La automatización facilita mantenerse al día con los cambios de la industria y mantener la visibilidad sobre su red de certificados. Pero también, ¿que se debería o no automatizar?
Por: Avesta Hojjati, líder de R&D en DigiCert,
Jeremy Rowley, vicepresidente ejecutivo de producto en DigiCert
Existe una necesidad creciente de automatizar la seguridad digital, específicamente la gestión de certificados, porque puede ahorrar tiempo y dinero y, en general, facilitar su trabajo. Además, Gartner estima que con los nativos digitales de la Generación Z que ingresan actualmente a la fuerza laboral, habrá aún más énfasis en la automatización en los próximos años. El caso de negocio para implementar la automatización ahora es cada vez más evidente. Las empresas que apliquen la automatización ahora serán las que salgan adelante mañana; sin embargo, eso no significa que se deba automatizar todo, ya que ciertas tareas deben dejarse en manos de los humanos. Digicert comparte con los usuarios seis razones convincentes para comenzar a usar herramientas de automatización ahora para administrar los certificados digitales.
1. La vida útil de los certificados es más corta
Mientras que antes era bueno tener la automatización de certificados, con una reducción en la vida útil de los certificados, la automatización ahora es necesaria para mantenerse al día con la gestión de certificados. A partir del 1 de septiembre de 2020, la duración de los certificados se redujo a un máximo de un año. Con una vida útil más corta, la gestión de certificados con hojas de cálculo y notificaciones ya no es viable. Además, se espera que pueda haber una mayor reducción de la vida útil en el futuro, lo que requerirá una automatización adicional para simplificar la gestión de certificados.
2. Las amenazas web continúan volviéndose más sofisticadas
Es difícil mantenerse actualizado con las últimas amenazas a la seguridad web cuando continúan evolucionando en sofisticación. Los procesos automatizados hacen que sea más fácil adelantarse a las amenazas y responder rápidamente en caso de infracciones.
En 2020, las empresas líderes lograron grandes avances en la computación cuántica. Además, no se debe subestimar el tiempo que llevará la transición de su criptografía desde el uso de certificados con algoritmos clásicos a los algoritmos post-cuánticos. Sin embargo, las herramientas de automatización lo harán más adaptable para protegerse contra las amenazas al permitir descubrir certificados obsoletos que admiten la criptografía precuántica y reemplazarlos rápidamente.
Finalmente, la transición global al trabajo remoto durante el último año ha aumentado su vector de amenazas y la necesidad de seguridad de la red. Los atacantes lo saben y se aprovecharán de cualquier vulnerabilidad que encuentren. Hubo un gran aumento en los ataques en marzo de 2020, a medida que las organizaciones hicieron la transición a operaciones comerciales virtuales. Además de las mejores prácticas para proteger la fuerza de trabajo remota, la automatización puede ayudar a simplificar las tareas de administración remota.
3. La automatización aumenta la eficiencia
Es importante mejorar la productividad y el rendimiento empresarial con herramientas de automatización que reducen los errores humanos, ahorran tiempo, ahorran dinero y facilitan la gestión de certificados. Una encuesta encontró que más del 40% de los trabajadores encuestados dedican una cuarta parte de su semana laboral a tareas manuales repetitivas, y el 60% estima que podrían ahorrar al menos seis horas a la semana implementando la automatización.
4. El uso de certificados está aumentando
Alrededor del 80% de las organizaciones estiman que su uso de TLS aumentará en una cuarta parte en los próximos cinco años, lo que solo puede aumentar las consecuencias de las interrupciones. De hecho, el 85% de los CIO creen que la creciente complejidad de los sistemas de TI hará que las interrupciones sean aún más dañinas. Si bien un proceso manual puede funcionar para organizaciones pequeñas, no se sostiene a gran escala. Cuantos más certificados utilice, más automatización necesitará.
5. La automatización respalda el cumplimiento y la auditabilidad
La automatización facilita mantenerse al día con los cambios de la industria y mantener la visibilidad sobre su red de certificados. La mayoría de los equipos no tienen el ancho de banda para dedicar un miembro del equipo solo a la administración de certificados, sin embargo, administrar certificados y mantenerse al día con los cambios de la industria puede ser un trabajo de tiempo completo.
6. Las interrupciones de los certificados pueden tener graves consecuencias
Las interrupciones de los certificados pueden costar más de U$ 500,000 por hora y la reparación de un certificado caducado puede llevar horas o días. En 2019, el costo promedio de una violación de datos fue de U$ 3.9 millones. Además de los ingresos, las interrupciones de los certificados también pueden dañar la reputación de la marca y la relación con los usuarios finales. Las organizaciones pueden perder alrededor de U$ 5,600 por minuto debido a interrupciones, además de dañar la reputación. Se puede evitar la pérdida de ingresos y el daño a la reputación con la automatización de certificados.
Pero, ¿qué automatizar?
Solicitud o renovación: Renovar o solicitar nuevos certificados puede ser un proceso tedioso, pero con la renovación automática puede ahorrar tiempo y estrés. Puede configurar la renovación automática en la consola de CertCentral de DigiCert y luego esperar mientras las renovaciones se hacen cargo de sí mismas.
Validación y aprobación: la validación de certificados digitales es el proceso de verificación de un dominio, organización y / o individuo. La organizaciones pueden enviar información para la validación previa para agilizar el proceso. A continuación, se explica cómo automatizar las renovaciones de certificados. Una vez que envía la información y esté aprobada, todas las futuras emisiones y renovaciones de certificados se pueden realizar casi de inmediato.
Alertas: Se pueden automatizar alertas para ciertos eventos, para mantenerse informado sobre los aspectos importantes de la administración de certificados. D
Visibilidad e informes: debería ser fácil encontrar los posibles riesgos o vulnerabilidades en la red y, a medida que se descubren problemas, se debe automatizar la renovación y la instalación para resolverlos de forma rápida y eficaz. El descubrimiento de DigiCert CertCentral proporciona visibilidad de todo el panorama de certificados de una organización, incluidos los certificados de CA de terceros, para una gestión activa, y también permite la renovación e instalación automatizadas.
Revocación: DigiCert se toma en serio el compromiso de hacer de Internet un espacio seguro, y cualquier informe de problema de certificado se aborda rápidamente para garantizar la integridad del certificado. DigiCert ofrece una solución de revocación automática para la notificación de problemas de certificados. La herramienta permite que cualquier persona envíe un informe de problema y revisa automáticamente la evidencia para determinar si es necesaria la revocación del certificado. Si es así, la solución programa automáticamente la revocación de todos los certificados afectados.
Integración con otras plataformas: la integración de la gestión de certificados en un sistema puede simplificar su flujo de trabajo y facilitar la búsqueda de la información que necesita a través de las URL y API de ACME. Cualquier cliente de soporte de ACME puede automatizar las tareas esenciales de gestión de certificados de DigiCert CertCentral.
Firma de código: la firma de código automatizada ayuda a garantizar que los procesos de desarrollo se muevan rápidamente, incluso con un personal más pequeño. Con un administrador de firma de código, se puede automatizar la firma de código con la integración de API incorporada y planificar y aprobar las ventanas de firma para versiones y actualizaciones seguras. DigiCert Secure Software Manager automatiza y gestiona la seguridad de PKI en las canalizaciones de CI / CD con firma automatizada de paquetes, binarios y contenedores en cada combinación para dominar cuando se autoriza, lo que impulsa la integridad y la confianza en los productos y la infraestructura.
Qué no debería automatizar: en la era de la transformación digital, puede resultar tentador automatizar todo. Sin embargo, hay ciertas tareas que no debe automatizar. ¡No se debe automatizar todo! Hay ciertas tareas que aún requieren la intervención humana. Si una tarea requiere una toma de decisiones clave y variará según diferentes factores, es mejor no automatizar.
Atención al cliente: la atención al cliente es una tarea clave que no se debe automatizar. Los clientes pueden notar la diferencia entre las llamadas telefónicas automatizadas y las respuestas automatizadas y la atención al cliente genuina.
Tareas de bajo ROI: no automatizar tareas que tengan un bajo retorno de la inversión (ROI) porque simplemente no vale la pena. Generalmente, si las tareas tienen un gran volumen a escala, son repetibles y valiosas, deben automatizarse. Sin embargo, si las tareas son proyectos únicos y de bajo volumen, no tendrán tanto valor si se automatizan.
Procesos muy complejos: ciertos procesos son demasiado complejos para automatizar y serían demasiado complicados para automatizar. Todo lo que deba pasar por múltiples niveles de aprobación y toma de decisiones no sería más eficiente de automatizar.