IoT, autenticaci贸n y servicios cloud impulsan adopci贸n de PKI

Estudio de Entrust sobre PKI e IoT ha detectado este a帽o niveles sin precedentes de retos en PKI, en tiempos de cambios e incertidumbre.

Las organizaciones est谩n aumentando r谩pidamente el tama帽o, alcance y escala de su infraestructura de protecci贸n de datos, lo cual queda reflejado en la dram谩tica subida en la adopci贸n de Infraestructura de Clave P煤blica (PKI por sus siglas en ingl茅s) en empresas en todo el mundo, seg煤n el nuevo estudio de Entrust. PKI se encuentra en el n煤cleo de casi toda infraestructura de tecnolog铆a de la informaci贸n (IT), permitiendo la seguridad para iniciativas cr铆ticas digitales como la nube, el despliegue de dispositivos m贸viles, la identidad y el internet de las cosas (IoT).

El Estudio de Tendencias Globales en PKI e IoT en 2020, llevada a cabo anualmente por la agencia de investigaci贸n el Instituto Ponemon y patrocinado por nCipher Security (una compa帽铆a de Entrust), se basa en las respuestas de m谩s de 1.900 profesionales de seguridad en IT en 17 pa铆ses. Para el caso de Am茅rica Latina, el estudio incluye a M茅xico.

IoT, autenticaci贸n y la nube: principales impulsores del incremento en la adopci贸n de PKI

A medida que las organizaciones se tornan m谩s dependientes de la informaci贸n digital y se enfrentan a cada vez mayores y m谩s sofisticados ciberataques, tambi茅n depender谩n de PKI para controlar el acceso a sus datos y verificar a gran escala las identidades de las personas, sistemas y dispositivos.

IoT es la tendencia de mayor crecimiento que impulsa el despliegue y aplicaci贸n de PKI, aumentando un 26 por ciento en los 煤ltimos cinco a帽os hasta alcanzar un 47 por ciento en 2020. Los servicios alojados en la nube son el segundo impulsor, citado por el 44 por ciento de los encuestados. En M茅xico los encuestados citan IoT como la tendencia m谩s importante (52 por ciento) y tambi茅n que dependen de proveedores de servicios externos para la dotaci贸n de personal PKI m谩s que cualquier otro pa铆s (25 por ciento en comparaci贸n con la media global del 14 por ciento).

El uso de PKI aumenta para los casos de uso en la nube y para la autenticaci贸n

Los certificados TLS/SSL para p谩ginas web y servicios dirigidos al p煤blico son citados con mayor frecuencia como los casos de uso para las credenciales PKI (un 84 por ciento de encuestados). Las aplicaciones p煤blicas alojadas en la nube experimentaron el mayor crecimiento en comparaci贸n con el a帽o anterior, citado por un 82 por ciento (lo cual supone un aumento del 27 por ciento con respecto a la cifra en 2019), seguido por la autenticaci贸n de usuarios de empresa, indicada por un 70 por ciento de los encuestados (lo cual supone un incremento del 19 por ciento en comparaci贸n con la cifra en 2019). Todos subrayan la necesidad cr铆tica de implementar PKI para apoyar las aplicaciones centrales del negocio.

La media del n煤mero de certificados que una organizaci贸n necesita gestionar creci贸 un 43 por ciento en el estudio de 2020 en comparaci贸n con el a帽o anterior, de 39.197 a 56.192 certificados, lo cual recalca un requisito fundamental para la gesti贸n de certificados de empresa. Es probable que este incremento est茅 motivado por la transici贸n de la industria a periodos m谩s cortos de validez de certificados, y un incremento agudo en el n煤mero de casos de uso ligados a la autenticaci贸n de usuarios en la nube y en la empresa.

Retos, cambios e incertidumbre

El estudio de 2020 halla que los profesionales de IT est谩n haciendo frente a nuevos retos a la hora de habilitar aplicaciones para que usen PKI. M谩s de la mitad (un 52 por ciento) cita como reto principal la falta de visibilidad de las capacidades de seguridad de una PKI ya existente, lo cual supone un incremento del 16 por ciento en comparaci贸n con el estudio de 2019. Esta cuesti贸n subraya la falta de experiencia en materia de ciberseguridad existente incluso dentro de las organizaciones con mejores recursos, as铆 como la necesidad de especialistas en PKI que puedan crear hojas de ruta empresariales, customizadas en base a buenas pr谩cticas de seguridad y operacionales. Los encuestados tambi茅n citan como retos cruciales la incapacidad de cambiar aplicaciones heredadas y la incapacidad de las PKI ya existentes de respaldar nuevas aplicaciones 鈥 ambos en un 51 por ciento.

A la hora de implementar y gestionar PKI, los profesionales de seguridad en IT se encuentran m谩s retados por asuntos organizacionales tales como la falta de responsabilizaci贸n, as铆 como insuficientes habilidades y recursos. Las cifras del estudio relativas al despliegue de PKI indican claramente una tendencia hacia enfoques m谩s diversificados, incluso llegando a convertirse en algunos pa铆ses en m谩s prevalentes las ofertas 鈥榗omo servicio鈥 que en las mismas instalaciones. En M茅xico, un 81 por ciento de encuestados declara que el principal reto a la hora de implementar y gestionar PKI era la clara falta de responsabilizaci贸n.

Las dos 谩reas de mayor cambio e incertidumbre en PKI derivan de nuevas aplicaciones como IoT (citado por el 52 por ciento de los encuestados) y los mandatos y est谩ndares externos (un 49 por ciento). El ambiente reglamentario tambi茅n est谩 impulsando de manera creciente el despliegue de aplicaciones que usen PKI, indicado por un 24 por ciento de los encuestados. Un 59 por ciento de los encuestados mexicanos citan los mandatos y est谩ndares externos como las 谩reas de mayor cambio e incertidumbre en la evoluci贸n de PKI.

Las pr谩cticas de seguridad no han seguido el ritmo del crecimiento

En los pr贸ximos dos a帽os, un promedio del 41 por ciento de dispositivos IoT depender谩n primordialmente de certificados digitales para su identificaci贸n y autenticaci贸n. A pesar de aumentar el cifrado de dispositivos IoT, plataformas y repositorios de datos, este tan s贸lo se sit煤a en un 33 por ciento 鈥 suponiendo un posible punto de exposici贸n al p煤blico de datos de car谩cter sensible. Los encuestados citan varias amenazas a la seguridad IoT, incluyendo la alteraci贸n de la funci贸n de los dispositivos IoT a trav茅s de malware u otros ataques (68 por ciento) y el control remoto del dispositivo por un usuario no autorizado (54 por ciento). Sin embargo, los encuestados clasifican los controles relativos a la protecci贸n ante posible malware 鈥 como la emisi贸n segura de parches y actualizaciones para dispositivos IoT 鈥 en 煤ltimo lugar en su lista de cinco funciones de seguridad IoT m谩s importantes.

El Instituto Nacional de Est谩ndares y Tecnolog铆a de los Estados Unidos (NIST) recomienda que los m贸dulos criptogr谩ficos para las autoridades de certificaci贸n (CAs), los servidores de recuperaci贸n de claves y respondedores del protocolo de estado de certificado en l铆nea (OCSP) sean validados en base al est谩ndar FIPS 140-2 de nivel 3 o mayor. El 39 por ciento de los encuestados para este estudio usa M贸dulos de Seguridad de Hardware (HSM por sus siglas en ingl茅s) para mantener seguras su PKI, en la mayor铆a de los casos para gestionar sus claves privadas para sus CA de ra铆z, emisi贸n o reglamento. Sin embargo, s贸lo un 12 por ciento de encuestados indica que usa HSM en sus instalaciones OSCP, lo cual pone en evidencia una brecha significativa entre buenas pr谩cticas y pr谩cticas observadas.

En M茅xico el uso de controles de PKI y buenas pr谩cticas tiende a estar por debajo de la media, particularmente el uso de una ubicaci贸n segura citado por un 31 por ciento de encuestados en el pa铆s frente al 49 por ciento global. Adicionalmente, M茅xico se sit煤a en el tercer puesto a nivel global a la hora de usar autoridades internas de certificaci贸n corporativa (79 por ciento).

鈥淧KI apoya la seguridad de tanto el mundo de negocios como la del consumidor, englobando desde la firma digital de transacciones y aplicaciones para probar la fuente tanto como la integridad, hasta el apoyo en la autenticaci贸n de smartphones, videoconsolas, pasaportes de ciudadanos, sistema de tickets para el transporte p煤blico y la banca m贸vil,鈥 afirma Larry Ponemon, fundador del Instituto Ponemon. 鈥淓l Estudio de Tendencias Globales en PKI e IoT en 2020 nos muestra un aumento en el uso de credenciales de PKI para aplicaciones en la nube y la autenticaci贸n de usuarios de empresa, recalcando el papel cr铆tico que desempe帽a PKI en apoyar las aplicaciones fundamentales de negocio.鈥

鈥淓stamos viendo un incremento en la dependencia de PKI, yuxtapuesto con la lucha de equipos internos por adaptarlo a los nuevos mercados y sus necesidades 鈥 impulsando cambios en los modelos de despliegue y m茅todos tradicionales de PKI,鈥 dice John Grimm, vicepresidente de estrategia para soluciones digitales de Entrust. 鈥淓n sectores m谩s nuevos como lo es IoT, las empresas claramente est谩n fracasando a la hora de priorizar mecanismos de seguridad como la firma de firmware que contrarresten las amenazas m谩s urgentes, como el malware. Asimismo, con el incremento masivo de certificados emitidos y adquiridos que fueron identificados en el estudio de este a帽o, la importancia de implementar una gesti贸n automatizada de certificados, un enfoque flexible de despliegue de PKI y una seguridad robusta basada en buenas pr谩cticas incluyendo HSM, nunca ha sido mayor.鈥

Metodolog铆a del Estudio de Tendencias Globales en PKI e IoT en 2020
Acerca de Entrust

Destacamos

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.