con lo que los profesionales de la seguridad están
familiarizados, y necesitan desarrollar la misma información sobre todos
los dispositivos conectados.
Entre
los cifrados más comunes en uso hoy en día se encuentran los
certificados TLS / SSL, que se utilizan para establecer conexiones
seguras entre navegadores, servidores y un número cada vez mayor de
dispositivos y aplicaciones.
TLS
utiliza cifrado asimétrico y simétrico a través de una Infraestructura
de clave pública (PKI), que es el conjunto de hardware, software,
personas, políticas y procedimientos necesarios para crear, administrar,
distribuir, usar, almacenar y revocar certificados digitales. PKI
también es lo que une las claves con las identidades de los usuarios
mediante una Autoridad de Certificación (CA). PKI se beneficia del uso
de ambos tipos de cifrado asimétrico y simétrico. Por ejemplo, en las
comunicaciones TLS, el certificado TLS del servidor contiene un par de
claves públicas y privadas asimétricas. La clave de sesión que el
servidor y el navegador crean durante el protocolo de enlace TLS es
simétrica.
Qué es la cripto-agilidad y qué no es
“La
cripto-agilidad implica saber en todas las partes que se está
utilizando la criptografía en su organización (por ejemplo, protocolos,
bibliotecas, algoritmos, certificados, etc.), saber cómo se está
utilizando y tener la capacidad de identificar rápidamente los problemas
y solucionarlos. La verdadera cripto-agilidad le permite reemplazar sin
problemas la criptografía obsoleta según sea necesario a través de la
automatización”, señaló Timothy Hollebeek, principal representante de
DigiCert en múltiples organismos de estándares de la industria, incluido
el CA / Browser Forum,
La
cripto-agilidad no es solo la capacidad de usar diferentes algoritmos
para funciones críticas (por ejemplo, hash, firma, cifrado, etc.), ni es
la capacidad de elegir qué algoritmo (por ejemplo, SHA-1 o SHA-256)
para usar en una función particular.
Simplemente
tratar de poner los algoritmos compatibles en el lugar donde es
necesario puede ser una tarea difícil, y eso hace que esforzarse por
lograr la cripto-agilidad sea más difícil. La mayoría de las
transiciones criptográficas ocurren a escala de Internet y la transición
de un algoritmo criptográfico a uno nuevo requiere trabajar con todos
sus proveedores.
Las mejores prácticas de cripto-agilidad incluyen lo siguiente:
• Establecer y comunicar políticas claras.
• Inventario de todos los activos de cifrado
• Identificar vulnerabilidades criptográficas (internas a su organización y con proveedores)
• Tener la capacidad de probar nuevos algoritmos criptográficos
• Tener la capacidad de reemplazar claves y certificados vulnerables rápidamente
• Mantener la información de propiedad
• Automatizar la gestión.
• Automatizar el seguimiento de reemplazo
El
primer paso para establecer la cripto-agilidaddentro de su organización
es crear y comunicar claramente políticas sobre las mejores prácticas
de TLS (para obtener información sobre las mejores prácticas de TLS,
comuníquese con su representante de DigiCert). Una vez que se establecen
las políticas, el siguiente paso es el inventario de todos los activos
de cifrado, lo que se puede lograr mediante el uso de una plataforma
moderna de administración de certificados con una función de
descubrimiento integral (consulte CertCentral para obtener más
información sobre el descubrimiento de certificados). Una vez que el
inventario esté completo y tenga visibilidad y control de todos los
activos criptográficos de su organización, tendrá la flexibilidad de
comenzar a probar nuevos algoritmos a medida que estén disponibles y / o
reemplazar claves vulnerables, sin la preocupación de dejar a su
organización sin seguridad o de romper procesos.
Finalmente,
debe comenzar al menos a pensar en la transformación de su
infraestructura de TI que la computación cuántica impulsará en un futuro
no muy lejano. La computación cuántica permitirá que las computadoras y
los dispositivos IoT ejecuten cálculos mucho más rápido de lo que es
posible hoy en día. Promete cambiar fundamentalmente la forma en que
abordamos todo, desde investigar curas para el cáncer hasta aliviar el
tráfico en los centros urbanos. Pero realizar esas visiones requiere
superar los nuevos desafíos de seguridad de IoT que creará la
computación cuántica.
Los
beneficios y riesgos que presenta la computación cuántica afectarán
prácticamente a todas las industrias, incluidos los servicios
financieros, la atención médica, la energía y la fabricación. La
realización de sistemas de TI basados en lacomputación cuántica aún
puede demorar al menos cinco a 10 años, pero es algo a considerar ahora
mientras trabaja para mejorar sus niveles de cripto-agilidad hoy y
mañana.
Para garantizar que su organización pueda mantener la cripto-agilidad, asegúrese de trabajar con los proveedores, incluida la autoridad de certificación que elija, para seguir los hitos de los estándares de la industria y adelantarse a las transiciones criptográficas necesarias. Del mismo modo, asegúrese de que su autoridad certificadora pueda ofrecer una plataforma de administración de certificados para darle visibilidad de todos los certificados digitales dentro de su entorno y tenga la capacidad de permitir encontrar y actualizar certificados rápidamente según sea necesario. Trabaje con otros proveedores de hardware y software que tengan una comprensión clara de la cripto-agilidad y puedan proporcionarle tecnología que pueda adaptarse a las amenazas y requisitos de seguridad en evolución.
Para garantizar que su organización pueda mantener la cripto-agilidad, asegúrese de trabajar con los proveedores, incluida la autoridad de certificación que elija, para seguir los hitos de los estándares de la industria y adelantarse a las transiciones criptográficas necesarias. Del mismo modo, asegúrese de que su autoridad certificadora pueda ofrecer una plataforma de administración de certificados para darle visibilidad de todos los certificados digitales dentro de su entorno y tenga la capacidad de permitir encontrar y actualizar certificados rápidamente según sea necesario. Trabaje con otros proveedores de hardware y software que tengan una comprensión clara de la cripto-agilidad y puedan proporcionarle tecnología que pueda adaptarse a las amenazas y requisitos de seguridad en evolución.
No hay comentarios:
Publicar un comentario