Cada uno de los departamentos de TI tiene métricas que miden el éxito de las iniciativas de la confianza digital, lo que subraya su importancia para los objetivos comerciales empresariales.
La confianza digital es lo que permite construir, participar y hacer crecer el mundo conectado de hoy, ya que brinda prioridad a la confianza en línea, ya sean interacciones, transacciones o procesos de negocio, son seguros.
Esto hace que los procesos necesarios para administrar y mantener toda esta red, incluida la ciberseguridad, también sean cada vez más complicados.
En el caso de Latinoamérica, la transformación digital sigue avanzando, ya que según la consultora IDC, el 50% de las pymes de la región son digitales.
Con este crecimiento exponencial de la conectividad, la confianza digital ahora debe integrarse en arquitecturas de TI que son en sí mismas más complejas.
Pero existe una complejidad innecesaria y dañina, y los altos ejecutivos ya se han dado cuenta de eso.
La estado de la confianza digital de 2022 de DigiCert reveló que el cien por ciento de las empresas encuestadas dijeron que la confianza digital es importante.
Las principales razones incluyen la creciente importancia de los datos, una superficie de amenazas en expansión, un aumento de los malos actores y la presión de los clientes.
Casi todas las empresas (99 %) creen que es posible que sus clientes se cambien a un competidor si pierden la confianza en la seguridad digital de la empresa.
“Dentro de los departamentos de TI, puede haber varios administradores de la confianza digital, entre ellos: administradores de PKI, gerentes de identidad y acceso, y arquitectos de seguridad de productos/información.
Cada uno de estos departamentos de TI tiene métricas que miden el éxito, o un camino hacia el éxito, de iniciativas de confianza digital.
Y algunas de estas métricas llegan a la sala de juntas, lo que subraya la importancia de la confianza digital para los objetivos comerciales”, explica Diana Jovin, vicepresidenta de marketing de productos en DigiCert.
Estas métricas se pueden resumir en 4 áreas principales:
1. Interrupciones
¿Qué se mide?
Las interrupciones provocadas por el vencimiento no deseado del certificado digital son muy visibles, especialmente si ocurren en sistemas de misión crítica.
Las interrupciones pueden tener múltiples causas.
Pueden ocurrir debido a la supervisión, particularmente si los certificados se rastrean manualmente. Pueden ser causados por un error humano, debido a certificados configurados incorrectamente.
O pueden ser causados por actividades no autorizadas, es decir, certificados no controlados adquiridos fuera del ámbito de la administración de TI.
Las métricas pueden incluir:
● la cantidad de interrupciones debido a la caducidad no deseada del certificado (para muchos, este número objetivo es cero),
● el impacto financiero de la interrupción y/o
● el tiempo de resolución si ocurre dicha interrupción.
¿Quién lo mide?:
las interrupciones afectan a múltiples grupos, pero son significativas para las operaciones de TI, la ingeniería de confiabilidad del sitio y la ingeniería de aplicaciones.
¿Cómo abordarlo?:
Los métodos para reducir la cantidad o la posibilidad de interrupciones pueden incluir la centralización de la administración de certificados y la automatización de la renovación de certificados.
2. Adopción, usabilidad y seguridad
¿Qué se mide?:
La adopción también es una métrica clave.
¿Están los usuarios instalando certificados donde se necesitan?
¿Están llamando al soporte técnico para obtener ayuda con la configuración?
¿Los problemas de certificados impiden que los empleados sean productivos en la incorporación o crean brechas de seguridad entre la salida del empleado y la revocación del acceso al sistema?
Las métricas pueden incluir:
● Tasa de adopción
● Carga de soporte técnico
● Tiempo de aprovisionamiento/revocación
¿Quién lo mide?:
Este tipo de consideraciones son importantes para los administradores de identidad y acceso responsables del acceso al sistema y el aprovisionamiento de servicios como VPN, seguridad inalámbrica o correo electrónico.
También pueden ser métricas importantes para las operaciones de TI centralizadas que atienden las necesidades de los departamentos de TI en otras unidades comerciales o subsidiarias.
¿Cómo abordarlo?:
Los profesionales de TI ven la automatización como una estrategia clave para abordar las preocupaciones de adopción, usabilidad y seguridad.
La automatización puede hacer que el aprovisionamiento y la gestión de credenciales sean invisibles para el usuario final y sin problemas con la incorporación y la desvinculación, lo que mejora las tasas de adopción, reduce la carga de soporte técnico y elimina las brechas de aprovisionamiento.
3. Agilidad y vulnerabilidad
Lo que se mide:
Los profesionales de TI encargados de la gestión de vulnerabilidades pueden estar preocupados por la criptoagilidad:
La capacidad de responder a las amenazas o prepararse para los cambios en el cumplimiento o los estándares criptográficos.
Estos profesionales requieren una visión integral de los activos criptográficos y sus vulnerabilidades o perfiles criptográficos asociados.
Las métricas pueden incluir:
● Un inventario de activos criptográficos
● algoritmos
● Perfiles
● Estado de claves y certificados
¿Quién lo mide?:
Las operaciones de seguridad, las operaciones de TI y los profesionales de seguridad de la información que necesitan responder rápidamente a las amenazas pueden beneficiarse de un inventario de activos criptográficos centralizado que brinda visibilidad y control sobre su entorno.
¿Cómo abordarlo?:
Las herramientas de descubrimiento que inspeccionan e inventarian los activos criptográficos en el entorno de una empresa pueden proporcionar un repositorio centralizado.
Las herramientas de evaluación de vulnerabilidades brindan calificaciones de seguridad e identifican algoritmos desactualizados para priorizar la remediación.
Las herramientas de automatización pueden ayudar a acelerar la remediación deseada o optimizar la respuesta a los cambios de cumplimiento.
4. Riesgo y cumplimiento
¿Qué se mide?:
Los profesionales de TI preocupados por el riesgo pueden estar preocupados por el cumplimiento, el acceso privilegiado, las superficies de ataque, la inteligencia de amenazas y los indicadores de confianza.
Las métricas se pueden definir como indicadores clave de riesgo que rastrean la postura y las tolerancias de riesgo en una o más de estas áreas.
¿Quién lo está midiendo?:
Departamentos de TI enfocados en ingeniería de sistemas, aplicaciones o redes; operaciones de seguridad; operaciones de TI.
¿Cómo abordarlo?:
Las herramientas que rigen la autenticación, el acceso privilegiado, los inventarios de red y el monitoreo pueden respaldar los objetivos de estos equipos.
Las estrategias para evitar la compra de certificados no autorizados también pueden desempeñar un papel. de autorización de autoridad de certificación (CAA) puede evitar la compra de certificados no autorizados, que pueden desempeñar un papel en los ataques de intermediarios.
“Algunos profesionales de TI señalan que tienen más éxito cuando las métricas de confianza digital se mantienen fuera de la sala de juntas.
Lo cual significa que no hay interrupciones causadas por el vencimiento involuntario del certificado, el aprovisionamiento de credenciales está automatizado, los indicadores clave de riesgo están dentro de las tolerancias establecidas y las vulnerabilidades criptográficas son abordado de manera oportuna.
Sin embargo, para lograr este objetivo, las estrategias que reducen las interrupciones, mejoran la adopción, agilizan las operaciones, mantienen el cumplimiento y reducen el riesgo son primordiales.
Los líderes ejecutivos pueden desear revisar las métricas que muestran el progreso hacia estos objetivos”, concluye Diana Jovin.
Conclusión
La confianza digital se ha convertido en un tema clave en la era digital en la que vivimos. La confianza en las transacciones y la información que se realiza en línea es esencial para el funcionamiento de la economía digital y para la privacidad y seguridad de los individuos.
La Confianza Digital se refiere a la medida en la que una persona o una organización confía en que un sistema, proceso, plataforma o servicio cumple con sus expectativas de seguridad, privacidad, disponibilidad y cumplimiento normativo.
En términos generales, podemos decir que la confianza digital se basa en tres pilares fundamentales: la seguridad, la privacidad y la transparencia.
-La seguridad es esencial para proteger la información y los datos personales de los usuarios y para garantizar la integridad de las transacciones en línea. –
La privacidad juega un papel crucial en la confianza digital, ya que los individuos deben tener confianza en que sus datos personales estarán protegidos y utilizados de manera ética.
-La transparencia es esencial para garantizar que los usuarios comprendan cómo se utilizan sus datos y para permitirles tomar decisiones informadas sobre si desean compartir sus datos con una organización o no.
La confianza digital es esencial para el desarrollo de la economía digital y para la privacidad y seguridad de los individuos.
La seguridad, la privacidad y la transparencia son los pilares fundamentales sobre los que se construye la confianza digital, y es importante seguir trabajando para desarrollar soluciones que fortalezcan estos pilares y permitan a los usuarios confiar en el sistema digital.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre Ciberseguridad en
Ciberseguridad Corporativa 2023: lo que viene
Fatiga por alertas: el impacto en la seguridad en la nube 2023
ISO 27001: arranca el año y hay que revisar la planificación
Trident Ursa: Gamaredon, UAC-0010, Primitive Bear, Shuckworm
Infraestructuras críticas son foco de ciberataques en 2022
Confianza Digital, Confianza Digital, Confianza Digital, Confianza Digital, Confianza Digital, Confianza Digital, Confianza Digital, Confianza Digital, Confianza Digital, Confianza Digital, Confianza Digital, Confianza Digital,