Para muchas empresas, el COVID-19 aceleró los proyectos para migrar sistemas a la nube y para admitir el trabajo remoto.
Con las empresas migrando a los servicios en línea y respaldando un número sin precedentes de personal que trabaja de forma remota, el enfoque perimetral tradicional y los modelos de ciberseguridad ya no son válidos, afirma Dean Coclin, director senior de desarrollo comercial de Digicert.
En México, el 37% de los consumidores piensa que el riesgo de estafas aumenta en las ventas por internet, según la Asociación Mexicana de Venta Online (AMVO).
Este enfoque asume que se puede confiar en todos los dispositivos, servicios y usuarios dentro del perímetro, mientras que no se puede confiar en todos los que están fuera del perímetro. Sin embargo, el perímetro ahora, en efecto, ha desaparecido.
Para agravar este desafío está la revolución de Internet de las cosas (IoT), que presenta una gran cantidad de problemas en relación con la confianza en esos dispositivos. Ahora tenemos televisores, luces, sistemas de calefacción, automóviles y más conectados a Internet, y la lista de dispositivos conectados, inteligentes o de otro tipo, crece día a día.
- Algunos de estos dispositivos IoT están conectados a entornos corporativos: ese televisor inteligente en la sala de juntas, por ejemplo.
Estos dispositivos, a su vez, también suelen estar conectados a la plataforma del proveedor para soporte, actualizaciones o capacidades de procesamiento adicionales. Entonces, en efecto, nuestros sistemas corporativos ahora deben confiar en un dispositivo de IoT que a su vez está conectado a una plataforma de proveedor fuera de nuestro perímetro y nuestro control directo.
- Además, no todos los proveedores de IoT invierten el tiempo o el esfuerzo adecuados para incorporar seguridad en sus productos. Hay muchos ejemplos de dispositivos de IoT que tienen una autenticación débil, o con credenciales predeterminadas configuradas, o los proveedores no tienen formas adecuadas de actualizar los dispositivos con actualizaciones de seguridad.
El crecimiento de las redes 5G apoyará el crecimiento de los dispositivos de IoT, lo que solo agravará aún más este problema.
- Los certificados digitales son una piedra fundamental para generar la confianza que necesitamos para llevar nuestra vida personal y comercial de manera segura. Los certificados digitales pueden ayudar a proteger los datos en tránsito a través de las redes o mientras están en reposo.
También pueden proporcionar un mecanismo sólido para autenticar a las personas y los dispositivos, incluidos los dispositivos de IoT, en nuestros sistemas para que podamos estar seguros de que nos estamos comunicando y conectando con aquellos en quienes confiamos.
- Es importante tener en cuenta que los certificados digitales por sí solos pueden no ser suficientes para generar y mantener los niveles de confianza requeridos. En el pasado, los certificados digitales mal administrados y sus claves asociadas han sido abusados por actores malintencionados.
Los delincuentes han robado certificados de empresas acreditadas y luego los han utilizado para firmar digitalmente actualizaciones de software o realizar otras actividades maliciosas. Como cualquier activo valioso, las claves privadas de los certificados digitales deben protegerse adecuadamente.
En el mundo posterior a la pandemia, continuaremos experimentando un aumento en la cantidad de personas y organizaciones que aprovechan el trabajo remoto, se involucran en el empleo de nuevas plataformas en línea e implementan dispositivos de IoT en hogares y oficinas. Esto conducirá a un aumento en la cantidad de certificados digitales que una organización tendrá que administrar.
Con la erosión del perímetro de seguridad, estos certificados digitales deberán emitirse, renovarse, revocarse y gestionarse continuamente para garantizar su integridad. La gran escala y el volumen de certificados digitales que se administrarán requerirá que las organizaciones empleen soluciones escalables para administrar certificados digitales sin problemas en la nube pública o privada, en las instalaciones o mediante una solución de administración alojada por CA.