BLOG

Un nuevo estudio revela qué impulsa (y limita) la implementación de TLS 1.3.

Miniatura de Rachael Shah
Rachael Shah
Publicado el 18 de noviembre de 2022

Hace cuatro años, Meghan Markle se casó con el príncipe Harry. Mientras tanto, Sears se declaró en quiebra y el mundo fue agraciado con una rara superluna de sangre azul. Toys “R” Us también cerró todas sus tiendas y Apple se convirtió en la primera empresa estadounidense que cotiza en bolsa en alcanzar un valor de 1 billón de dólares.

No olvidemos que 2018 también marcó la aprobación de TLS 1.3 por parte del Internet Engineering Task Force (IETF).

Desde entonces, las organizaciones han tenido mucho tiempo para evaluar los beneficios y desafíos de adoptar TLS 1.3, la versión más reciente de uno de los protocolos criptográficos más utilizados que permite la seguridad de datos en Internet.

Para comprender por qué, o por qué no (aún), las empresas han implementado TLS 1.3, Enterprise Management Associates (EMA) preparó el informe de investigación, “El cuarto aniversario de TLS 1.3: “¿Qué hemos aprendido sobre la implementación y el monitoreo de la red?”

El estudio EMA patrocinado por F5 incluye opiniones de líderes empresariales y tecnológicos de América del Norte en industrias como servicios tecnológicos, finanzas y atención médica. Los participantes arrojan luz sobre cómo las empresas están priorizando la seguridad de la información y las prioridades de cumplimiento, sin mencionar cómo las regulaciones para la seguridad de datos han influido en la dirección de las prioridades de seguridad.

A continuación se presentan tres conclusiones del informe:

1.Los controles regulatorios y de proveedores, la seguridad de datos y el trabajo remoto impulsan la adopción

Los estándares de seguridad de datos han sido una prioridad para los líderes empresariales y tecnológicos durante los últimos años. Por lo tanto, no es sorprendente que los participantes en el estudio indicaran que la mejora de la seguridad de datos son los principales impulsores para la implementación de TLS 1.3. De hecho, el 85% de los encuestados indicaron que la seguridad de datos era el mayor beneficio de la implementación de TLS 1.3.

Además, a medida que las empresas se adaptaron a la pandemia de COVID-19, el impulso hacia el trabajo remoto (y su persistencia) y la necesidad de manejar de forma segura datos confidenciales y propiedad intelectual de la empresa jugaron un papel en la adopción de TLS 1.3. Como muestra la Figura 1, el 76% de los encuestados utilizan TLS 1.3 para el tráfico comercial de empleados remotos.

Figura 1: Las organizaciones encuestadas que han implementado TLS 1.3 respondieron si el tráfico empresarial de los empleados que trabajan de forma remota está cifrado con TLS 1.3.

2.Las consideraciones de visibilidad y monitoreo son los principales obstáculos

A pesar de los controles regulatorios y de proveedores como HIPAA y el Reglamento General de Protección de Datos (GDPR) de la UE, las organizaciones están teniendo dificultades para avanzar con TLS 1.3 debido al impacto previsto en los planes de seguridad y monitoreo dentro de su entorno, como se muestra en la Figura 2. Además, no es ningún secreto que este tipo de integración puede ser un desafío. Por lo tanto, en lugar de comprometerse, muchas organizaciones están ganando tiempo para diseñar un plan de migración y evaluar soluciones provisionales que sean más fáciles y menos intrusivas de implementar que TLS 1.3.

La pérdida de visibilidad también genera pausa para el 96% de los encuestados. Después de todo, el 44% de los encuestados que implementaron TLS 1.3 se vieron obligados a revertir su implementación debido a la pérdida de visibilidad del tráfico, y más de una cuarta parte de los encuestados cree que pueden haber sufrido una violación de seguridad debido a la falta de visibilidad del tráfico con el protocolo.

Figura 2: Las organizaciones encuestadas que no han implementado TLS 1.3 evaluaron los posibles problemas relacionados con la implementación de TLS 1.3 en relación con su organización.

3.Los costos de recursos e implementación son sustanciales

El ochenta y siete por ciento de las organizaciones encuestadas que implementaron TLS 1.3 requirieron algún nivel de cambio de infraestructura para adaptarse a la integración, como se ilustra en la Figura 3. Actualizar una topología de la red es sin duda una tarea difícil de aceptar para muchos. Es una tarea que requiere mucho tiempo y es costosa. Recurrir a recursos para implementar un proyecto de esta escala es difícil de justificar dados los recursos humanos limitados en un personal de seguridad que ya está sobrecargado y su muy poco valor comercial percibido en comparación con las necesidades comerciales de la competencia (81%).

Figura 3: Las organizaciones encuestadas que implementaron TLS 1.3 evaluaron si habilitar TLS 1.3 requirió un cambio en su arquitectura de seguridad.

Si bien varias variables seguirán influyendo en la adopción de TLS 1.3, una cosa es segura: TLS como protocolo de privacidad de datos recomendado llegó para quedarse.

Y con casi el 90% de todo el tráfico de Internet ahora cifrado, y ese número sigue creciendo, lo que no puedes ver puede hacerte daño. Los ciberdelincuentes aprovechan constantemente el tráfico cifrado para ocultar cargas maliciosas, independientemente de la versión de TLS. Si no lo inspecciona, está dejando a su organización vulnerable.

Obtenga más información sobre lo que dicen los líderes empresariales y tecnológicos sobre la implementación de TLS 1.3 en el informe completo de EMA y comprenda por qué la visibilidad y la orquestación del tráfico cifrado SSL/TLS (especialmente el tráfico entrante y saliente cifrado con TLS 1.3) son tan vitales hoy en día.