¿Qué cifrar en un sistema corporativo? ¿Y por qué haces esto?

GlobalSign realizó una encuesta sobre cómo y por qué las empresas generalmente usan la infraestructura de clave pública (PKI). Alrededor de 750 personas participaron en la encuesta: también se les hicieron preguntas sobre firmas digitales y DevOps.

Si no está familiarizado con el término, PKI permite que los sistemas intercambien datos de forma segura y verifiquen los propietarios de los certificados. Las soluciones PKI incluyen autenticación de certificado digital y claves públicas para cifrado y verificación criptográfica de autenticidad de datos. Cualquier información confidencial se basa en el sistema PKI, y GlobalSign es considerado uno de los principales proveedores mundiales de dichos sistemas.

Por lo tanto, consideraremos varios hallazgos clave del estudio.

¿Qué es encriptado?

En general, el 61,76% de las empresas utilizan la PKI de una forma u otra.



Una de las principales preguntas que interesaron a los investigadores fue qué sistemas de cifrado específicos y certificados digitales utilizan los encuestados. No es sorprendente que aproximadamente el 75% dijo que usa certificados SSL o TLS públicos, y aproximadamente el 50% confía en SSL y TLS privados. Esta es la aplicación más popular de la criptografía moderna: el cifrado del tráfico de red.


Esta pregunta se hizo a empresas que respondieron positivamente a preguntas anteriores sobre el uso de sistemas PKI, y permitió varias respuestas

Un tercio de los participantes (30%) dijo que usan certificados para firmas digitales, mientras confían un poco menos en PKI para protección de correo electrónico ( S / MIME ). S / MIME es un protocolo generalizado para enviar mensajes cifrados con firma digital y una forma de proteger a los usuarios contra el phishing. Dado el creciente número de ataques de phishing, está claro por qué esta es una solución cada vez más popular para proteger a las empresas.

También vimos por qué las empresas inicialmente optaron por tecnologías basadas en PKI. Más del 30% indicó la escalabilidad de Internet de las cosas ( IoT ), mientras que el 26% creía que la PKI se puede aplicar en una amplia variedad de industrias. El 35% de los encuestados dijo que valora la PKI por la integridad de los datos.

Problemas comunes de implementación

Aunque sabemos que la PKI es de gran valor para la organización, la criptografía es una tecnología bastante sofisticada. Debido a esto, hay problemas con la implementación. Preguntamos qué piensan los encuestados sobre los principales problemas de implementación. Resultó que uno de los mayores problemas es la falta de recursos internos de TI. Simplemente no hay suficientes trabajadores calificados que entiendan la criptografía. Además, el 17% de los encuestados informó un largo tiempo de implementación del proyecto, y casi el 40% mencionó que la gestión del ciclo de vida puede llevar mucho tiempo. Para muchos, la barrera es el alto costo de las soluciones PKI especializadas.



Aprendimos de la encuesta que muchas compañías aún usan su propio centro de certificación interno, a pesar de la carga que crea en los recursos de TI de la compañía.

El estudio también indicó un aumento en el uso de firmas digitales. Más del 50% de los encuestados dijeron que utilizan activamente las firmas digitales para proteger la integridad y autenticidad del contenido.



En cuanto a por qué eligieron las firmas digitales, el 53% de los encuestados dijo que la razón principal era el cumplimiento de los requisitos reglamentarios, y el 60% dijo que introdujeron tecnologías sin papel. Una de las principales razones de la transición a las firmas digitales se llama ahorro de tiempo. Además, la capacidad de reducir el tiempo de procesamiento de documentos es una de las principales ventajas del uso de la tecnología PKI.

Cifrado en DevOps

El estudio no estaría completo si no se preguntara a los encuestados sobre el uso de sistemas de encriptación en DevOps; este es un mercado de rápido crecimiento, que se prevé que alcance los $ 13 mil millones para 2025. Aunque el mercado de TI cambió rápidamente a la metodología DevOps (desarrollo + operaciones) con sus procesos comerciales automatizados, flexibilidad y enfoques ágiles, en realidad, estos enfoques abren nuevos riesgos de seguridad. Actualmente, el proceso de obtención de certificados en el entorno DevOps es complicado, lento y propenso a errores. Esto es lo que enfrentan los desarrolladores y las empresas:

• Más y más claves y certificados que sirven como identificadores de máquinas en equilibradores de carga, máquinas virtuales, contenedores y redes de servicio. La gestión caótica de estos identificadores sin la tecnología adecuada se está convirtiendo rápidamente en un proceso costoso y arriesgado.
  
• Certificados débiles o vencimientos inesperados de certificados cuando faltan buenas prácticas de cumplimiento y monitoreo de políticas. No hace falta decir que dicho tiempo de inactividad tiene un impacto significativo en el negocio.

Por lo tanto, GlobalSign ofrece una solución PKI para DevOps que se integra directamente con la API REST, EST o la nube Venafi , por lo que el equipo de desarrollo continúa trabajando al mismo ritmo sin sacrificar la seguridad.

---

Los criptosistemas de clave pública son una de las tecnologías de seguridad más fundamentales. Y seguirá siéndolo en el futuro previsible. Y teniendo en cuenta el crecimiento explosivo que observamos en el sector de IoT, este año esperamos un número aún mayor de implementaciones de sistemas PKI.