Lo que los contratistas gubernamentales deben saber sobre …


Las organizaciones que no cumplan con estas reglas pueden ser golpeadas con multas abrumadoras y demandas colectivas.

Los contratos gubernamentales pueden ser muy atractivos para organizaciones de cualquier tamaño. Solo mire la feroz competencia entre las grandes compañías tecnológicas para ganar la licitación para el Departamento de Defensa (DoD) Proyecto JEDI, destinado a más de $ 10 mil millones.

Toda organización que trabaje con una agencia gubernamental debe cumplir con un conjunto de normas y regulaciones de seguridad. La clave entre ellos son las reglas establecidas por el Instituto Nacional de Ciencia y Tecnología (NIST), un organismo que establece estándares para diferentes áreas de procesamiento de información, incluida la identificación, autenticación, almacenamiento y procesamiento de información, y más.

Las organizaciones que desean trabajar con el Departamento de Defensa, así como cualquier organización que maneje estos datos en su nombre, también deben cumplir con el Suplemento de Regulación Federal de Adquisiciones de Defensa (DFARS), un conjunto de estándares que se aplican a las agencias civiles y de defensa en los Estados Unidos. .

Las organizaciones que no cumplan con estas reglas, o sufran incidentes de seguridad que resulten de un cumplimiento deficiente, pueden verse afectadas con multas desgarradoras y demandas colectivas capaces de expulsarlos del negocio.

El equilibrio entre conveniencia y seguridad
Durante años, los expertos en seguridad han aconsejado el uso de contraseñas largas y complejas compuestas de letras mayúsculas y minúsculas, dígitos y símbolos (que requieren que los usuarios escriban cadenas como! V4Dv $ hJUF2g% J a diario) para evitar ser víctimas de la brutalidad. Ataques de fuerza. Además, los usuarios deben elegir contraseñas únicas para cada cuenta y cambiarlas cada pocos meses.

Sin embargo, en realidad, las contraseñas complejas son difíciles de recordar. La carga cognitiva es tan grande que la mayoría de los usuarios no se molestan y terminan encontrando soluciones tales como almacenar sus contraseñas en documentos de texto sin formato o reutilizarlas en diferentes cuentas.

Fue por estas razones que NIST relajó algunas de sus reglas que rodean la estructura de la contraseña. Consideró que las contraseñas complejas y los cambios periódicos no son esenciales. En cambio, NIST aconsejó que las contraseñas tengan entre 8 y 64 caracteres y que se apliquen cambios en caso de sospecha de incumplimiento. Antes de aceptar nuevas contraseñas, las organizaciones también se encargaron de verificarlas con las listas de contraseñas comprometidas disponibles, como las del preferred sitio net ¿He sido Pwned?

Pautas del NIST muestra que la complejidad de la contraseña ya ha alcanzado sus límites. Nuestras computadoras se vuelven más rápidas y potentes cada año, inevitablemente poniendo armas más efectivas en manos de los hackers.

El problema del almacenamiento y la administración de contraseñas
Una vez que las organizaciones abordan el problema de la complejidad de las contraseñas, deben abordar un problema mayor: dónde y cómo almacenar las contraseñas. Las contraseñas se deben cifrar antes de almacenarlas en los servidores de la empresa. De hecho, las contraseñas de texto sin formato son incluso peores que las contraseñas simplemente construidas. Si se violan, las contraseñas de texto sin formato pueden dar acceso a los piratas informáticos a todas las cuentas que maneja una organización, mientras que una contraseña easy violada puede dar paso a las cuentas de un solo usuario.

Hoy en día, la mayoría de las organizaciones almacenan contraseñas hash, es decir, contraseñas que se convierten en representaciones codificadas de sí mismas. Pero el hashing solo no es suficiente. Las organizaciones también deben controlar el acceso de los empleados a esas contraseñas y asegurarse de que el personal no autorizado no pueda extraer las contraseñas de las cuentas de usuario. Como han demostrado varios incidentes de seguridad, el mal manejo de las credenciales de los usuarios ocurre incluso con políticas firmes de manejo de credenciales. Texto sin formato almacenamiento de contraseña por Facebook, por ejemplo, según los informes, cientos de millones de contraseñas de usuario pueden buscarse para los empleados del gigante de las redes sociales.

Otro desafío que enfrentan las organizaciones es detectar y bloquear intentos maliciosos de acceder a las cuentas. Cuando lo único que protege los datos confidenciales de los usuarios es una contraseña, los piratas informáticos pueden entrar en cuentas específicas organizando ataques de fuerza bruta o de relleno de credenciales. Las organizaciones deben implementar salvaguardas que detecten y bloqueen múltiples intentos fallidos de acceder a una cuenta. Cuando no lo hacen, las cosas pueden ponerse feas.

La mediocridad de la autenticación multifactorial
Claramente, las contraseñas por sí solas no son suficientes para proteger las identidades de los usuarios. Es por eso que muchas organizaciones implementan la autenticación multifactor (MFA). En pocas palabras, MFA verifica la identidad del usuario al exigirles que proporcionen algo que saben (por ejemplo, una contraseña) y algo que tienen (como una aplicación móvil o una clave de seguridad) o algo que son (por ejemplo, un escaneo biométrico )

DFARS certifica ciertos tipos de MFA, incluidos los certificados que se almacenan de forma segura en un punto final (como el uso del almacenamiento de llavero, TPM o TEE). La clave también debe estar fuertemente protegida contra la divulgación no autorizada y solo accesible a los componentes de software relevantes. Finalmente, las organizaciones deben asegurarse de evitar la propagación de claves en múltiples dispositivos o minimizar las instancias si es realmente necesario.

Sin embargo, la adopción de AMF también ha enfrentado sus propios obstáculos. Muchos usuarios tienen problemas para ingresar contraseñas cada vez que desean acceder a sus cuentas. La fricción adicional de ingresar un código de acceso adicional de una sola vez o producir una clave física en el proceso de inicio de sesión a menudo es desagradable, lo que los empuja a deshabilitar MFA por completo si tienen la opción.

Preparándose para los contratos del gobierno
El objetivo final de los CISO y los equipos de seguridad de TI es maximizar la seguridad mientras se mantiene una alta accesibilidad y facilidad de uso para los empleados. Al agregar la necesidad de cumplir con las estrictas normas de ciberseguridad y privacidad, esto puede ser aún más difícil de lograr, y ciertamente más costoso. Este conflicto entre conveniencia y seguridad es quizás mejor ejemplificado por el desafío de la autenticación del usuario, y particularmente la administración de contraseñas a gran escala. Afortunadamente, varias soluciones ofrecen hoy una mayor seguridad, un cumplimiento más sencillo y una mayor satisfacción del usuario en todos los activos digitales, y ayudan a las organizaciones a mantenerse preparadas para cualquier circunstancia comercial.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Raz Rafaeli, CEO y cofundador de Mystery Double Octopus, es un ejecutivo de negocios orientado a los resultados con más de 25 años de experiencia en tecnología y liderazgo en las industrias de program, seguridad, semiconductores y telecomunicaciones. Anteriormente, Raz era el CEO de MiniFrame y … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia original