Public Key Infrastructure (Infraestructura de Clave Pública), se refiere a una estructura compuesta por Hardware, Software, Procesos, Gobierno de TI y Recursos Humanos integrados para ofrecer comunicaciones seguras mediante el uso de certificados y firmas digitales.La composición técnica de una PKI es la siguiente:La autoridad de certificación, CA (Certifica te Authority),es la entidad de confianza encargada de emitir y revocar los certificados digitales.
La autoridad de registro, RA (Registration Authority), es la encargada de controlar la generación de certificados.Verifica el enlace entre los certificados (concretamente, entre la clave pública del certificado) y la identidad de sus titulares.
La autoridad de validación, VA (Validation Authority): es la encargada de comprobar la validez de los certificados digitales.
Las autoridades de los repositorios donde se almacenan los certificados emitidos y aquellos que han sido revocados por cualquier motivo y han dejado de ser válidos.
Software Firmador y Estampa de Tiempo para validar los documentos que se firman con fecha y hora.
Adicional a los componentes tecnológicos se debe tener:Política de seguridad, procesos y procedimientos que le permitan a la PKI establecer normas que protejan la integridad de la empresa.
Áreas interdisciplinarias que velan por la correcta implementación y ejecución de los procesos definidos en el Sistema de Gestión de Seguridad de la Información, manteniendo la imparcialidad.
Recursos Humanos Interdisciplinarios para soportar y mantener los diferentes componentes de la PKI: Legal, RRHH, Tecnológico, Especializado, Calidad, Riesgos, Estratégico y Consultivo.
El Compromiso de la Alta Direccion, para llevar a cabo la implementación y mantener la estructura en el tiempo.
Las empresas necesitan alcanzar los cuatro objetivos de la seguridad informática:
- Autenticidad
- Confidencialidad
- Integridad
- No Repudio.
Cuando un incidente de seguridad se presenta en una empresa, el autor puede negar y/o presentar una duda razonable (me robaron mi clave, se me perdió el carnet, dejé el equipo desbloqueado, me hackearon mi equipo). En un proceso legal, dicha duda puede proceder en tanto la empresa no tenga implementada una PKI y el autor podría presumirse inocente hasta tanto no se presente un perito experto en tecnología lo que implicaría mas tiempo y costo. De los anteriores objetivos, el No Repudio bajo una estructura PKI protege a la empresa en un proceso legal y asegura que el autor del delito informático no genere dudas tecnológica en el proceso o que la empresa incurra en un gasto de intervención de un perito experto en tecnología
Comentarios recientes