Hasta no hace mucho, el impacto de los vencimientos de los certificados digitales en las organizaciones era mínimo. Sin embargo, el surgimiento de tecnologías avanzadas como la computación cuántica y la IA, y las nuevas medidas regulatorias, están acelerando los tiempos. Es tiempo de automatizar.
Un vecino se acerca al supermercado. Hace años que va al mismo local cuando hay que llenar la alacena, pero esta vez el supermercado está cerrado: no hay carteles ni tampoco a quien preguntarle. Es natural que ese hecho le despierte alguna preocupación o sospecha. ¿Por qué está cerrado cuando debería estar abierto? ¿Por qué nadie se molestó en poner siquiera un aviso? ¿Volverá a abrir…?
Si llevamos esta misma situación de clausura al mundo de la banca digital, el e-commerce y el intercambio seguro de información entre empresas vía Internet, los resultados para esos negocios pueden ser desastrosos. No es un escenario muy lejano: basta con que alguno de los certificados digitales que garantizan la seguridad de las comunicaciones se venza (y, por lo tanto, deje de ser válido). Hasta no hace mucho, el impacto de estos vencimientos (que se daban cada varios años) era mínimo. Sin embargo, el surgimiento de tecnologías avanzadas como la computación cuántica y la IA está cambiando la dinámica del juego.
Nestor Markowicz, Chief Operation Officer de CertiSur (ejerciendo también el rol de CEO) cree que esta situación podría volverse crítica a partir de las nuevas directivas del CAB (Certificate Authority Browser) Forum, que es la entidad que lidera y define cómo funcionan los certificados digitales. Los planes del CAB Forum para los próximos años son de reducción del período de validez de estos certificados. “Comienza el año que viene, haciendo que todas las empresas tengan que ajustar sus procesos para poder operar con certificados de una periodicidad reducida. Esto, por ejemplo, implica que las empresas tengan que montar aplicaciones o sistemas que les permitan hacer un discovery de todos los certificados que tienen dentro de su plataforma e intentar automatizar la renovación”, dijo Markowicz.
Para empresas como CertiSur esto se tradujo en la necesidad de ofrecer servicios que les permitan a los clientes hacer ese descubrimiento de los certificados que hay en su plataforma (a veces repartidos en infraestructura dispersa) y automatizar la gestión. “Las organizaciones tienen que saber cuál es su posición desde el punto de vista de criptografía, cuáles son todos sus activos criptográficos que tienen y empezar a ser más ágiles criptográficamente hablando”. Esta criptoagilidad implica el uso de herramientas que permitan gestionar rápidamente estos certificados, no sólo porque se vencen con más frecuencia, sino porque, además, en la medida que avanzan las nuevas tecnologías, los algoritmos usados en la encriptación se volverán más vulnerables (lo que disparará la necesidad de cambiar o actualizar dichos certificados rápidamente, incluso a gran escala).
«…implica que las empresas tengan que montar aplicaciones o sistemas que les permitan hacer un discovery de todos los certificados que tienen dentro de su plataforma e intentar automatizar la renovación».
Néstor Markowicz, COO de CertiSur.
Para Markowicz, hoy buena parte de las organizaciones no tiene las capacidades o los tiempos para estar preparados y así atender todos estos asuntos, de modo que delegan estos procesos en proveedores como CertiSur. Estos proveedores intentan llevar a los clientes a las mejores prácticas al respecto, teniendo en cuenta las tendencias del mercado. “Lo que tratamos de vender a nuestros clientes es confianza. Que operen en entornos confiables, que realicen transacciones seguras… Les indicamos cuáles son, en un momento dado, los estándares actuales del mercado”, indicó el COO. “Al final del día, el objetivo es que los usuarios confíen en que todo lo que va desde un punto a otro en Internet se transmite de manera segura. Y no solamente en el momento de la transmisión, sino también en el momento en que el dato está almacenado (data at rest)”.
Soluciones para toda clase de escenarios
Las soluciones que aporta CertiSur abarcan desde el flujo digital de documentos, con la plataforma SecureDOC (una solución propia que les permite a los clientes armar flujos documentales haciendo partícipes a distintos actores: un comprador, un vendedor, un gerente que aprueba, distintos agentes…) a un sistema que garantiza que las transacciones entre entidades son seguras. Para esto último CertiSur desarrolló Al ison Server: una solución que le permite al usuario final tener un certificado digital en la nube. “La aplicación del banco, de la organización, se conecta a Alison Server y, a partir de ahí, le permite al usuario firmar digitalmente sin tener que instalar ningún componente dentro de su máquina. Lo hace dentro de la nube y de manera totalmente segura”, explicó Markowicz.
A esto se suman las ya mencionadas soluciones de Discovery Automation. “¿Cómo hago para tener visibilidad de toda mi plataforma de certificados? Desde ese punto de vista, estamos trabajando con Digicert, que es uno de los que tienen estas plataformas, y con otra empresa americana que se llama AppViewX. Las dos soluciones te permiten buscar todos los certificados que tenés en tu infraestructura y conectarte con una autoridad certificante, la que tu organización utiliza, para poder renovar este certificado de manera automática”.
“Hay un sistema que se encarga de ir a buscar el certificado, el que se está por vencer, ir a la autoridad certificante, renovarlo e instalarlo en el sitio web. Esto facilita la administración para la gente de Infraestructura, minimiza los riesgos y reduce los costos. Además, para los próximos periodos, donde el ciclo de vida de un certificado se va a ir reduciendo —primero a 200 días, después a 100 días y finalmente a 47 días—, va a ser la única manera de trabajar en el corto plazo”, precisó el ejecutivo de CertiSur.
No hay comentarios:
Publicar un comentario