La custodia de certificados digitales y claves permite almacenar y gestionar, mediante mecanismos de control y protección, la información privada de las empresas. En este sentido hay un dato que apoya la necesidad de protegerse, y es que el 60% de las compañías ha decidido mejorar sus niveles de ciberseguridad en este último año con el fin de prevenir posibles ataques. Algunas empresas optan por una custodia basada en la gestión manual, mientras que las que quieren un total control y seguridad confían en terceros como Redtrust ¿Qué diferencia a cada opción? ¿Cuál garantiza un mayor nivel de seguridad?
La utilización de certificados digitales por parte de las empresas para realizar trámites y operaciones con terceros y administraciones está en alza. El 90% ha tomado la digitalización de sus procesos como una prioridad, viéndose empujadas a un cambio de rumbo, motivadas por un nuevo escenario laboral: el teletrabajo. Tanto esta tendencia como la apuesta por la ciberseguridad van de la mano, aunque el incremento en la movilidad de los trabajadores entre la oficina y casa se ha convertido en una nueva oportunidad para los ciberdelincuentes de extraer y robar información, aprovechando que los hogares se conciben como entornos de trabajo desprotegidos y con mayor exposición ante ciberamenazas.
La custodia de los certificados digitales y claves ha pasado a ser una cuestión primordial para proteger la información de las empresas. Los numerosos beneficios derivados de su uso refuerzan aún más el hecho de que deban ser gestionados, almacenados y controlados de la forma correcta.
¿Cómo pueden custodiarse los certificados digitales y claves de una empresa?
Dependiendo del sector donde actúa, según su tamaño o actividad, existen diferentes motivos que llevan a una empresa a querer custodiar y gestionar sus certificados digitales y claves. La más común es la necesidad de control y almacenamiento sobre los certificados: conocer qué se hace con ellos, dónde se encuentran alojados y quién los usa. Además, contar con niveles de seguridad elevados para prevenir y evitar la fuga de información se presenta también como uno de los factores que más peso ha tomado, sobre todo y como se mencionaba antes, a causa del aumento de la movilidad de los trabajadores.
A raíz de lo anterior surge otra de las necesidades que llevan a las compañías a querer custodiar y gestionar sus certificados digitales: decidir quién va a realizar dicha custodia. Por un lado, puede ser la propia organización la encargada de custodiar y gestionar manualmente los certificados y claves sin contar con ninguna herramienta externa o servicio específico de gestión. Por otro, es un tercero de confianza como Redtrust el que asume dichas funcionalidades, otorgando un mayor nivel de control, seguimiento y seguridad sobre los certificados.
Por qué una gestión manual de certificados digitales no es suficiente
El uso de los certificados digitales y sus necesidades varían según la tipología de la empresa. Sin embargo, todas necesitan custodiar y controlar estos certificados de forma segura. A la hora de hacerlo, la custodia manual no se concibe como una elección eficiente, principalmente, por su falta de control y seguridad. Las grandes compañías que operan con un gran número de certificados, desplegados en una multitud de dispositivos, delegan la responsabilidad de su gestión a uno o varios empleados o incluso a un departamento al completo. Esto implica que las personas encargadas de su custodia, debido al amplio despliegue de los certificados, no dispongan del tiempo y habilidad suficientes como para atender los problemas o tareas relacionadas con cada uno de ellos (como puede ser su renovación) al estar instalados en dispositivos distintos, haciendo de su gestión una tarea completamente tediosa y llena de dificultades ante la falta de control.
Por otra parte, las pequeñas empresas pueden contar con pocos certificados y almacenarlos todos en un mismo dispositivo. Aun así, esto sigue imposibilitando la realización de cualquier tipo de seguimiento o restricción relacionado con su uso. Dentro de esas pequeñas empresas se encuentran las gestorías, asesorías y bufetes de abogados que trabajan con grandes volúmenes de certificados que deben almacenar y gestionar correctamente, pero en muchos casos pueden extraviarse si no se aplica una buena organización y almacenamiento.
La custodia manual de los certificados digitales requiere tomar una serie de directrices en su administración que, aun teniendo el máximo cuidado posible, será insuficiente y podrá desembocar en una gran problemática para la empresa. Tal y como se ha expuesto en los ejemplos anteriores, en ocasiones resulta inviable llevar a cabo un control y gestión eficiente de los certificados y claves, lo que se traduce en múltiples desventajas a la hora de hacer uso de ellos en un entorno protegido y de forma segura:
- Almacenamiento inseguro: Los certificados se encuentran dispersos y duplicados en diferentes dispositivos sin ningún tipo de organización. El personal responsable de su gestión puede llegar a realizar tantas copias como considere necesario para alojar los certificados en cada dispositivo del usuario que vaya a hacer uso del mismo. Además, puede ser el propio usuario quien realiza un duplicado del certificado y lo utiliza fuera de la organización. Ambas acciones aumentan el riesgo de que los certificados puedan almacenarse en dispositivos cuyo propietario no tiene autoridad para su uso, como ocurre en los puestos de trabajo compartido.
- No hay registro de su uso: No se puede conocer quién accede al certificado ni qué hace con él, lo que provoca que usuarios no autorizados puedan hacer un mal uso que derive en problemas incluso legales. Recordemos que un certificado tiene validez legal, por lo que, en caso de producirse un uso inadecuado del mismo, las consecuencias afectarían a la figura jurídica a la que representa.
- Brechas de seguridad y fuga de información: Para su instalación en los dispositivos (ordenadores) se emplea como intermediario algún software o aplicación por parte de terceros muchas veces desconocidos. No contar con los niveles de ciberseguridad adecuados crea brechas de seguridad y fugas de información que pueden ocasionar ataques de ciberdelincuentes para, entre otros motivos, lograr la suplantación de la identidad de la empresa. Es importante señalar que el coste medio a nivel global de una brecha de datos ha alcanzado los 3,86 millones de dólares durante 2020.
- Pérdida del certificado: Mayormente se origina como consecuencia de una mala gestión y almacenamiento. Esto no solo puede causar su pérdida, sino también el robo del certificado y la información que contiene por parte de terceros que intenten dañar la identidad digital de la empresa.
- Sin registro de renovación: Las empresas no llevan un registro de caducidad de sus certificados. Sus fechas de expiración suelen anotarse manualmente en hojas de cálculo para llevar cierto orden, lo que resulta insuficiente e inseguro. La caducidad de un certificado puede derivar en costes económicos y de tiempo e incluso la pérdida de clientes. Un ejemplo de ello sucede cuando una empresa quiere presentar una licitación para un proyecto, pero, a última hora, descubre que su certificado digital ha caducado sin recibir ninguna notificación al respecto.
- Transporte no seguro: Los certificados, al estar alojados en dispositivos ubicados en la oficina, no pueden ser usados por los trabajadores a menos que se encuentren en ella. Sin embargo, algunas empresas duplican y guardan los certificados en un dispositivo portátil, como un pendrive, permitiendo que este abandone la organización y perdiendo así todo control sobre él.
Como se observa, apostar por una gestión manual de los certificados pone en jaque a las empresas en términos de seguridad y control. La solución a esto recae en contar con un producto especializado de un tercero de confianza como Redtrust para que asuma la custodia y gestión de los certificados digitales.
Un ejemplo de que una custodia manual de los certificados no es suficiente nos lo muestra la multinacional de transporte ALSA. La compañía no disponía de sus certificados digitales de manera controlada, encontrándose estos instalados en las diferentes estaciones de trabajo y sin posibilidad de realizar una trazabilidad sobre sus usos y accesos. Ante esta situación de descontrol y de almacenamiento poco seguro, detectaron la necesidad de contar con una solución para custodiar y realizar una gestión 360 de sus certificados: Redtrust.
Custodia de certificados digitales a través de Redtrust
Redtrust se presenta como la herramienta ideal para mitigar el principal inconveniente que poseen las empresas que optan por la gestión manual de sus certificados, ofreciendo un mayor control y seguridad sobre ellos.
Contar con Redtrust para la custodia de tus certificados digitales y claves supone disfrutar de una serie de ventajas en cuanto a su gestión, almacenamiento y administración:
- Centralización: Los certificados digitales se encuentran almacenados de forma centralizada en un repositorio único y no distribuidos en varios dispositivos o máquinas, llevando a cabo una gestión más eficaz y segura sobre los mismos.
- Carácter móvil: Al no estar almacenados en los dispositivos de los usuarios se puede hacer uso del certificado incluso aunque el usuario se encuentre teletrabajando desde casa, eliminando el riesgo de pérdida o fuga de información y la exposición a ataques.
- Facilidad: Desde el punto de vista técnico, la implementación de nuestro servicio en las empresas se convierte en un proceso sencillo mediante el despliegue del agente de Redtrust, y no de los certificados, en cada puesto de trabajo. Los usuarios podrán usarlos de forma transparente, fácil y con un par de clics.
- Creación de políticas de uso: Con las políticas de uso se aplica un control total sobre los certificados, limitando el uso y las acciones que se pueden realizar con ellos. Los permisos de usuarios restringen los accesos tanto por organismos como por trámites.
- Monitorización: Es posible llevar un registro de los usos que se está haciendo de cada certificado, cuándo se han usado y para qué acciones; garantizando su transparencia.
- Alertas de caducidad: Posibilidad de crear alertas personalizadas para notificar la fecha de caducidad con la antelación necesaria.
- Destrucción en almacenamiento central: Si fuera necesario, ante cualquier ciberamenaza o ataque, existe la posibilidad de destruir el certificado del almacenamiento central, así como la opción de su recuperación siempre que la empresa, responsable de ello, haya realizado previamente una copia de seguridad del sistema.
Por tanto, dejar la custodia y gestión de tus certificados digitales en manos de Redtrust se traduce en una apuesta por la seguridad y protección de la información más delicada de tu empresa, gracias a una integración segura, transparente y compatible con el resto de soluciones corporativas.
¿Por qué necesitas incluir ya la gestión de identidad digital y permisos en tu estrategia de ciberseguridad? Conoce la respuesta en nuestro White Paper.
Conceptos de este artículo que puedes profundizar en nuestra ITpedia: