Por Blanca Yanulis
Gerente Regional para América Latina de GlobalSign
En el panorama de ciberseguridad en constante evolución de hoy, las pequeñas y medianas empresas (pymes) enfrentan desafíos únicos a la hora de proteger sus activos digitales y mantenerse dentro del cumplimiento de normas y regulaciones. México no es ajeno a esta realidad, según el informe de Manage Engine 2024 “Estado de la Ciberseguridad en América Latina”, en 2023 el 65% de las y los mexicanos encuestados reconocieron que las violaciones de datos fueron más impactantes que en años anteriores. Aún más preocupante fue que el mismo grupo de personas admitió que sus empresas experimentaron un ciberataque que «resultó en pérdidas financieras significativas». Vale resaltar que, el territorio mexicano se suele ubicar como el más atacado en la región por los ciberdelincuentes, tan sólo por detrás de Brasil. Entre las micro, pequeñas y medianas empresas (mipymes) mexicanas hay mayor conciencia de estos riesgos: un estudio del Instituto Federal de Telecomunicaciones (IFT) encontró que en 2022, el 71,9% de las encuestadas mencionaron que la ciberseguridad es importante o muy importante.
Incluso con un departamento de tecnologías de la información (TI) completamente operativo, las pymes a menudo tienen dificultades para seguir el ritmo de las complejidades de áreas más específicas de la ciberseguridad, como la infraestructura de clave pública (PKI) y la gestión de certificados. Esto las deja vulnerables a las brechas de seguridad y/o fuera de lo estipulado por las regulaciones. También aquí hay un desafío adicional para México: mientras que la demanda de profesionales de ciberseguridad se estabilizó en el resto del mundo —incluso llegando a caer en algunos países, como el caso de Estados Unidos—, en el país continúa en aumento. Es más, en mayo de 2024, con una subida de 6,8 por ciento, México lideró las búsquedas de profesionales de ciberseguridad, por delante de países como España, India, Países Bajos, Australia y Alemania, de acuerdo con un estudio de LinkedIn Economic Graph.
Sin embargo, tecnologías como el entorno de gestión automática de certificados (Automatic Certificate Management Environment, ACME) ofrecen una solución que agiliza los procesos de gestión de certificados y mejora la posición de las pymes en cuanto a ciberseguridad. Como tecnología subyacente, ACME pasa desapercibida; no obstante, se ha convertido en uno de los protocolos de automatización de certificados en los que más se confía en el mundo.
Cómo funciona ACME
Diseñada para permitir a las empresas comunicarse con una autoridad de certificación (CA) para automatizar la emisión y renovación de certificados TLS, ACME permite la emisión de certificados a bajo costo y alta velocidad. Los elementos principales de ACME están formados por dos componentes clave: el servidor ACME y el cliente ACME. El servidor ACME, que es la CA, proporciona desafíos de dominio y emite certificados. El cliente ACME —generalmente una herramienta de código abierto de terceros— es un paquete de software liviano que utilizan los usuarios para solicitar certificados al servidor. Los usuarios seleccionan y configuran su cliente preferido para comunicarse con el servidor para solicitudes de certificados.
Beneficios de ACME más allá de la emisión automatizada de certificados TLS
Los clientes ACME que admiten el protocolo ACME no solo automatizan la emisión de certificados TLS, sino que también ofrecen a las pymes una solución integral para gestionar certificados digitales en toda su infraestructura de TI. Apoyándose en los clientes ACME, las pymes pueden agilizar la emisión, instalación y configuración de certificados, asegurándose de que todos los certificados digitales se gestionen y actualicen correctamente de acuerdo con las políticas de seguridad y los requisitos de cumplimiento. Este enfoque automatizado de la gestión de certificados reduce el riesgo de incidentes de seguridad relacionados con el factor humano y mejora la resiliencia general de la ciberseguridad.
¿Por qué es importante ahora?
En respuesta a la evolución de los marcos regulatorios impulsados por los cambios del mercado, existe una necesidad evidente de automatización de los certificados.
Un área que se convertirá en una preocupación cada vez mayor para las pymes es Google, que tiene planes de acortar la validez máxima de los certificados TLS de confianza pública a 90 días. Si bien no hay una fecha fijada para que esto entre en vigencia, supondrá un aumento de cuatro veces (4x) en la velocidad necesaria de rotación de certificados. Como resultado, incluso los clientes de pymes con una pequeña cantidad de certificados TLS verán un aumento considerable en su carga de trabajo de emisión manual. Se cree que este importante cambio en la validez se anunciará en algún momento dentro del próximo año. Las empresas pequeñas y medianas ahora deben encontrar un proveedor que las ayude a automatizar sus certificados de una manera fácil y sin complicaciones.
Las soluciones que aprovechan ACME son una solución obvia, ya que pueden abordar este problema y permitir que las pymes se adapten a los requisitos de certificados en evolución sin inconvenientes, sin incurrir en una carga administrativa adicional o complejidad operativa.
Integración con la infraestructura de seguridad existente
Como se mencionó anteriormente, ACME es un protocolo API flexible, lo que significa que se integra fácilmente con la solución de infraestructura de clave pública (PKI) de una pyme. Al integrar ACME en su ecosistema de seguridad, las PYME pueden lograr una mayor visibilidad y control sobre sus certificados TLS, lo que permite la supervisión proactiva y la aplicación de políticas de seguridad. Esta integración también facilita la gestión centralizada de los certificados, lo que simplifica las tareas administrativas y reduce los gastos operativos.
Escalabilidad
La escalabilidad inherente de ACME la vuelve ideal para pymes con necesidades de ciberseguridad diversas y cambiantes. Las soluciones de ACME pueden adaptarse fácilmente a los cambios en los requisitos organizacionales y admitir una cantidad cada vez mayor de certificados y dispositivos sin imponer una carga de trabajo o complejidad significativa. Esta capacidad permite a las pymes ampliar sus capacidades de gestión de certificados a medida que crece su negocio, lo que garantiza que puedan ejecutar eficazmente sus certificados digitales en cualquier capacidad.
Velocidad y automatización
Implementar ACME no lleva mucho tiempo; y una vez configurado, la emisión y renovación de certificados se produce automáticamente en cuestión de segundos.
Eficiencia de costos y optimización de recursos
ACME también ofrece a las pymes un enfoque eficiente tanto en costos como en el uso de los recursos para la gestión de certificados, reduciendo la carga sobre los recursos y el personal de TI. Al automatizar las tareas repetitivas de gestión de certificados, las soluciones de ACME liberan al personal de TI para que se concentre en iniciativas de seguridad más estratégicas, como la detección de amenazas y la respuesta a incidentes. Esta optimización de los recursos no solo mejora la eficiencia operativa, sino que también mejora la preparación general en materia de ciberseguridad, lo que permite a las pymes defenderse mejor contra las amenazas y vulnerabilidades emergentes.
Uso intensivo
Una de las razones por las que ACME es tan popular es que es un sistema de emisión de certificados flexible capaz de emitir una amplia gama de certificados para una variedad de casos de uso. Se recomienda buscar un proveedor cuyo servicio sea fácil de integrar, y requiere una personalización mínima, una empresa que admita una amplia gama de tipos de certificados incluidos los certificados de confianza públicos DV y OV, y los IntranetSSL no públicos para la seguridad de dominios internos. Esto permite una gestión centralizada de los certificados públicos y privados, lo que mejora la eficiencia operativa y la postura de seguridad de su organización.
Agilidad en las CA
ACME también ofrece agilidad entre las autoridades de certificación, lo que significa que si necesita utilizar más de una CA para sus necesidades de certificados, puede cambiar de una a otra sin estar limitado a un solo proveedor, lo que le ofrece una postura de seguridad más amplia. En este caso, es mejor agregar una CA como servicio principal y de confianza, como GlobalSign, para comunicarse con otras CA cuando sea necesario.
Segurizando DevOps
ACME se integra perfectamente en los procesos de DevOps, lo que mejora la eficiencia, la colaboración y la automatización durante todo el ciclo de vida del desarrollo de software. Su capacidad de integrarse con herramientas de integración continua y desarrollo continuo (CI/CD) permite la implementación automatizada de certificados para compilaciones, pruebas e implementaciones de proyectos. Esto garantiza que las aplicaciones y los servicios permanezcan seguros sin causar interrupciones en los flujos de trabajo de desarrollo.
Consideraciones para la selección de proveedores
Al seleccionar un proveedor de ACME, las pymes deben tener en cuenta varios factores importantes para asegurarse de elegir la opción más adecuada para sus necesidades específicas. Estos factores incluyen la reputación del proveedor, la confiabilidad, los servicios de soporte global 24/7 (incluida la disponibilidad de acuerdos de nivel de servicio) por tarifas nominales y la compatibilidad con la infraestructura existente. Además, trabajar con un proveedor con una sólida ubicuidad de raíz garantiza la confianza de que los certificados raíz de CA son confiables en todas partes, desde máquinas y dispositivos hasta aplicaciones y plataformas. Las pymes deben realizar evaluaciones exhaustivas y evaluaciones de proveedores para identificar la solución ACME que mejor se adapte a sus requisitos de ciberseguridad y objetivos de negocios.
ACME ofrece a las pymes una potente herramienta para optimizar los procesos de gestión de certificados y fortalecer las defensas de ciberseguridad. Al aprovechar las soluciones de ACME, las pymes pueden automatizar la gestión del ciclo de vida de los certificados, integrarse con la infraestructura de seguridad existente, escalar las capacidades de gestión de certificados, optimizar los recursos y seleccionar el proveedor adecuado para sus necesidades. Con ACME, las pymes pueden mitigar eficazmente los riesgos relacionados con los certificados y mejorar su resiliencia frente a las amenazas de ciberseguridad en constante evolución.
Acerca de GlobalSign
GlobalSign es una empresa de servicios de identidad que ofrece soluciones de PKI escalables basadas en la nube que permiten a las empresas llevar a cabo transacciones comerciales, comunicaciones, entrega de contenidos e interacciones sociales de forma segura. Sus soluciones confiables de identidad y seguridad permiten que pequeñas y grandes organizaciones en todo el mundo, además de proveedores de servicios en la nube y empresas innovadoras en el área de la Internet de las Cosas (IoT), aseguren las comunicaciones en línea, administren millones de identidades digitales verificadas y automaticen la autenticación y el cifrado.
Para más noticias del mundo, cultura geek & tech, sigue en: GeekandLife.com.mx | Si quieres noticias Anime, Videojuegos y diversión, visita MultiAnime.com.mx
Fuente: PR