La Infraestructura de Clave Pública (PKI) es ampliamente utilizada para múltiples aplicaciones, pero la tecnología de seguridad puede ser también un punto clave de cambio. Las empresas la están utilizando con sistemas heredados que necesitan actualización, pero tienen dudas en cuanto a hacer cambios. Esto, en combinación con el desplazamiento hacia la nube y el rápido avance de Internet de los Objetos, coloca la PKI en una posición interesante.

El “Estudio sobre tendencias globales PKI 2015” del Instituto Ponemon, patrocinado por Thales e-Security, arroja que las compañías están utilizando su PKI para dar soporte a siete diferentes aplicaciones. No obstante, los resultados de este estudio indican que se carece en sentido general de una propiedad clara de las PKI, así como falta de recursos y habilidades para dar un soporte apropiado a estas. Los métodos para aplicar PKI están fragmentados y no siempre incorporan las mejores prácticas, lo que ilustra la necesidad de que muchas organizaciones incrementen sus esfuerzos para asegurar su PKI como parte importante en la creación de una base de confianza.

“Uno de los hallazgos más interesantes es que las compañías están utilizando su PKI para muchas más cosas de las que se plantearon originalmente”, señala John Grimm, director senior para marketing de productos en Thales e-Security. “Pero adónde nos dirigimos y lo que estamos observando es que las PKI en que se basan no están aptas para la tarea y no fueron diseñadas para lo que la gente necesita hacer”.

Las empresas están ejecutando hasta siete aplicaciones con una PKI que fue diseñada para una o dos aplicaciones. Además, algunos de esos sistemas son más viejos y no están en capacidad de manejar modernos protocolos de encriptación y longitudes de claves.

Las compañías necesitan desarrollar un plan de transición para modernizar PKI, dice Grimm. Esto hace falta no solo para actualizar los sistemas heredados, sino también para permitirles el acceso a la nube. Pero esto nos lleva a otro asunto, y es que hay falta de conocimiento en cuanto a dar soporte a estos sistemas heredados, señala Grimm. Suele ocurrir que los empleados que crearon esos sistemas ya no están y no hay nadie en el staff que tenga conocimientos para hacer la transición a un sistema moderno.

Y además está ese tren llamado Internet de los Objetos que está acelerando su marcha hacia las empresas, señala Grimm. Esto podría resultar en una explosión de PKI ya que se emite un certificado para cada dispositivo, pero estos piden sistemas modernos, flexibles y escalables. Las empresas están tratando de encontrar la mejor forma de utilizar PKI para asegurar esos sistemas.

El estudio encontró otros problemas también relativos a PKI. Las empresas están protegiendo sus claves raíz PKI básicamente con contraseñas. Esto no es lo ideal, y las empresas debieran utilizar módulos de seguridad de hardware (HSM), apunta Grimm. Solo un 28% de los encuestados utilizaban HSM.

También había problemas con las listas de revocación de certificados. El treinta y siete por ciento de los entrevistados plantea que sus organizaciones ni emiten listas de revocación de certificados, ni utilizan tecnología de respuesta sobre el estado de los certificados en línea, dejándolos en mala posición para recuperarse del compromiso de raíz o de compromiso de clave privada de autoridad emisora de certificación. Sin embargo, las organizaciones que emplean HSM tienen más posibilidades de utilizar técnicas de revocación de certificados online y offline. Esto sugiere que las organizaciones que utilizan HSM están más maduras y a tono con las mejores prácticas, que aquellas que no lo hacen.

Este reporte resume los resultados de una encuesta realizada con 1,511 profesionales de informática y de seguridad informática en Estados Unidos, Reino Unido, Alemania, Francia, Australia, Japón, Brasil, la Federación Rusa, India y México. El informe tabula las respuestas en las entrevistas, y extrae algunas conclusiones limitadas sobre cómo se reflejan las mejores prácticas en las prácticas observadas.

Una copia del informe puede descargarse aquí.