El impacto de los certificados SSL de 90 días en la seguridad de las empresas

Los certificados Secure Socket Layer (SSL) / Transport Layer Security (TLS) desempeñan un papel fundamental en la ciberseguridad de las empresas, ya que limitan la posibilidad de que los datos sean interceptados por agentes malintencionados. Estos certificados digitales utilizan pares de claves criptográficas para cubrir dos aspectos esenciales de la seguridad: el cifrado y la autenticación.

Aunque los certificados SSL lo mejoran todo, desde la ciberseguridad hasta el cumplimiento de las normativas, hay una advertencia: los certificados digitales deben gestionarse adecuadamente a lo largo de todo su ciclo de vida, incluido el descubrimiento, la solicitud, la emisión, la supervisión, la renovación y, a veces, la revocación. Las lagunas en la cobertura pueden poner en peligro a las empresas, especialmente con la próxima introducción de periodos de validez de 90 días. Sin embargo, estos periodos de validez más cortos también son beneficiosos porque reducen la ventana de exposición en caso de que un certificado se vea comprometido y también fomentan mejores prácticas de gestión de certificados.

El importante papel de la gestión de certificados SSL para la ciberseguridad empresarial

Los certificados SSL/TLS ayudan a resolver los problemas de ciberseguridad más acuciantes de la actualidad, pero sólo si se implantan y gestionan correctamente. Entre los principales retos que plantea el esfuerzo de gestión de estos certificados (especialmente en un entorno empresarial) se incluyen:

• Grandes volúmenes de certificados digitales que gestionar. No es raro que las empresas gestionen miles de certificados SSL. Estos pueden abarcar multitud de dominios, subdominios y casos de uso. Este amplio alcance puede dificultar enormemente la gestión de certificados caducados y renovaciones, especialmente cuando se trata de procesos manuales.
  
• Coordinación entre departamentos. Aunque no es ningún secreto que las estrategias de gestión de certificados tienen enormes implicaciones para TI, éste es sólo uno de los muchos equipos o departamentos que se ocupan de los certificados digitales. Los equipos jurídicos y los profesionales de gestión de riesgos pueden tener que resolver problemas de conformidad, mientras que los expertos en operaciones se aseguran de que los certificados SSL se integran correctamente en las plataformas de transacciones y otros sistemas.
  
• Cumplimiento y auditoría. Normas de seguridad de la información como la Payment Card Industry Data Security Standard (PCI DSS) y el Reglamento General de Protección de Datos (GDPR) exigen un cifrado de alto nivel. La implantación de una solución de gestión SSL/TLS completa y fiable puede ayudar a conseguirlo.
  
• Integración de terceros. Las empresas actuales confían en un sinfín de herramientas y soluciones para agilizar tareas complejas. Sin las integraciones adecuadas, estos sistemas no pueden funcionar de forma cohesionada... Para evitar este tipo de problemas, la solución ideal de gestión automatizada del ciclo de vida de los certificados (CLM) proporcionará una lista considerable de integraciones con plataformas en la nube, herramientas DevOps, gestión de la movilidad empresarial (EMM) y mucho más.

El cambio a los certificados SSL de 90 días y sus implicaciones

Aunque la gestión de certificados SSL puede parecer compleja ahora, se espera que esta tarea se convierta en un reto aún mayor en un futuro próximo. Google ha dejado muy claro que la duración de 90 días de los certificados será la nueva norma. En realidad, esto podría resultar bastante beneficioso a largo plazo, ya que este periodo de validez de 90 días promete muchas ventajas:

Mayor seguridad

Los certificados comprometidos son siempre una posibilidad, pero suponen un riesgo menor cuando los periodos de validez son cortos. Esto limita la cantidad de tiempo en la que los ataques son capaces de explotar los certificados, a la vez que promueve una mejor gestión de claves para impulsar mejoras a largo plazo en la ciberseguridad.

Mayor agilidad para responder a las amenazas a la seguridad

Los ciberdelincuentes de hoy en día son más sofisticados que nunca y, aunque un enfoque por capas puede ayudar a combatir sus actividades más maliciosas, es esencial responder con rapidez. Una vida útil más corta de los certificados facilita la agilidad criptográfica promoviendo rotaciones frecuentes de claves (a menudo gestionadas mediante soluciones automatizadas) y facilitando las transiciones a algoritmos alternativos. Esto significa que están mejor preparados para responder a las amenazas emergentes. También es importante agilizar procesos esenciales como la revocación y la reemisión.

Una sólida cultura de seguridad en las empresas

Ninguna estrategia de ciberseguridad puede prometer mantener a los atacantes al margen, pero un conjunto completo de soluciones puede ayudar sin duda. Sin embargo, esto debe ir más allá de las propias tecnologías y abarcar una cultura de la seguridad, en la que todos los empleados y partes interesadas reconozcan que tienen un importante papel que desempeñar para mantener la seguridad de las empresas.

El cambio a periodos de validez de 90 días y los cambios en los procesos que debe conllevar contribuirán a reforzar esta cultura al fomentar una mayor concienciación y responsabilidad en materia de seguridad digital. Dado que los certificados caducan con más frecuencia, las empresas tendrán que adoptar prácticas más proactivas de gestión del ciclo de vida de los certificados y asegurarse de que todos los miembros del equipo implicados en la gestión de certificados están bien formados.

Los retos a los que se enfrentarán las empresas con periodos de validez de 90 días

Aunque los periodos de validez de 90 días pueden ser valiosos, también pueden plantear retos importantes, desde cuestiones financieras hasta problemas administrativos. Éstos deben abordarse desde el principio para garantizar que las empresas puedan aprovechar las ventajas de los períodos de validez más cortos sin sufrir nuevos problemas de seguridad o cargas relacionadas con los costes.

Retos operativos

La necesidad de renovar los certificados con frecuencia crea una clara carga administrativa, que puede obligar a los profesionales de TI a dedicar más tiempo al seguimiento y renovación de los certificados del que se necesitaría con la vida útil de 398 días del statu quo. Estos problemas pueden agravarse aún más si los departamentos de TI no se mantienen al día de la evolución de las necesidades de certificados, con cortes de servicio más probables si se permite que los certificados caduquen.

Riesgos para la seguridad

Si se gestiona estratégicamente, la vida útil de los certificados de 90 días puede suponer una ganancia neta para la seguridad general de la empresa. Lamentablemente, muchas empresas se esfuerzan por cumplir estas mayores exigencias y, como resultado, pueden experimentar mayores riesgos de seguridad que los que existían con los periodos de validez de 398 días.

Cuando los certificados deben renovarse con mayor frecuencia, el error humano se convierte en un riesgo mayor, especialmente cuando los departamentos de TI sobrecargados siguen dependiendo de prácticas manuales obsoletas. Sin una gestión adecuada, la rápida renovación de certificados también podría ampliar las superficies de ataque de las empresas, dejando más oportunidades para que los malos actores exploten los puntos débiles.

Implicaciones económicas

La gestión de certificados siempre requiere una inversión, pero ésta podría aumentar sustancialmente si se necesitan nuevos certificados SSL cada 90 días. Los costes serán especialmente elevados para las empresas que dependen de procesos manuales, ya que las renovaciones frecuentes provocan mayores gastos de mano de obra. Por supuesto, el coste de no mantenerse al día también puede ser bastante alto, ya que las interrupciones pueden provocar daños a la reputación y toda una serie de otros problemas que pueden dañar los resultados de cualquier empresa a largo plazo.

Afortunadamente, todos estos retos pueden evitarse implementando una plataforma automatizada de gestión del ciclo de vida de los certificados.

Prácticas recomendadas para mejorar la seguridad de la empresa al gestionar certificados SSL de 90 días

Le guste o no, los períodos de validez de 90 días para los certificados SSL están al caer. Cuando lleguen, los esfuerzos previos para adoptar un enfoque ágil y automatizado marcarán una gran diferencia.

Con la implantación de sistemas automatizados, muchas empresas mitigarán las interrupciones y las preocupaciones administrativas.

Sin embargo, las empresas que se aferren al statu quo de los certificados digitales tendrán dificultades. Este cambio de mentalidad lleva tiempo, por lo que es mejor empezar a planificar y aplicar las estrategias pertinentes lo antes posible. Entre los aspectos esenciales a tener en cuenta se incluyen:

Automatización de la gestión de certificados SSL

Los procesos manuales nunca han sido ideales desde el punto de vista de la gestión de certificados, pero sus deficiencias quedarán muy claras cuando se impongan los periodos de vida de 90 días.

Como ya hemos comentado, los departamentos de TI, ya de por sí en apuros, tendrán que dedicar mucho más tiempo y atención a la renovación de certificados y, como resultado, se arriesgarán a cometer errores que dejen a las empresas expuestas a interrupciones del servicio y a posibles pérdidas de ingresos. Los sistemas CLM automatizados pueden limitar esta carga, ocupándose de los aspectos de la gestión de certificados que más tiempo consumen y liberando a los profesionales de TI para que puedan centrarse en otras tareas importantes.

Alineación de la gestión de SSL con las políticas de seguridad generales

La gestión del ciclo de vida de los certificados no debe existir en el vacío. Debe incorporarse de forma decidida a las políticas de seguridad globales, que deben abordar las numerosas fuentes potenciales de problemas de seguridad. Los certificados SSL/TLS deben estar claramente detallados dentro de estas políticas de seguridad, que también deben revelar cómo protegerán los certificados digitales los datos en tránsito.

Las políticas deben esbozar los requisitos de seguridad, como los estándares del protocolo de cifrado. Además, las cuestiones relacionadas con SSL/TLS deben ocupar un lugar destacado dentro de los procesos de evaluación de riesgos y los planes de respuesta a incidentes.

Formación y concienciación

Para impulsar la tan necesaria cultura de la seguridad, las empresas deben ofrecer formación continua sobre ciberseguridad. Esto ayudará a los empleados a reconocer cómo los certificados digitales salvaguardan los datos sensibles. Los empleados deben reconocer e identificar fácilmente los sitios seguros, y deben detectar y evitar las estafas de phishing. La formación continua mantendrá actualizados estos conceptos y habilidades para que los empleados estén al tanto de todo cuando lleguen los 90 días de validez de los certificados.

Asegúrese de que su empresa está preparada con Sectigo

Ahora que se acercan los 90 días de validez de los certificados, es más importante que nunca adoptar soluciones ágiles que agilicen la gestión de certificados. La automatización se está convirtiendo en una necesidad, ya que reduce las cargas operativas y también ayuda a las empresas a evitar interrupciones potencialmente devastadoras.

Sectigo Certificate Manager es una plataforma empresarial de gestión del ciclo de vida de los certificados diseñada para afrontar de forma proactiva los retos SSL del futuro. Programe una demo hoy mismo para conocer cómo funciona esta plataforma agnóstica de CA - o dé el siguiente paso e inicie una prueba gratuita.

¿Quieres saber más? Ponte en contacto con nosotros para reservar una demo de Sectigo Certificate Manager.

Entradas asociadas:

Por qué caducan los certificados SSL: exploración de las ventajas de periodos de validez más cortos

¿Por qué mi SSL caduca cada 3 meses?

Cómo deben prepararse las empresas para periodos de validez de certificados SSL/TLS más cortos