por Dean Coclin, director senior de desarrollo empresarial en DigiCert
¿Cómo saber si su empresa ofrece una experiencia de navegación segura en Internet? Puede ser el tipo de persona que instruye a su personal para que solo navegue por sitios conocidos, donde sabe que su información estará protegida, que no acceda a enlaces sospechosos e incluso restrinja las páginas a las que los empleados pueden y no pueden acceder; esto no es suficiente. Y debe proteger no solo a sus empleados, sino también a los clientes y proveedores.
En el caso de Latinoamérica, siguen creciendo los casos de suplantación de marca en internet y redes sociales como causa de fraude. Por ejemplo, entre la segunda mitad de 2020 y la primera mitad de 2021, los casos de phishing identificados en América Latina por la empresa de monitoreo y eliminación de riesgos y amenazas digitales Axur han caído un 32%, según su más reciente informe Actividad criminal en línea. en América Latina 2021. Según el informe, el país que tuvo la mayor exposición a datos de tarjetas de crédito y débito este año en la región fue Brasil, seguido de Costa Rica; el total de tarjetas de crédito y débito encontradas en el semestre fue de 687 mil tarjetas, de las cuales el 94,7% seguían vigentes.
Brasil demuestra que está lejos de tener un internet seguro. En 2020 hubo alrededor de 1.600 millones de casos de robo de datos personales en Internet, según un estudio de Akamai. Como resultado, el país ocupa el tercer lugar en la lista de naciones que más sufrieron ataques e invasiones de credenciales en el mundo en el último año.
Comprender las CA
Se habla mucho de los certificados TLS/SSL y de su importancia a la hora de proteger los datos de empresas, particulares y gobiernos. Pero solo unas pocas personas entienden el significado de un acrónimo importante que acompaña a los certificados: Autoridades de certificación (CA). En las grandes empresas donde hay grandes equipos de TI, depende de los profesionales de la tecnología saber qué hace una CA, pero en las pequeñas y medianas empresas, depende del emprendedor entenderlo.
Según el navegador y el sistema operativo que utilice su empresa, se confía en entre 50 y más de 100 organizaciones diferentes en todo el mundo para garantizar que su experiencia de navegación en Internet sea segura. Estas organizaciones, CA, emiten certificados de autenticación de servidor TLS/SSL. Estos certificados son utilizados por miles de millones de usuarios todos los días para verificar la identidad de los sitios web que visita y garantizar que cualquier información que envíe a ese sitio web esté encriptada y a salvo de miradas indiscretas. Dada la importancia crítica de esta tarea de proporcionar identidad en Internet, es imperativo que las CA operen bajo un conjunto de requisitos claros para garantizar la seguridad y el cumplimiento.
Las CA en las que los navegadores confían hoy en día para emitir certificados TLS para sitios web seguros son realmente globales; cada CA tiene la capacidad técnica para emitir un certificado para cualquier sitio web. Desde el punto de vista de la seguridad, cada CA es igual: la seguridad general en Internet es tan fuerte como la CA más débil. Por esta razón, se debe establecer un estándar mínimo que garantice una línea base común de seguridad y cumplimiento a la que deben adherirse todas las CA.
Los principales navegadores requieren que las CA de confianza operen de acuerdo con las políticas descritas en los Requisitos básicos para la emisión y gestión de certificados de confianza pública del CA/Browser Forum. Estos requisitos están definidos y acordados por un grupo de CA y navegadores, y representan un conjunto común de requisitos mínimos para la industria.
Garantizar la seguridad
Una vez que se acuerdan y finalizan los cambios en los requisitos básicos de CA/Browser Forum, estos cambios se incorporan a los criterios de auditoría que utilizan los auditores para garantizar que las CA se adhieran a los requisitos. Este paso de traducir los cambios de los requisitos de referencia en elementos específicos que los auditores verifican durante su compromiso de auditoría es una parte fundamental para garantizar la seguridad y el cumplimiento en la industria. Dado que no hay visibilidad externa de las operaciones y controles internos en una CA, las auditorías periódicas y la experiencia y el conocimiento de los auditores sobre los estándares relevantes juegan un papel importante en la seguridad del ecosistema de certificados. Si algún requisito no es claro o no está completamente definido, diferentes auditores pueden llegar a diferentes interpretaciones de los requisitos.
Los documentos de política que las CA de confianza pública deben cumplir para proporcionar la base sobre la que se construye la confianza en Internet. Dada su función crítica en la seguridad, los requisitos claros son imprescindibles. Para elevar el nivel de la línea de base común de seguridad, las partes interesadas deben poder discutir abiertamente las posibles ambigüedades en los requisitos para que puedan abordarse. Pero para que tal discusión ocurra, se debe fomentar un ambiente que valore el diálogo abierto y el intercambio de ideas. Al reconocer el papel de los documentos de política, como los requisitos básicos de CA/Browser Forum, como la piedra angular de la seguridad en Internet, apoyamos encarecidamente el debate abierto y la mejora continua para proporcionar una guía clara a las CA de confianza pública.
Invertir en seguridad es esencial para las empresas de hoy. No solo porque protege los datos corporativos, sino que también evita que la información de clientes y proveedores caiga en manos de delincuentes. Un caso de violación de datos puede dañar la reputación de su empresa y costarle mucho más de lo que piensa. Entonces, si desea garantizar una experiencia de navegación segura para su empresa, invierta en certificados TLS.