Según los resultados de un informe sobre tendencias en la seguridad de las infraestructuras de clave pública, elaborado por Ponemon Institute para CyberArk, los sistemas PKI (infraestructura de clave pública) obsoletos son el principal obstáculo para gestionar certificados de forma segura, además de ser un vector de impulso para vulnerabilidades de seguridad en el 60% de las organizaciones.
PKI es un sistema para crear y gestionar certificados digitales que verifican la identidad de usuarios y dispositivos. Las demandas modernas de identidad, impulsadas por el aumento de identidades de máquina y cargas de trabajo en entornos nativos en la nube y Zero Trust, han provocado un crecimiento y una complejidad de certificados sin precedentes.
La PKI muestra que la PKI sigue siendo esencial para una identidad digital segura, pero los sistemas heredados con enfoques fragmentados y procesos manuales dirigidos por personas, no pueden satisfacer las necesidades actuales de certificados. Sin un enfoque moderno y automatizado, la brecha entre la demanda de certificados y la capacidad de las organizaciones seguirá en aumento, dejando a las empresas ante limitaciones de recursos y un aumento de costes operativos.
El 34% de las empresas señala que los costes y los riesgos de la PKI heredada son la principal barrera para una PKI segura. De media, las empresas gestionan más de 114.000 certificados internos, pero solo cuenta con cuatro empleados a tiempo completo dedicados a la gestión de la PKI. El 63% se ve obligado a externalizar la gestión de la PKI debido a la escasez de recursos y personal especializado.
El seguimiento y la renovación manual de certificados es ineficiente, y potencialmetne peligroso para las empresas. Esto se debe a que puede provocar interrupciones en los servicios y facilitar ataques de seguridad. El 56% de ellas, de hecho, ha sufrido interrupciones no planificadas por certificados caducados o errores de configuración. Un 60% experimentó vulnerabilidades de seguridad debido a una criptografía débil. Un 58% sufrió problemas de seguriad relacionados con autoridades certificadoras de terceros, y un 43% sufrió el robo de claves privadas de servidores.
En general, según el informe, la confianza en el cumplimiento normativo y la seguridad es baja. Las empresas que invierten en automatización y en una visibilidad unificada experimentan una carga operativa menor, menos interrupciones y mejores niveles de cumplimiento en su infraestructura de clave pública. Solo un 46% de ellas confía plenamente en que su PKI puede cumplir los requisitos normativos, y un 48% está segua de que su PKI es eficaz frente a cibertataques o amenazas internas.
Las empresas con confianza elevada en el cumplimiento de su PKI son más propensas a disponer de una visibilidad unificada de su inventario de certificados. La tienen un 75% de ellos, frente al 47% del total. Un 61% ha adoptado la IA como parte de su estrategia de infraestructura de clave pública, frente a la mitad del conjunto total de la muestra.