DigiCert
Estudio global de digicert: preparándose para un futuro seguro poscomputación cuántica
Enrique Cabanilla
Los líderes de TI están haciendo sonar la alarma sobre la necesidad de invertir ahora en la planificación de una transición cuántica segura; La falta de propiedad, presupuesto o apoyo ejecutivo claros son obstáculos en el camino hacia la preparación.
En su conferencia anual Trust Summit, DigiCert publicó los resultados de un estudio global que explora cómo las organizaciones están abordando la amenaza de la computación post-cuántica, y como vienen preparándose para un futuro seguro post-computación cuántica. Los hallazgos clave revelan que, si bien los líderes de TI están preocupados por su capacidad para prepararse en los plazos necesarios, se ven limitados por obstáculos que incluyen la falta de propiedad, presupuesto y apoyo ejecutivo claros.
La computación cuántica aprovecha las leyes de la mecánica cuántica para resolver problemas demasiado complejos para las computadoras clásicas. Sin embargo, con la computación cuántica, descifrar el cifrado se vuelve mucho más fácil, lo que representa una enorme amenaza para los datos y la seguridad de los usuarios.
“PQC es un evento sísmico en criptografía que requerirá que los líderes de TI comiencen a prepararse ahora. Las organizaciones con visión de futuro que han invertido en criptoagilidad estarán mejor posicionadas para gestionar la transición a algoritmos cuánticos seguros cuando se publiquen los estándares finales en 2024”, dijo Amit Sinha, director ejecutivo de DigiCert.
Aspectos destacados del estudio
Ponemon Institute encuestó a 1.426 profesionales de TI y seguridad de TI en los Estados Unidos (605), EMEA (428) y Asia-Pacífico (393) que conocen el enfoque de sus organizaciones hacia la criptografía post cuántica.
Los hallazgos clave del estudio incluyen los siguientes datos:
- El sesenta y uno por ciento de los encuestados dice que sus organizaciones no están ni estarán preparadas para abordar las implicaciones de seguridad de PQC.
- Casi la mitad de los encuestados (49%) dice que el liderazgo de su organización es sólo algo consciente (26%) o no (23%) sobre las implicaciones de seguridad de la computación cuántica.
- Sólo el 30% de los encuestados dice que sus organizaciones están asignando presupuesto para la preparación de PQC.
- El cincuenta y dos por ciento de los encuestados dice que sus organizaciones están actualmente haciendo un inventario de los tipos de claves criptográficas utilizadas y sus características.
- Desafíos que enfrentan las organizaciones para estar preparadas para un futuro seguro poscomputación cuántica.
- Los hallazgos clave indican que los equipos de seguridad deben hacer malabarismos con la presión para adelantarse a los ciberataques dirigidos a sus organizaciones, mientras se preparan para un futuro posterior a la computación cuántica. Sólo el 50% de los encuestados dice que sus organizaciones son muy efectivas a la hora de mitigar riesgos, vulnerabilidades y ataques en toda la empresa. Según la investigación, el ransomware y el robo de credenciales son los dos principales ciberataques experimentados por las organizaciones en este estudio.
- El cuarenta y uno por ciento de los encuestados dice que sus organizaciones tienen menos de cinco años para estar listas. Los mayores desafíos son no tener suficiente tiempo, dinero y experiencia para tener éxito. Actualmente, sólo el 30% de los encuestados dice que sus organizaciones están asignando presupuesto para la preparación de PQC.
- Muchas organizaciones desconocen las características y ubicaciones de sus claves criptográficas. Sólo un poco más de la mitad de los encuestados (52%) dice que sus organizaciones están haciendo actualmente un inventario de los tipos de claves criptográficas utilizadas y sus características. Sólo el 39% de los encuestados dice que están dando prioridad a los activos criptográficos y sólo el 36% de los encuestados está determinando si los datos y los activos criptográficos se encuentran en las instalaciones o en la nube.
Muy pocas organizaciones tienen una estrategia general centralizada de gestión de criptografía aplicada de manera consistente en toda la empresa. El sesenta y uno por ciento de los encuestados dice que sus organizaciones solo tienen una estrategia de gestión de criptografía limitada que se aplica a determinadas aplicaciones o casos de uso (36%), o no tienen una estrategia de gestión de criptografía centralizada (25%).
Para proteger los activos de información y la infraestructura de TI, las organizaciones necesitan mejorar su capacidad para implementar de manera efectiva soluciones y métodos criptográficos. La mayoría de los encuestados dicen que sus organizaciones no tienen una gran capacidad para impulsar las mejores prácticas y políticas en toda la empresa, detectar y responder al uso indebido de certificados/claves, remediar la corrección o violación de algoritmos y prevenir certificados no planificados.
Las organizaciones reconocen que carecen de la experiencia necesaria para mantenerse al frente de los requisitos poscuánticos. Como resultado, contratar y retener personal calificado es la prioridad estratégica más importante para la seguridad digital (55% de los encuestados). A esto le sigue el logro de la agilidad criptográfica (51% de los encuestados), que es la capacidad de actualizar eficientemente algoritmos, parámetros, procesos y tecnologías criptográficos para responder mejor a nuevos protocolos, estándares y amenazas a la seguridad, incluidos aquellos que aprovechan los métodos de computación cuántica.
Para estar preparadas para la computación poscuántica, las organizaciones deben tener una estrategia que incluya el respaldo de un liderazgo senior, visibilidad de las claves y activos criptográficos, y estrategias centralizadas de gestión criptográfica que se apliquen de manera consistente en toda la empresa con responsabilidad y propiedad.