Os profissionais de TI podem ter preocupações em perder o controle do processo, o que pode levar a problemas de segurança
Como profissional de TI, você entende o valor da automação e, como muitos especialistas em TI, pode abordá-la com uma mistura de entusiasmo e apreensão. A automação é uma ferramenta poderosa para agilizar processos, reduzir tarefas manuais e aumentar a eficiência dentro de uma organização.
Muitas vezes é adotado por seu potencial de liberar tempo e recursos valiosos, permitindo que as equipes de TI se concentrem em aspectos mais estratégicos e criativos de seu trabalho. No entanto, os profissionais de TI podem ter preocupações em perder o controle do processo, o que pode levar a problemas de segurança.
Por John Murray, VP North American Sales, GlobalSign
Essas preocupações não são diferentes quando se trata de automação de certificados. Os certificados digitais são os blocos de construção fundamentais da infraestrutura de segurança cibernética. O número de certificados que utilizamos e a forma como os utilizamos cresceu exponencialmente. Na última década, para aumentar a segurança, a validade dos certificados foi reduzida e foram feitas propostas para reduzi-la novamente. Esses dois fatores (mais certificados combinados com uma validade mais curta) estão aumentando a pressão sobre as equipes de TI já sobrecarregadas. A solução óbvia é a automação. Então, por que as equipes de TI demoram a adotar a automação de certificados digitais?
As barreiras para a autotomização de certificados
Após a proposta do Google de reduzir a validade do SSL/TLS para 90 dias, perguntamos aos profissionais de TI sobre suas barreiras para a adoção da automação , aqui está um resumo dos resultados:
38% acreditam que a compatibilidade e as limitações técnicas são os principais fatores que os impedem de automatizar os seus certificados. Eles não acreditam que exista uma solução pronta para uso de automação de certificados que possa resolver problemas como a falta de suporte para renovação automatizada em determinados sistemas ou ambientes (como Windows, IIS, Plesk). Eles também se preocupam com a incompatibilidade de alguns sistemas com soluções automatizadas padrão.
25% dos participantes destacaram custos e recursos como obstáculos potenciais. Eles se perguntam se precisam criar uma solução personalizada e, em caso afirmativo, se é econômico ou mais barato continuar com a manutenção manual. Eles também estão preocupados com os recursos necessários para manter uma solução automatizada.
20% admitem que eles e suas equipes não têm conhecimento ou experiência para escolher uma solução automatizada. Eles não estão familiarizados com a automação em geral ou com os requisitos específicos de automação de seus sistemas.
Os resultados da pesquisa indicam claramente que muitos profissionais de TI não estão familiarizados ou não veem o valor da automação de certificados. Ou será que eles não pensaram o suficiente? Afinal, os certificados fazem parte da nossa infraestrutura de TI há muito tempo.
Embora não sejam empolgantes, eles funcionam, então por que consertar algo que não está quebrado? Infelizmente, quando o decreto de 90 dias do Google eventualmente se tornar realidade, aumentará a necessidade de renovação/substituição de certificados SSL/TSL em quatro vezes (4X) o ritmo atual. Os profissionais de TI podem estar subestimando o fardo que isso representará para suas equipes.
Dado o custo das interrupções de certificados, esta será uma situação precária para os profissionais de TI e as equipes de segurança se não tiverem um plano sólido para lidar com o gerenciamento acelerado do ciclo de vida dos certificados.
O risco do gerenciamento manual de certificados
O custo de não automatizar o gerenciamento do ciclo de vida do certificado pode ser substancial. Os processos manuais de gerenciamento de certificados não são apenas demorados, mas também propensos a erros, que podem resultar em violações de segurança, problemas de conformidade e interrupções operacionais. Um estudo recente da AppViewX descobriu que mais da metade das violações de dados foram causadas por problemas de certificados. 57% dos participantes da pesquisa disseram que incorreram em custos superiores a US$ 100.000 por interrupção relacionada ao certificado.
É claro que, sem automação, algumas organizações lutam para acompanhar as expirações dos certificados, levando a tempos de inatividade ou vulnerabilidades de segurança quando os certificados expiram despercebidos. Isto se soma à carga administrativa do gerenciamento manual de certificados, que pode sobrecarregar as equipes de TI e aumentar os custos operacionais.
Automatizar ou não automatizar? Por onde eu começo?
Existem muitos casos de uso para automação de certificados, e cada organização tem necessidades exclusivas com base em sua infraestrutura, conhecimento e uso de certificados. No entanto, existem ações que você pode realizar para planejar sua automação e como parte de sua verificação regular de higiene de segurança cibernética.
1. Identificar
Faça um balanço dos certificados da sua organização. Você pode usar uma ferramenta de inventário de certificados, como o Atlas Discovery da GlobalSign, para fazer isso.
2. Analisar
Agora que você tem visibilidade de todo o escopo da sua infraestrutura PKI atual, você estava ciente de tudo isso? O que você tem funciona? É fácil ou difícil de gerenciar? Corremos riscos para facilitar o gerenciamento?
3. Pesquisa
Pergunte a si mesmo: os certificados que você possui são os que você precisa? É aqui que você deve envolver sua Autoridade de Certificação (CA) e pedir aconselhamento. A GlobalSign oferece uma verificação gratuita da integridade do certificado, uma consulta de uma hora onde nossos especialistas discutirão suas necessidades e recomendarão maneiras de agilizar o gerenciamento de seu certificado.
4. Planejar
Mapeie as mudanças que você precisa fazer no gerenciamento de certificados e priorize as tarefas de automação de acordo com seu impacto na segurança e na eficiência operacional.
5. Automatizar
Agora você já sabe o que precisa automatizar e se precisa fazer isso. Pergunte ao seu CA sobre suas ferramentas de automação. Existem muitas opções no mercado, e algumas serão exatamente corretas, enquanto outras podem ser um exagero. Seja qual for sua escolha, certifique-se de que seja escalonável.
Resumindo, num mundo onde a segurança e a conformidade dos dados são fundamentais, o custo de não automatizar a gestão do ciclo de vida dos certificados vai além das implicações financeiras e abrange potenciais danos à reputação e consequências jurídicas. O parceiro de automação certo entende que a automação é feita sob medida e que qualquer automação deve ser alimentada pela experiência humana.
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.
