Ir al contenido

Próximamente estarán disponibles los certificados de 47 días. ¿Todo listo?

Actúa ahora →

  1. Blog
    2. Casos de éxito

Cómo la evaluación e implementación de PKI de Encryption Consulting ayudó al sector minorista 

Publicado porManimit Haldar 5 Minutos
Cómo la evaluación e implementación de PKI de Encryption Consulting ayudó al sector minorista
Tabla de contenido

Anuncios 

Esta organización minorista es un actor destacado en el mercado global. Opera una extensa red de tiendas que ofrecen una amplia gama de bienes de consumo, desde ropa y electrónica hasta comestibles y artículos esenciales para el hogar. Con una importante presencia en línea, la empresa también se ha forjado una reputación de conveniencia, servicio al cliente y precios competitivos. Emplea a miles de personas en todo el mundo y está comprometida con prácticas comerciales sostenibles y éticas. 

A pesar de su éxito y escala, la organización ha enfrentado desafíos en la gestión de sus Infraestructura de clave pública (PKI), crucial para asegurar sus extensas transacciones y comunicaciones digitales. La empresa tuvo dificultades para evaluar e implementar sus sistemas PKI, vitales para el cifrado y la firma digital de datos confidenciales. Esta deficiencia ha planteado riesgos para la integridad y seguridad de los datos, lo que podría afectar la confianza de los clientes y las operaciones comerciales. 

Los problemas se debieron principalmente a una tecnología PKI obsoleta que no soportaba adecuadamente la magnitud de las transacciones digitales procesadas a diario. Además, la falta de personal cualificado familiarizado con las soluciones PKI modernas dificultó la actualización y gestión eficaz de estos sistemas.

La empresa reconoció estas vulnerabilidades y ha iniciado esfuerzos para modernizar su marco de PKI. Su objetivo es integrar medidas de seguridad avanzadas, capacitar al personal en tecnologías de vanguardia y establecer un sistema PKI robusto que se ajuste a los estándares actuales de ciberseguridad para proteger los datos de los clientes y mantener su liderazgo en el mercado. 

Servicios de PKI empresarial

¡Obtenga soporte de consulta completo de extremo a extremo para todos sus requisitos de PKI!

Más Información

Desafíos 

  1. Falta de planificación y seguimiento

     Una planificación estructurada y bien pensada es una de las mejores prácticas para la implementación de PKI. Una planificación bien definida no solo ayudará a una organización a realizar un seguimiento de sus certificados, sino que también reducirá los riesgos de seguridad para la PKI.

    Una vez que el sistema lleva un tiempo en funcionamiento, y si no se ha diseñado de forma estructurada, su organización puede perder fácilmente el control de los certificados emitidos. Muchas organizaciones desconocen la cantidad de certificados que tienen, sus fechas de caducidad, dónde encontrarlos, etc. Las consecuencias de esta mala gestión van desde auditorías fallidas hasta el uso indebido de certificados y claves, que puede comprometer los sistemas de la organización.

  2. No asignar recursos internos calificados

     El error más común al implementar una PKI es subestimar los recursos necesarios. Gestionar una PKI interna requiere esfuerzo, tiempo y dinero. Se requiere un equipo dedicado con recursos cualificados para gestionarla. El equipo de PKI debe contar con recursos suficientes y responsables cualificados que puedan liderar y responder eficazmente ante una interrupción o un incidente de seguridad.

  3. Seguridad de la CA raíz

    La seguridad de la CA raíz debe considerarse cuidadosamente. En las implementaciones de PKI, todas las confianzas provienen de la Autoridad de certificación (CA)La CA emite el Certificado Raíz, que garantiza la validez de las claves criptográficas para verificar las identidades auténticas. La CA raíz es la base de la confianza para cada certificado emitido en el entorno de la organización. Si no puede confiar en su CA raíz, no podrá confiar en su PKI.

    Según las directrices de seguridad, especificar quién puede obtener el certificado y cuándo se revocará es crucial para establecer y mantener la confianza en las autoridades de certificación y evitar errores en la implementación de PKI. Se requiere una auditoría periódica de las autoridades de certificación pertinentes para garantizar que las declaraciones de prácticas de certificación (CPS) se implementen correctamente y evitar cualquier riesgo en la red.

  4. Mala gestión del ciclo de vida de los certificados

    Otro error en la implementación de PKI es la falta de planificación anticipada para gestionar todo el ciclo de vida de los certificados. Una gestión deficiente de los certificados caducados puede causar interrupciones y gastos significativos. Automatizar la renovación de certificados puede ser útil en este caso. Si la organización realiza un trabajo manual, es fundamental supervisar la caducidad de los certificados.

  5. No almacenar certificados y claves de forma segura

     Los hackers pueden emplear diversas técnicas para analizar y detectar claves mientras están en uso o en tránsito. Es necesario garantizar que las claves se almacenen de forma segura bajo sistemas FIPS 140-2 nivel 3.

Soluciones 

  1. La infraestructura PKI actual se evalúa mediante la Evaluación PKI. También se diseñó un nuevo servicio PKI basado en Microsoft ADCS 2016 R2. Esto mitigó el problema de la expiración de la CA raíz y la implementación de la CA raíz en ADCS 2008, cuyo soporte está próximo a finalizar.

  2. Los documentos CP y CPS se crearon al consolidar las CA emisoras de 9 a 4 ICA. Esto mitigó la falta de información de la organización. CP/CPS política y falta de documentación y procedimientos.

  3. La instalación y configuración de HSM para almacenar claves CA e ICA, junto con la creación de procedimientos de ceremonia de claves y la definición de roles y responsabilidades para la gestión de claves, mitigaron el problema de pérdida de claves HSM en la CA raíz y la falta de roles y responsabilidades adecuados definidos para los custodios de PKI.

  4. Implementar la jerarquía PKI con una CA raíz fuera de línea y cuatro CA emisoras conectadas a cuatro bosques de dominio.

  5. Valide las plantillas de certificado existentes y cree nuevas plantillas para cumplir con los requisitos actuales y futuros de certificados digitales. Utilice el servidor HTTP y LDAP existentes para el CDP (Punto de Distribución de CRL).

Impacto 

  1. Ayudó a la organización proporcionándole un sistema PKI bien definido.

  2. La evaluación y la implementación de PKI definieron personas, procesos y tecnología para gestionar la infraestructura de PKI.

  3. También condujo a la consolidación y eliminación de ICA redundantes, reduciendo así los costos de infraestructura y mantenimiento.

  4. La evaluación y el despliegue de PKI incluso proporcionaron la información requerida a los auditores.

  5. Esta evaluación e implementación particular de PKI permitió respaldar nuevas demandas de certificados digitales, como MDM, VPN y requisitos de IoT.

  6. Permitió la emisión de certificados válidos para aplicaciones web internas existentes y una cadena de certificados válida.

Conclusión 

Consultoría de Implementación de Cifrado Evaluación de PKI La implementación resultó transformadora para esta organización minorista, abordando eficazmente sus desafíos previos en la gestión de su infraestructura de clave pública. La empresa minorista ha mejorado significativamente la integridad y seguridad de sus datos mediante el rediseño de los sistemas PKI con una estructura modernizada y protocolos de seguridad mejorados. Esta reestructuración incluyó la consolidación de las autoridades de certificación emisoras y la implementación de un nuevo... PKI servicio basado en Microsoft ADCS 2016 R2, y estableciendo rigurosos procedimientos de Ceremonia de Claves, que han agilizado la gestión de certificados y claves digitales. 

Explorar

Más temas