Las tendencias tecnológicas han cambiado la mirada de los profesionales de TI con respecto a la seguridad en el perímetro empresarial. Las tecnologías operativas que antes se limitaban a sus dimensiones físicas —como la maquinaria emplazada en la planta de una fábrica, la infraestructura industrial y de servicios, los instrumentos de un hospital o las cocinas industriales— ahora se pueden conectar a Internet y se han vuelto vulnerables a los ciberataques. Las aplicaciones y los servicios han migrado a la nube, lo que generó cambios en los modelos de acceso de los usuarios y un viraje hacia la orquestación bajo demanda, la computación sin servidor y las arquitecturas de datos distribuidas. La proliferación de los dispositivos ha llevado a que los empleados a menudo se conecten a sus propios aparatos personales, desde teléfonos celulares, tablets y computadoras hasta vehículos monitorizados y redes empresariales. Estos cambios, que desafían la noción del perímetro tradicional, empujan a las empresas a replantearse los supuestos básicos que rigen la seguridad de los usuarios, las aplicaciones y la organización en general.
Dado que las empresas ya no pueden basarse en límites físicos o virtuales para definir la confianza, muchas han adoptado una política de seguridad de confianza cero. Este enfoque, caracterizado por la premisa de no confiar nunca de antemano, sino en verificar todo siempre, exige la autenticación de todos los accesos a los servicios, redes y aplicaciones. En consecuencia, las personas a cargo de gestionar las identidades y los accesos deben hacer frente a muchas más exigencias en sus empresas:
En un entorno sin perímetro, la cantidad y el tipo de elementos que deben protegerse también aumentan. La función del administrador de PKI ya no se restringe a la seguridad web tradicional en lo relativo al protocolo TLS, sino que abarca nuevos casos de uso a lo largo y ancho de la empresa:
Paradójicamente, a medida que crecen los casos de uso de la PKI, se reducen los períodos de validez de los certificados que afectan a la confianza pública. Si bien estos plazos más acotados refuerzan la seguridad de los certificados, también incrementan la carga administrativa que supone la gestión y aumentan el riesgo de que se produzcan interrupciones en la actividad empresarial. Naturalmente, este cambio hace que todas las miradas se dirijan hacia las soluciones de gestión de PKI que brindan ayuda con la gobernanza de este entorno.
Los dispositivos conectados —ya sea que se trate de dispositivos personales conectados a una red o de tecnologías operativas que han migrado a la nube— incrementan la superficie de ataque que ahora debemos proteger. Los administradores de seguridad de las tecnologías operativas y de red no solo deben evaluar cómo aprovisionar la identidad de los dispositivos, sino también cómo protegerlos durante su funcionamiento. En otras palabras, deben plantearse cómo evitar que se manipulen los dispositivos, cómo proteger las comunicaciones que mantienen entre sí, cómo controlar el modo en que se conectan a la red, cómo combinar dispositivos nuevos y heredados y habilitar la autenticación mutua entre ellos, y cómo detectar amenazas.
Por su parte, los encargados de los productos de seguridad que diseñan y desarrollan soluciones para dispositivos deben tener en cuenta la superficie que se debe proteger durante todo el ciclo de vida de estos artefactos. Aquí se incluye a los fabricantes de chips y dispositivos, a los desarrolladores de aplicaciones y, en última instancia, a los operadores y usuarios de los dispositivos en cuestión.
Los pilares fundamentales de la confianza digital —estándares, cumplimiento y operaciones, gestión de la confianza y confianza conectada— son la tecnología básica que permite que las empresas funcionen de manera segura en un mundo en el que los límites de las compañías ya no definen qué es confiable y qué no lo es. Las soluciones de confianza digital permiten que las empresas hagan lo siguiente:
Las iniciativas de confianza digital, que pueden establecer un enfoque de seguridad integral y unificado dentro de una empresa sin perímetro, abordan la forma en que la disolución del perímetro tradicional de las compañías define las exigencias en materia de seguridad en los distintos departamentos de TI.
¿Le gustaría obtener más información sobre la plataforma que ofrece DigiCert para garantizar la confianza digital? Envíenos un correo electrónico a pki_info@digicert.com para conocer más detalles o coordinar una consulta con el equipo de ventas.