A lo largo del último año, los mercados de la infraestructura de clave pública (PKI) y la ciberseguridad han sido testigos de una serie de acontecimientos que han servido de catalizador para que las organizaciones reevalúen y actualicen su postura de seguridad, incluyendo nuevas normativas y cambios, debates en torno a los períodos de validez de los certificados, la evolución de las ciberamenazas basadas en IA, así como ejemplos reales del devastador impacto que los incidentes de seguridad pueden tener en los equipos de TI y las organizaciones en el panorama digital actual.
Lila Kee, Chief Product Officer de GlobalSign, habla sobre cómo está cambiando el mercado y cómo pueden adaptarse las empresas para estar preparadas para nuevas evoluciones en los próximos años: "En todo el sector de la PKI y la ciberseguridad, se ha producido un cambio significativo en la reorientación del compromiso con la seguridad de los datos y la identidad digital, como demuestran los cambios que han propuesto los principales actores, como los del Foro CA/B [Certificate Authority/Browser] y los navegadores de Internet. Estos cambios afectarán a la forma de operar de las organizaciones a todos los niveles, y a cómo pueden utilizar diversas soluciones para sortearlos."
En este blog, analizamos cómo los acontecimientos que inducen catalizadores están configurando lo que podría depararnos el próximo año.
1. La evolución de la IA
No podríamos mirar las próximas tendencias dentro del mercado sin abordar el avance tecnológico del año, la Inteligencia Artificial (IA).
La IA ha existido por un tiempo, acumulando silenciosamente conocimiento y sofisticación, pero a principios de este año su uso se disparó y las conversaciones en línea estuvieron dominadas por el tema cuando conocimos la plataforma ChatGPT. A medida que la IA tomó al mundo por sorpresa, hubo acogida y reservas de la tecnología dentro de las organizaciones a medida que surgieron los beneficios y desventajas a lo largo del año.
La IA ya no es un sueño lejano y está encontrando rápidamente su lugar dentro de la tecnología moderna, brindando la oportunidad de redefinir lo que es posible y tiene el potencial de mejorar la eficiencia y la productividad dentro de las organizaciones. Pero ha habido una mezcla de historias sobre su impacto y papel dentro de los mercados de ciberseguridad y PKI; Por un lado, se ha demostrado cómo se ha utilizado la IA para mejorar los ataques cibernéticos, como la vulneración del correo electrónico empresarial y el phishing, haciéndolos más difíciles de detectar y mitigar, pero, por otro lado, las investigaciones han demostrado que la IA reduce el tiempo necesario para abordar una infracción o aplicar parches.
Dado que el costo promedio de una filtración de datos ha aumentado un 15 % (desde 2020), el futuro del papel de la IA dentro de los mercados de PKI y ciberseguridad aún no se ha definido completamente, pero observemos este espacio a medida que la tecnología de IA continúa aprendiendo y avanzando.
2. Están surgiendo nuevas regulaciones y se están volviendo globales
A lo largo de décadas se han introducido y perfeccionado estándares, regulaciones y protocolos, con el objetivo de brindar una mejor protección y transparencia en línea, especialmente cuando se trata de protección de datos y transacciones en línea. La regulación eIDAS ha liderado en gran medida este camino a lo largo de los años y la introducción de eIDAS 2.0 y EUDI Wallets (European Digital Identity Wallets) brinda enormes oportunidades, no solo dentro del mercado europeo sino también a nivel mundial a medida que otros países miran hacia la regulación y el uso de verificación de identidad digital como marco para potencialmente adoptar o adaptar para su propio uso.
A principios de este año, la Casa Blanca reveló su Estrategia Nacional de Ciberseguridad y se espera que otros países sigan su ejemplo, si aún no lo han hecho. A medida que la ciberseguridad aumenta en la agenda política, es algo que las organizaciones deben tener en cuenta, tanto en su región operativa como a nivel mundial, para adherirse a áreas relevantes en las que se realiza el comercio.
Los proveedores se adaptarán a los cambios regulatorios
Con una serie de regulaciones existentes que ya están vigentes y se esperan cambios a nivel mundial, es importante elegir un proveedor que apoye y oriente a las organizaciones. GlobalSign es un proveedor de servicios de confianza calificado con una serie de servicios disponibles diseñados para ofrecer a las empresas una variedad de soluciones para cumplir con la regulación eIDAS, pero también brindamos soluciones para respaldar la Directiva de servicios de pago (PSD2).
Entra en contacto con nuestro equipo hoy para analizar tus requisitos reglamentarios
3. Confianza digital preparada para el futuro con la computación post-cuántica
Los avances y la investigación sobre la Computación Cuántica están en curso, aunque en su mayor parte parece estar en un segundo plano, y aunque no es probable que se den grandes pasos el próximo año, es una amenaza de la que las empresas son cada vez más conscientes. Se ha planteado la cuestión de la seguridad de los certificados digitales frente a los avances cuánticos y, sinceramente, puede que aún sea demasiado pronto para saberlo; sin embargo, como comentamos en nuestro blog a principios de este año, la computación post-cuántica es la respuesta que apunta desarrollar algoritmos criptográficos que sean resistentes a los ataques de la amenaza de la computadora cuántica.
No importa cómo se mire, la computación cuántica está llegando y con ella nuevas amenazas y desafíos desconocidos. Sin nuevos estándares de criptografía de clave pública, los piratas informáticos equipados con computadoras cuánticas podrían escuchar e interferir con los sistemas que dependen de la confianza. Es probable que la conversación en torno a las computadoras cuánticas se desarrolle aún más hasta 2024, por lo que elegir una autoridad certificadora que sea proactiva en la investigación de métodos criptográficos, como GlobalSign, significa que puedes tener la confianza de que tus certificados permanecerán seguros a medida que evolucione el panorama.
Future-proof Digital Trust with GlobalSign
4. ¿Existe una fusión Blockchain-PKI en el horizonte?
La tecnología Blockchain se estableció como el componente fundador de Bitcoin y es un libro de contabilidad distribuido, o base de datos descentralizada, formada por bloques de datos que forman una cadena mediante hashes criptográficos, lo que permite compartir información de forma segura dentro de una red empresarial. A lo largo de los años, se han desarrollado una serie de teorías para mostrar cómo se podría utilizar blockchain para proteger las comunicaciones digitales utilizando la identidad a través de PKI y al mismo tiempo ofreciendo transparencia de certificado integrada.
Hasta hace poco, se podría argumentar que la tecnología blockchain y PKI se han estado ejecutando una al lado de la otra, pero a medida que pasa el tiempo, ¿podría ser que una fusión blockchain-PKI esté en el horizonte?
5. La vida útil de los certificados podría disminuir (nuevamente) y el uso de certificados digitales está aumentando
La vida útil de los certificados se ha ido reduciendo durante la última década de cinco años al año actual (397 días), pero si las tendencias anteriores son una indicación, lo más probable es que los períodos de validez de los certificados sigan reduciéndose.
A principios de este año, se iniciaron nuevas conversaciones en todo el mercado de PKI y en la industria de la ciberseguridad a medida que surgía una propuesta para reducir la vida útil de los certificados SSL/TLS. El objetivo de la propuesta es reducir las vulnerabilidades de los sitios web basados en certificados y minimizar la exposición a posibles infracciones, pero al mismo tiempo que lo hace, también aumenta la cantidad de certificados que los equipos de TI deben administrar y rastrear, una tendencia que estamos viendo fuera de SSL/TLS solo.
Los certificados digitales son una herramienta criptográfica versátil que cualquier organización podría utilizar para proteger usuarios, dispositivos o puntos finales. Esto podría utilizarse de diversas formas en las infraestructuras de seguridad para evitar que actores desconocidos obtengan acceso a los sistemas y redes de la empresa. Desde Internet de las cosas (IoT) hasta código de desarrollo, las posibilidades y casos de uso de los certificados digitales son vastos y están creciendo. Pero con esto también aumenta la carga de trabajo y la presión que se ejerce sobre los equipos de TI mientras hacen malabarismos con diferentes requisitos dentro de una organización.
La automatización puede adaptarse a tus necesidades
Para gestionar este aumento, las empresas están recurriendo a herramientas para automatizar las operaciones de PKI, incluido el proceso de emisión, renovación y revocación de certificados. Las soluciones de automatización pueden adaptarse a los requisitos comerciales y, a medida que crece la cantidad de certificados, garantizar que estén consistentemente en línea con las políticas de seguridad de la empresa y las regulaciones de la industria.
Reduce la necesidad de tareas manuales y errores humanos y consigue visibilidad en tiempo real del ciclo de vida de los certificados para permitir que los equipos de TI sean proactivos en el monitoreo de los certificados y respondan a los problemas rápidamente con la automatización. La necesidad de soluciones automatizadas PKI ya no es algo agradable, es una necesidad.
6. La seguridad debe ser responsabilidad de todos
Con muchos ataques sofisticados y impulsados por IA acaparando los titulares este año, hay una estadística que se ha destacado: el error humano todavía representa más del 80% de los incidentes de violación de datos. Es posible que esta cifra haya fluctuado a lo largo de los años, pero sigue siendo una tendencia en el mercado y este año no es una excepción. De cara al año que viene, la seguridad debería ser responsabilidad de todos. Las estadísticas anteriores muestran que se puede hacer más internamente para reducir el riesgo y evitar que los datos y la información de la organización sean víctimas de un ciberataque.
Las organizaciones buscan permitir una entrega más rápida de valor al cliente y agilidad a escala mediante la adopción de prácticas de DevOps; sin embargo, la seguridad a menudo se considera una ocurrencia tardía. Sin embargo, este punto de vista está empezando a cambiar a medida que cambia la industria; Según Gartner®, se espera que las prácticas de DevSecOps estén integradas en el 85% de los equipos de desarrollo de productos para 2027.
En el último informe de IBM sobre el costo de una violación de datos, el mitigador de costos efectivo de mayor rango fue la adopción de un enfoque DevSecOps y es esencial para incorporar seguridad en cualquier herramienta o plataforma de la que dependa una organización. A principios de este año, un ataque de día cero a la empresa MOVEit sacudió el mundo de la ciberseguridad y tuvo consecuencias devastadoras, algunas de las cuales aún se están descubriendo. Las empresas de todo el mundo están reparando las vulnerabilidades y buscando protegerse contra ataques similares en el futuro, pero la integración de la seguridad en todas las etapas del ciclo de vida de DevOps permite mitigar el riesgo de forma continua.
Descubre cómo los entornos DevOps pueden cambiar las prioridades de la seguridad
7. Creciente escasez de habilidades en PKI y ciberseguridad
A medida que 2023 llega a su fin, se vuelve más evidente la escasez de habilidades en ciberseguridad y PKI y las brechas de conocimiento dentro de las empresas. Por ejemplo, en el Reino Unido, el 50% de todas las empresas del país tienen una brecha de habilidades básicas en ciberseguridad, mientras que el 33% tiene una brecha de habilidades avanzadas en ciberseguridad.
Las amenazas cibernéticas evolucionan continuamente y una postura de seguridad sólida establece confianza y salvaguarda el acceso y la integridad de los datos. Mientras los países trabajan en estrategias y regulaciones para fortalecer sus ecosistemas cibernéticos, mientras tanto existe una creciente necesidad de experiencia en ciberseguridad y PKI dentro de las organizaciones
Reducir la brecha y buscar confianza y experiencia de tu proveedor de soluciones PKI
El uso de integraciones y API para la gestión de certificados también ha aumentado a medida que las organizaciones intentan encontrar formas de minimizar el impacto de la escasez de habilidades para gestionar, mantener y auditar certificados. A medida que se acerca el nuevo año, es un momento óptimo para revisar los objetivos estratégicos de seguridad y considerar cómo PKI puede ayudar con el cifrado, la autenticación y el control de acceso, la gestión del ciclo de vida de los certificados, el cumplimiento, las regulaciones y más, cualquiera de los cuales puede ser un objetivo de seguridad en cualquier punto del proceso.
Aquí en GlobalSign, tenemos una serie de soluciones diseñadas pensando en tu negocio para mitigar los riesgos y proteger a tus usuarios, dispositivos y puntos finales. Analiza hoy tus requisitos de PKI con nuestros expertos para encontrar la solución que mejor se adapte a tus necesidades.
