La transformación digital impulsa la demanda de certificados digitales, pero las organizaciones españolas se enfrentan a retos críticos en su gestión

Álvaro Ruiz de Velasco | 25 de noviembre de 2021

jrsyfdew

El Estudio Entrust 2021 sobre Tendencias PKI e IoT en España revela cómo la falta de responsabilidad, recursos y habilidades suponen un desafío para el despliegue de PKI

A raíz de cambios organizacionales, el nivel de uso de Infraestructura de Clave Pública (PKI por sus siglas en inglés) y certificados digitales en empresas nunca ha sido tan elevado en España. A pesar de esto, la oferta de habilidades ligadas a la administración de PKI se encuentra en un nivel históricamente bajo, según revela el estudio llevado a cabo por el Instituto Ponemon y patrocinado por Entrust, líder global en identidades, pagos y protección de datos.

El Estudio Entrust 2021 de Tendencias PKI e IoT en España, siendo esta la primera edición del estudio en el país, también revela que los profesionales de tecnologías de la información (TI) continúan acusando como principales desafíos en el despliegue y administración de la PKI, la falta de habilidades y de recursos, así como una asignación poco clara en cuanto a la responsabilidad sobre la gestión de la misma.

La PKI se encuentra en el núcleo de casi toda infraestructura de TI, posibilitando la seguridad de iniciativas digitales críticas como la nube, despliegue de dispositivos móviles, identidades y el Internet de las Cosas (IoT por sus siglas en inglés). Como tal, la PKI posee la clave para habilitar la transformación digital que estas tecnologías apoyan, lo cual se ha visto con claridad durante el transcurso de la pandemia y su impacto en prácticas laborales a nivel mundial.

Impulsores y desafíos en la adopción de PKI

Cuando se trata de las tendencias más importantes que impulsan el despliegue de aplicaciones que usan PKI, IoT permanece como la de mayor crecimiento en un 51%, con las aplicaciones en la nube como segundo gran impulsor, clasificado por un 41% de encuestados. Finalmente, los móviles se encuentran en tercer lugar con 34%.

El principal desafío que impide el desarrollo y administración de PKI en España es la falta de una asignación de responsabilidad clara a nivel empresarial – clasificado por un 70% de encuestados. Tanto habilidades, como recursos insuficientes, son clasificados como el segundo y tercer desafío, con un 67% y 54% respectivamente. De forma similar, los principales desafíos a la hora de permitir usar PKI en aplicaciones se arraigan en la incapacidad de la PKI existente a la hora de posibilitar nuevas aplicaciones (72%), por necesitar de demasiado cambio o incertidumbre (52%) y habilidades insuficientes (42%). Adicionalmente, a pesar de que la demanda de PKI nunca ha sido tan elevada como ahora, sólo un 36% de encuestados cuentan en su organización con un especialista de PKI entre su personal.

Las áreas en las cuales se espera el mayor cambio e incertidumbre son las tecnologías PKI (43%), seguido por nuevas aplicaciones, como IoT – 32% de los encuestados. La tercera y cuarta área más citadas fueron las regulaciones y estándares externos (28%) y las políticas de seguridad interna (20%).

“Nunca se ha visto una demanda tan alta de PKI – ya sea debido a la presión que se vio este pasado año por mantener seguras las redes de empleados que operan de manera remota o híbrida, o debido al continuo incremento de IoT y servicios alojados en la nube,” afirma Rocío Martínez, Responsable de Entrust Digital Identity para España. “Al mismo tiempo, las habilidades y recursos necesarios para implementar y administrar PKI continúan siendo escasos en España – un problema exacerbado por la falta de una clara asignación de responsabilidad organizacional sobre los despliegues de PKI. Este primer Estudio de Tendencias de PKI e IoT en España proporciona valiosos conocimientos acerca de los retos a los cuales se enfrentan las organizaciones y dónde deben enfocar sus esfuerzos en los próximos años”.

El incremento de las identidades de las máquinas

Certificados TLS/SSL para páginas web y servicios al público son los casos de uso más frecuentemente citados para las credenciales de PKI, según el 77% de encuestados. Redes privadas y aplicaciones VPN se sitúan en segundo lugar (70%) y en tercer lugar la seguridad de correo electrónico (61%). Esto pone de relieve el enfoque en asegurar que empleados remotos y la carga distribuida de trabajo TI puedan permanecer seguros.

Las organizaciones españolas con autoridades de certificación internas (CAs) emplean aproximadamente siete CAs individuales, administrando un promedio de 65.412 certificados adquiridos de forma interna o externa. Asimismo, en los próximos dos años, aproximadamente un 46% de los dispositivos IoT en uso dependerán principalmente de certificados digitales para su identificación y autenticación. 

Independientemente del motivo tras este incremento, cuanto más certificados necesite administrar una organización, más crítico se torna su administración adecuada. Uno de cada diez encuestados (11%) asegura usar una lista de revocación manual de certificados, mientras que casi un tercio (30%) admite no poseer ninguna técnica para la revocación de certificados. En este contexto, dichas organizaciones se arriesgan a ser vulnerables ante ataques y enfrentarse a interrupciones en sus sistemas críticos, además de la consecuente interrupción de negocio y sus costes asociados.

“A lo largo de los años que hemos desarrollado el estudio global de tendencias PKI e IoT, se muestra claramente cómo la brecha aumenta entre la demanda creciente por la adopción de PKI y los desafíos que lo dificultan,” afirma el Dr. Larry Ponemon, Presidente y Fundador del Instituto Ponemon. “Esta situación puede potencialmente exacerbar los dolores de cabeza que las organizaciones ya padecen y generar brechas en sus posturas de seguridad. Considerando un entorno alterado con el trabajo remoto, la nube e IoT, se muestra claramente una necesidad inmediata para muchas organizaciones por aumentar la visibilidad, la automatización, así como un control centralizado adicional.”

Rocío Martínez añade: “Para lidiar con esta complejidad, las organizaciones necesitan primero, de una estrategia, y segundo, de productos que apoyen esta transformación. Esto significa que necesitan de un socio como Entrust que no solo tenga las capacidades tecnológicas, sino también el legado y experiencia para ayudar a triunfar en este entorno.”