Ir al contenido

Webinar: Regístrese para nuestro próximo seminario web

Regístrate Ahora

  1. Blog
    2. Gestión de claves

El cifrado es fácil, ¿la gestión de claves también es fácil?

Publicado porHemant Bhatt 07 Minutos
Infraestructura criptográfica para empresas
Tabla de contenido

Comprender la gestión de claves y su importancia para su estrategia de seguridad general es fundamental para establecer la mejor infraestructura criptográfica para su empresa. Las claves y los certificados se utilizan para diversas tareas y son vitales para la seguridad de los datos de su organización. Su módulo de seguridad de hardware (HSM) es como el motor de un coche: está diseñado para operaciones criptográficas de alto rendimiento. La gestión de claves es como el resto del coche: es una combinación de las personas que la operan, los procesos que la impulsan y la tecnología que la impulsa.

Recientemente participé en Consultoría de cifradoEn la Conferencia Virtual de 2022, hablé sobre cifrado, gestión de claves y cómo evaluar el nivel de madurez de su organización en este ámbito. En este artículo, me gustaría recapitular algunas de las últimas tendencias, tecnologías y mejores prácticas para proporcionar información práctica sobre la gestión de claves que pueda aplicar en su organización.

El primer paso es evaluar el nivel de madurez de la gestión de claves de su organización. A continuación, diseñe un ecosistema que facilite la gestión de claves y considere los factores que podrían ser importantes para los desarrolladores de aplicaciones. En Futurex, hemos desarrollado una matriz de madurez de la gestión de claves que resulta sumamente útil en este sentido, ya que ayuda a las organizaciones a identificar su propia clasificación. La matriz de madurez también puede ayudar a los proveedores de soluciones a determinar cómo optimizar su tecnología para un mejor uso.

La matriz de madurez de gestión clave pide a las organizaciones que consideren estas preguntas:

  • ¿Cómo se almacenan las claves?
  • ¿Dónde se indexan las claves?
  • ¿Cómo se mantiene el ciclo de vida?
  • ¿Cómo se realizan auditorías sobre material clave?
  • ¿Cuál es su capacidad para poner en práctica conceptos de criptoagilidad?
  • ¿Cómo se aplica la política sobre material clave?

A veces, las organizaciones descubren que su estrategia de gestión de claves es un desastre. Aun así, es recomendable identificar con exactitud la posición de su organización en la matriz y esforzarse por mejorarla. Dicho esto, el modelo "completamente maduro, en la parte superior derecha del gráfico" no es necesariamente el mejor para todos.

Niveles de la matriz de madurez de gestión clave

  • Sin modelo de gestión de claves

    Este modelo se suele utilizar una vez desarrollada una aplicación, cuando se detecta la necesidad de realizar operaciones criptográficas que requieren claves. A menudo, estas claves se almacenan en las estaciones de trabajo de los desarrolladores o, peor aún, en el código del software. El modelo de "sin gestión de claves" es pésimo e introduce un riesgo considerable para la empresa. Además, no es ideal, ya que la probabilidad de que alguien use sus productos es prácticamente nula. Hemos descubierto que la falta de conocimiento es la principal razón por la que algunas organizaciones adoptan este modelo. Normalmente, una organización con este nivel de madurez en la gestión de claves cuenta con un equipo de TI que carece de la conciencia fundamental de que existe un problema. La formación es fundamental en este nivel.

  • Modelo de gestión de claves específico de la aplicación

    Las aplicaciones desarrollan herramientas o implementan herramientas de terceros específicas para cada aplicación. En este nivel de madurez de la gestión de claves, se pueden utilizar HSM para proteger el material de claves, pero las claves pueden estar basadas en software. Dado que esto lo exige la aplicación, los usuarios dependen de sus capacidades.

  • Modelo de gestión de claves gestionado de forma semicentralizada

    En este modelo de gestión de claves semicentralizado, una organización suele implementar un sistema capaz de gestionar claves centralmente. Sin embargo, pueden surgir uno o dos problemas. Por un lado, la herramienta implementada podría no ser lo suficientemente completa en cuanto a capacidad y la empresa tiene limitaciones en cuanto a las aplicaciones que pueden interactuar con ella. Por otro lado, una organización podría implementar un sistema consolidado con una amplia oferta en cuanto a compatibilidad, pero aún está en proceso de migrar aplicaciones.

    Es en cualquiera de las dos etapas donde observamos el efecto de "valle de la desesperación". A veces existe una verdadera disparidad entre los arquitectos que diseñan el sistema y el resto de la organización. Se puede tener toda la tecnología del mundo, pero si es demasiado compleja de implementar y requiere que el director financiero firme un cheque con seis ceros al final para ver realmente su beneficio completo, es muy probable que no llegue a ninguna parte.

    En Futurex, como arquitectos de seguridad y ejecutivos de tecnología, nuestra labor es asegurarnos de tener esto en cuenta. No basta con decir: «Mira, he construido un motor Ferrari, ahora tú descubre cómo construir el coche a partir de él».

  • Modelo de gestión de claves gestionado centralmente y respaldado por hardware

    En este nivel de modelo de gestión de claves gestionado centralmente y respaldado por hardware, una organización ha implementado una arquitectura robusta y orientada a servicios para su infraestructura criptográfica.

Servicios de implementación para soluciones de gestión de claves

Brindamos servicios de implementación personalizados de soluciones de protección de datos que se alinean con las necesidades de su organización.

Leer Más

¿Dónde se encuentra su organización en la Matriz de Madurez de Gestión Clave?

Hay varios factores que impulsan el nivel de madurez de la gestión de claves de una empresa:

  • La cultura de la organización de arriba hacia abajo cuando se trata de seguridad de aplicaciones y criptografía.
  • Requisitos reglamentarios y de auditoría.
  • Necesidades de las aplicaciones

Las necesidades y requisitos de las aplicaciones suelen ser el principal factor, ya que los desarrolladores de aplicaciones requieren claves criptográficas. Los desarrolladores y propietarios de proyectos, que conocen los ataques criptográficos comunes y los principios de gestión de claves, suelen acudir al equipo de seguridad para analizar las políticas organizativas de gestión de claves. A medida que aumentan estas solicitudes, se hace evidente la necesidad de un modelo de gestión de claves más sólido.

Cuando las organizaciones comprenden plenamente la importancia de una infraestructura de gestión de claves centralizada, suele surgir el reto de implementarla en toda la empresa. Tras esta constatación, se implementa una herramienta y comienza el proceso de migrar las actividades de gestión de claves a la nueva infraestructura.

Por ejemplo, Hemos ayudado a proveedores de servicios de cajeros automáticos a desentrañar la gestión de claves de su infraestructura de procesamiento de transacciones para permitirles centralizar la seguridad y la gestión del ciclo de vida de sus claves. Además, existen muchos otros ejemplos que no son específicos de la industria, como el desarrollo de herramientas de automatización que facilitan la implementación de nuevas aplicaciones. Hemos comprobado que, con los conocimientos y las herramientas adecuados, cualquier organización puede superar el obstáculo de una infraestructura gestionada centralmente y respaldada por hardware.

Existen varias prácticas recomendadas que facilitan la gestión de claves. Uno de los principales requisitos de su infraestructura de gestión de claves es que esté respaldada por hardware robusto. No puede reforzar completamente su solución sin hardware dedicado certificado según los requisitos internacionales más estrictos, como PCI PTS HSM v3 y FIPS 140-3 Nivel 3. Su solución también debe ser compatible con todos los casos de uso de gestión de claves de su organización. No debe permitir que sus políticas de gestión de claves se fragmenten. A medida que aumenta la complejidad, aumentan los costos y se debilita la seguridad.

Con la herramienta incorrecta, sus políticas de control de acceso pueden parecer complicadas, por lo que debe optimizarlas lo suficiente sin que resulten demasiado complejas de gestionar correctamente. Lo más importante es que el ciclo de vida de sus claves, que varía no solo entre organizaciones, sino también entre casos de uso, debe implementarse correctamente. Necesita "criptoagilidad" para aplicar su infraestructura existente a nuevos proyectos con una inversión mínima.

¿Qué integraciones de aplicaciones son importantes para su organización?

Se deben considerar las integraciones de aplicaciones con Oracle TDE, Microsoft SQL TDE, VMWare vSphere, Apache Tomcat, Google Workspace y otras aplicaciones de protección de datos personalizadas para determinar qué es lo más adecuado para su organización. El siguiente paso es desarrollar un cronograma para la migración a una infraestructura de gestión de claves centralizada y determinar el orden.

Querrá configurar el servidor de administración de claves, definir qué puntos finales tienen acceso para usar el material de claves, definir cómo se otorga ese acceso (ya sea por un proveedor de identidad externo o credenciales recién generadas) y configurar la aplicación en sí.

Como puede ver, la implementación de las mejores prácticas para la gestión de claves en su organización puede simplificarse considerablemente con la guía y las herramientas expertas de Futurex. Esperamos poder ayudarle a usted y a su organización en su proceso de gestión de claves.

Para obtener más información sobre las soluciones de gestión de claves de Futurex, visite Gestión de claves

Descubra nuestra

Blogs relacionados

Todo lo relacionado con el Protocolo de Copia Segura (SCP)

Todo sobre el protocolo de copia segura

7 de Abril, 2026
Protección de claves SSH con HSM

Protección de claves SSH con HSM

Marzo 30, 2026
Tu guía definitiva para la gestión de claves SSH en múltiples nubes.

Tu guía definitiva para la gestión de claves SSH en múltiples nubes.

Marzo 27, 2026

Explore

Más temas