putilov_denis – stock.adobe.com
La computación cuántica promete a las organizaciones la capacidad de optimizar procesos, superar desafíos logísticos, reducir costos y mejorar la toma de decisiones. Sin embargo, la funcionalidad avanzada y las capacidades informáticas de la computación cuántica también significan que los algoritmos criptográficos actuales ya no brindarán la protección que alguna vez brindaron.
Si bien el mercado de la computación cuántica aún es incipiente, con estimaciones de ingresos para 2024 de alrededor de 1.300 millones de dólares, se espera que crezca hasta los 5.300 millones de dólares en 2029. Con el cifrado asimétrico actual en riesgo, es fundamental que las organizaciones se preparen ahora para la criptografía poscuántica (PQC). -Un aspecto clave del cual es la adopción de la criptoagilidad.
¿Qué es la criptoagilidad y por qué es importante?
La criptoagilidad es un enfoque que permite que los sistemas cambien dinámicamente entre múltiples algoritmos, mecanismos y sistemas de gestión de claves criptográficos según sea necesario para contrarrestar las amenazas. Aplica cambios sin interrumpir la infraestructura del sistema. Este enfoque es a la vez una medida defensiva proactiva y una herramienta de respuesta a incidentes que se utiliza cuando se descubre que un algoritmo criptográfico está comprometido.
Un sistema cripto-ágil exitoso es aquel en el que los algoritmos se pueden cambiar con facilidad y, al menos parcialmente, mediante la automatización. El objetivo de la gestión ágil de la criptografía es permitir a las organizaciones preparar las capacidades de los sistemas para el futuro para contrarrestar las amenazas a la criptografía.
Pasos para lograr la criptoagilidad
La mejor manera de superar los desafíos de seguridad poscuánticos es tener un plan de implementación sólido, que debe incluir lo siguiente:
- Cree políticas y procesos cripto-ágiles. Cree e implemente políticas y procesos para cambiar entre algoritmos si se ven comprometidos. Automatizar estos procesos siempre que sea posible.
- Desarrollar planes de comunicación y respuesta a incidentes.. Todo el personal de la organización debe comprender sus roles individuales en la ejecución de políticas cripto-ágiles y mantener a las partes interesadas informadas sobre los cambios. Además, capacite a los empleados sobre nuevas herramientas y procesos, así como sobre cómo reconocer y responder a las amenazas poscuánticas que puedan surgir.
- Conducta un criptográfico inventario de activos. Mantenga un inventario de algoritmos criptográficos, certificados digitales y sistemas de gestión de claves para comprender el alcance completo de la migración de PQC y determinar dónde implementar primero los algoritmos de PQC. Revisar periódicamente para mantener el inventario actualizado.
- Implementar un sistema de gestión de claves. Las claves criptográficas deben gestionarse, actualizarse y rotarse de forma constante. Los sistemas de administración de claves ayudan a crear, almacenar y alternar claves criptográficas automáticamente.
- Implementar un público infraestructura clave para PQC. Utilice PKI para crear, distribuir, administrar, mantener y reemplazar automáticamente claves y certificados digitales.
- Considere los sistemas heredados. Evite posibles problemas creando un plan de migración pragmático para sistemas no ágiles. Primero, determine qué sistemas y aplicaciones se pueden actualizar y luego determine cómo actualizarlos y protegerlos. Asegúrese de presupuestar los costos asociados con la transición a PQC.
- Realizar pruebas rigurosas de sistemas y validación continua. Pruebe y audite los controles y procesos de seguridad cuántica para detectar y remediar debilidades y vulnerabilidades. Además, considere copias de seguridad y estrategias de recuperación.
- Prepárese para futuras amenazas con la computación cuántica. La computación cuántica puede ayudar a mejorar la postura de seguridad de una organización. Por ejemplo, consideremos el aprendizaje automático cuántico, que podrá acelerar la identificación de amenazas y detectar ataques antes de que penetren en una red.
Amy Larsen DeCarlo ha cubierto la industria de TI durante más de 30 años como periodista, editora y analista. Como analista principal de GlobalData, cubre la seguridad gestionada y los servicios en la nube.
Profundice en la seguridad y privacidad de los datos