La administración o gestión de PKI (infraestructura‌ ‌de‌ ‌clave‌ ‌pública‌) combina distintos procesos, tecnologías y políticas que permiten controlar los certificados; manteniendo una mejor seguridad de datos y TI. En ese sentido, se hace necesario contar con las herramientas adecuadas para mantener y garantizar una gestión segura y de calidad. Por ello, te presentamos las mejores prácticas de administración de PKI y claves privadas más eficientes. 

Las mejores prácticas de gestión de PKI

1. Cree visibilidad: controle de cerca sus certificados y claves privadas

Tener una visibilidad clara de todos los certificados y claves de su red es imprescindible para una gestión eficaz del ciclo de vida de PKI. Esto implica mantener un inventario actualizado y preciso de sus activos criptográficos. 

Pero es importante tener en cuenta que los certificados SSL / TLS emitidos por una CA pública solo tienen una validez de un año (un máximo de 397 a 398 días, para ser más específicos). Esto se debe a que en 2020, Google y Mozilla decidieron que sus navegadores ya no confiarán en los certificados de sitios web con una vida útil más larga. 

2. Cree responsabilidad: decidir y documentar quién se encargará de las responsabilidades específicas

Parte de este proceso implica determinar si desea manejar todo internamente o si desea subcontratar algunas de esas responsabilidades a un proveedor. Y si decide que quiere manejar al menos algunas funciones internamente, entonces deberá definir responsabilidades y documentar claramente esa información.

Esbozar estos roles y responsabilidades es un componente clave para establecer un programa sólido de gestión de certificados y claves dentro de su organización.

3. Tenga una estrategia: defina y aplique claramente sus políticas de gestión de PKI

Tenga en cuenta que la gestión de PKI es un proceso impulsado por políticas. Así que definir y hacer cumplir políticas claras de administración de PKI es fundamental para la seguridad de sus datos y TI. También es otro componente central del desarrollo de un programa o marco de gestión de claves y certificados sólidos. Sus políticas de gestión de claves y  de certificados deben cumplir con acciones como las de definir responsabilidades de  tareas, de procesos y los requisitos de autorización, entre otros. 

4. Proteja sus claves privadas: utilice tecnologías y procesos de almacenamiento seguros

Hay varias formas de almacenar sus claves, y el método que elija depende de si desea almacenarlas de forma segura usted mismo o confiar en que un tercero las almacene por usted. Estos métodos incluyen:

• Almacenes de claves (SO y navegadores),
• Bóvedas de claves (herramientas como Active Directory o servicios de terceros relacionados),
• Tokens criptográficos (unidades extraíbles),
• Módulos de seguridad de hardware (HSM),

5. Simplifique la gestión de PKI: utilice una herramienta centralizada de gestión, supervisión y generación de informes

La administración manual de claves y certificados para una pequeña empresa es un desafío; intentar hacerlo a gran escala es casi imposible. Es aquí donde una herramienta de gestión de certificados PKI tiene un rol protagónico. En ese caso, un buen administrador de certificados como herramienta útil tiende a:

• Simplificar la administración de los ciclos de vida de su certificado y clave privada a través de un panel único e integrador.
• Brindar visibilidad total de los activos en su red, lo que permite mantener un inventario actualizado de los certificados y claves digitales de su organización.  
• Asignar y delegar responsabilidades para lograr una mayor responsabilidad entre sus empleados.
• Mejorar la eficiencia de gestión de PKI y las capacidades de generación de informes de su organización.
• Ofrecer automatización, que lo libera de tareas monótonas y repetitivas para que pueda concentrarse en prioridades más importantes.