Aquí está la guía de la NSA para elegir un servicio seguro de chat de texto y videoconferencia


Logotipo de la NSA

Imagen: Pankaj Patel, NSA, ZDNet

La Agencia de Seguridad Nacional de los Estados Unidos (NSA) publicó la semana pasada una evaluación de seguridad de las herramientas de videoconferencia, chat de texto y colaboración más populares de la actualidad.

La guía contiene una lista de criterios de seguridad que la NSA espera que las empresas tengan en cuenta al seleccionar qué herramienta / servicio de teletrabajo desean implementar en sus entornos.

El documento de la NSA no solo está destinado a entidades gubernamentales y militares de EE. UU., Sino también al sector privado.

La strategy detrás de la iniciativa de la NSA es dar a las organizaciones militares, públicas y privadas una visión typical de todas las características de las herramientas, para que el particular de TI no tome decisiones equivocadas, esperando que una herramienta proporcione ciertas características que en realidad no están a la altura la realidad.

Según el documento de la NSA, los criterios evaluados responden a preguntas básicas como:

  1. ¿El servicio implementa el cifrado de extremo a extremo (E2E)?
  2. ¿El cifrado E2E utiliza estándares de cifrado comprobables, fuertes y conocidos?
  3. ¿Está disponible la autenticación multifactor (MFA)?
  4. ¿Pueden los usuarios ver y controlar quién se conecta a las sesiones de colaboración?
  5. ¿El proveedor de la herramienta comparte datos con terceros o afiliados?
  6. ¿Los usuarios tienen la capacidad de eliminar de forma segura los datos del servicio y sus repositorios según sea necesario (tanto en el lado del cliente como del servidor)?
  7. ¿Es público el código fuente de la herramienta (por ejemplo, código abierto)?
  8. Es el servicio FedRAMP aprobado para uso oficial del gobierno de los Estados Unidos?

Una instantánea de estas evaluaciones está disponible en la imagen a continuación. (En caso de que alguno de estos cambios cambie y la captura de pantalla no esté actualizada a través de los años, consulte el documento PDF original.)

Teleconferencia de la NSA "src =" https://zdnet4.cbsistatic.com/hub/i/2020/04/30/418864af-cccf-439b-bd53-896a95a384d3/nsa-teleconferencing.png

Imagen: NSA

La NSA publicó la evaluación anterior debido a la continua pandemia de coronavirus (COVID-19), que ha resultado en que muchos empleados del sector privado, trabajadores del gobierno y miembros del ejército trabajen desde su hogar y dependan cada vez más de las herramientas de teletrabajo.

Saber qué herramienta se ajusta a qué postura de seguridad y matriz de amenazas es el primer paso para prevenir intrusiones, dijo la NSA.

Esta evaluación también marca el segundo aviso de seguridad cibernética que la NSA emitió la semana pasada. Días antes, la agencia también había publicado una guía y una lista de las vulnerabilidades más comunes que los actores de amenazas habían estado utilizando para plantar shells web en los servidores.

Ayer, el gobierno de EE. UU. También emitió otra alerta de seguridad, esta por parte de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional. CISA dijo que estaba preocupado por las implementaciones apresuradas de Office 365 y Microsoft Groups que pueden haber expuesto a las compañías a ataques debido a la falta de configuraciones de seguridad clave.



Enlace a la noticia first