Digital Trust 06-13-2022

La Confianza Digital en las Empresas sin Perímetro

Diana Jovin
digicert-blogimages-mar22

La disolución del perímetro empresarial

Las tendencias tecnológicas han cambiado la mirada de los profesionales de TI con respecto a la seguridad en el perímetro empresarial. Las tecnologías operativas que antes se limitaban a sus dimensiones físicas —como la maquinaria emplazada en la planta de una fábrica, la infraestructura industrial y de servicios, los instrumentos de un hospital o las cocinas industriales— ahora se pueden conectar a Internet y se han vuelto vulnerables a los ciberataques. Las aplicaciones y los servicios han migrado a la nube, lo que generó cambios en los modelos de acceso de los usuarios y un viraje hacia la orquestación bajo demanda, la computación sin servidor y las arquitecturas de datos distribuidas. La proliferación de los dispositivos ha llevado a que los empleados a menudo se conecten a sus propios aparatos personales, desde teléfonos celulares, tablets y computadoras hasta vehículos monitorizados y redes empresariales. Estos cambios, que desafían la noción del perímetro tradicional, empujan a las empresas a replantearse los supuestos básicos que rigen la seguridad de los usuarios, las aplicaciones y la organización en general.

Rediseño del acceso a las aplicaciones y a la TI

Dado que las empresas ya no pueden basarse en límites físicos o virtuales para definir la confianza, muchas han adoptado una política de seguridad de confianza cero. Este enfoque, caracterizado por la premisa de no confiar nunca de antemano, sino en verificar todo siempre, exige la autenticación de todos los accesos a los servicios, redes y aplicaciones. En consecuencia, las personas a cargo de gestionar las identidades y los accesos deben hacer frente a muchas más exigencias en sus empresas:

  • Más puntos de acceso que requieren autenticación
  • Un mayor volumen de autenticaciones
  • Más tipos de autenticación, como los métodos biométricos o sin contraseña

Gestión de la identidad, la integridad y el cifrado

En un entorno sin perímetro, la cantidad y el tipo de elementos que deben protegerse también aumentan. La función del administrador de PKI ya no se restringe a la seguridad web tradicional en lo relativo al protocolo TLS, sino que abarca nuevos casos de uso a lo largo y ancho de la empresa:

  • Identidades de los servidores, los dispositivos y los usuarios
  • Aumento de los métodos de autenticación e inscripción
  • Integridad de las firmas digitales, los documentos, los contenidos y el software, con registros de auditoría que permiten realizar correcciones
  • Protección y cifrado de las comunicaciones
  • Protección del correo electrónico

Paradójicamente, a medida que crecen los casos de uso de la PKI, se reducen los períodos de validez de los certificados que afectan a la confianza pública. Si bien estos plazos más acotados refuerzan la seguridad de los certificados, también incrementan la carga administrativa que supone la gestión y aumentan el riesgo de que se produzcan interrupciones en la actividad empresarial. Naturalmente, este cambio hace que todas las miradas se dirijan hacia las soluciones de gestión de PKI que brindan ayuda con la gobernanza de este entorno.

Protección de los dispositivos conectados

Los dispositivos conectados —ya sea que se trate de dispositivos personales conectados a una red o de tecnologías operativas que han migrado a la nube— incrementan la superficie de ataque que ahora debemos proteger. Los administradores de seguridad de las tecnologías operativas y de red no solo deben evaluar cómo aprovisionar la identidad de los dispositivos, sino también cómo protegerlos durante su funcionamiento. En otras palabras, deben plantearse cómo evitar que se manipulen los dispositivos, cómo proteger las comunicaciones que mantienen entre sí, cómo controlar el modo en que se conectan a la red, cómo combinar dispositivos nuevos y heredados y habilitar la autenticación mutua entre ellos, y cómo detectar amenazas.

Por su parte, los encargados de los productos de seguridad que diseñan y desarrollan soluciones para dispositivos deben tener en cuenta la superficie que se debe proteger durante todo el ciclo de vida de estos artefactos. Aquí se incluye a los fabricantes de chips y dispositivos, a los desarrolladores de aplicaciones y, en última instancia, a los operadores y usuarios de los dispositivos en cuestión.

Confianza digital: el modelo de seguridad de las empresas sin perímetro

Los pilares fundamentales de la confianza digital —estándares, cumplimiento y operaciones, gestión de la confianza y confianza conectada— son la tecnología básica que permite que las empresas funcionen de manera segura en un mundo en el que los límites de las compañías ya no definen qué es confiable y qué no lo es. Las soluciones de confianza digital permiten que las empresas hagan lo siguiente:

Gestionar las identidades
  • Aprovisionar identidades confiables a los usuarios, dispositivos, servidores y otros recursos de TI para poder autenticar a los usuarios, las redes y los dispositivos
  • Gestionar y automatizar el ciclo de vida de los certificados y los flujos de acceso para responder a las crecientes exigencias en materia de TI y reducir los errores humanos
Gestionar la integridad
  • Controlar la ausencia de rechazo y la integridad de las firmas, los documentos y el contenido
  • Definir la integridad del software y extender su confianza para abarcar no solo a los usuarios, sino también las operaciones de red y en la nube
Proteger las conexiones y las operaciones
Supervisar y corregir las vulnerabilidades
  • Supervisar los recursos criptográficos de manera permanente dentro del entorno de la empresa e identificar y corregir vulnerabilidades

Las iniciativas de confianza digital, que pueden establecer un enfoque de seguridad integral y unificado dentro de una empresa sin perímetro, abordan la forma en que la disolución del perímetro tradicional de las compañías define las exigencias en materia de seguridad en los distintos departamentos de TI.

Consulte a DigiCert

¿Le gustaría obtener más información sobre la plataforma que ofrece DigiCert para garantizar la confianza digital? Envíenos un correo electrónico a pki_info@digicert.com para conocer más detalles o coordinar una consulta con el equipo de ventas.

UP NEXT
VMC

Cómo configurar el protocolo DMARC para poder obtener un certificado VMC para su dominio

5 Min

Artículos destacados

09-14-2021

Predicciones de seguridad para 2022

09-01-2021

Estándar BIMI: cómo preparar el logotipo de su empresa

10-19-2020

Cómo obtener un certificado VMC y registrar un logotipo