Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

Refuerce sus defensas: Iniciativas cibernéticas federales para un futuro seguro

Tendencias del sector

En marzo de 2023la administración Biden dio a conocer una amplia estrategia nacional de ciberseguridad. En ella se establecía una visión audaz de la ciberseguridad, haciendo hincapié en la necesidad de defender las infraestructuras críticas, desmantelar las ciberamenazas, impulsar la seguridad del mercado, invertir en un futuro resiliente y forjar alianzas internacionales.

Sobre la base de este marco, el memorando de la Casa Blanca de julio de 2024 memorándum de la Oficina de Gestión y Presupuesto (OMB) y la Oficina del Director Cibernético Nacional (ONCD) esboza las prioridades específicas de inversión en ciberseguridad para el futuro y proporciona una hoja de ruta hacia resultados medibles y procesables.

El último memorándum avanza en varias áreas clave destacadas en la estrategia original: 

  • Transición a arquitecturas de confianza cero: Describe la necesidad de pasar rápidamente a arquitecturas de confianza cerolo que exige una verificación rigurosa y continua de cada usuario y dispositivo.
  • Mejorar la colaboración entre los sectores público y privado: Pide que se redoblen los esfuerzos para compartir información, reforzar la resistencia e impulsar la acción colectiva contra las amenazas cambiantes.
  • Reforzar la mano de obra en ciberseguridad: Se centra en ampliar la contratación, la retención y abordar la brecha de habilidades que obstaculiza las capacidades defensivas.
  • Prepararse para los retos de la computación cuántica: Destaca la necesidad de prepararse para un futuro post-cuántico - incluyendo la transición a criptografía resistente a la cuántica - y la dedicación federal a la agilidad criptográfica para un futuro seguro.

Es esencial que comprenda cada una de estas áreas clave, que resumimos a continuación y que también tenemos previsto abordar en un próximo seminario web. [Reserve su plaza inscribiéndose aquí para adelantarse a las amenazas de hoy y prepararse para los retos de mañana).

Mejorar su estrategia de defensa 

Las agencias federales se enfrentan a retos de ciberseguridad cada vez mayores, por lo que es crucial adoptar soluciones avanzadas para mantenerse seguras. Veamos cada una de las áreas generales del memorándum de ciberseguridad y sus principales conclusiones. 

Adoptar la confianza cero para gestionar la identidad y el acceso

Uno de los principales mandatos de la ONCD con el objetivo de defender las infraestructuras críticas exige que los organismos gubernamentales presenten planes actualizados de confianza cero en un plazo de 120 días. A confianza cero se aleja de la seguridad tradicional basada en el perímetro para adoptar un modelo centrado en minimizar la confianza y maximizar la verificación.

Esta verificación es crucial para las identidades de las máquinas, que superan en número a los usuarios en la mayoría de los entornos informáticos. Cada dispositivo necesita su propia identidad y credenciales para autenticarse y comunicarse de forma segura, y éstas deben gestionarse, actualizarse y revocarse cuando sea necesario. Esto crea una compleja red de identidades que puede dar lugar a lagunas y vulnerabilidades si se gestiona mal, como una identidad de máquina comprometida que permita el acceso no autorizado a áreas sensibles de una red, o que provoque interrupciones operativas. 

Además, todos los datos en tránsito por las redes deben cifrarse mediante TLS (seguridad de la capa de transporte). Este requisito es crucial para salvaguardar la información que circula entre sistemas y dispositivos. La gestión a escala de estos certificados TLS requiere una supervisión meticulosa, y una gestión inadecuada de la identidad o de los certificados puede tener graves repercusiones. Los riesgos asociados a la gestión de certificados de certificados se pusieron de manifiesto cuando la autoridad de certificación líder Entrust emitió incorrectamente miles de certificados de validación ampliada TLS en 2024. La gestión eficaz de identidades y certificados es crucial para evitar que los atacantes aprovechen los puntos débiles para penetrar en las redes, filtrar datos o interrumpir las operaciones.

Principales conclusiones:

  • Se exige a los organismos públicos que actualicen los planes de confianza cero, centrándose en la verificación rigurosa de las identidades de las máquinas para todo lo que entre en contacto con la red.
  • Una gestión adecuada de los certificados de TLS es crucial para evitar brechas en la red e interrupciones operativas.
  • La detección y supervisión continuas de los certificados son fundamentales para garantizar la confianza.

Afrontar el déficit de competencias en ciberseguridad

Un entorno bien gestionado es más fácil de defender, pero esto requiere un doble enfoque: aumentar el nivel de cualificación de nuestra mano de obra de ciberseguridad y reducir la complejidad de los entornos en los que operan. Para ello, la nota de la ONCD insiste en la necesidad de disponer de herramientas adecuadas, especialmente en lo que respecta a infraestructura de clave pública (PKI).

Las soluciones tecnológicas de las administraciones públicas suelen gestionarse aplicación por aplicación, lo que contribuye a la complejidad operativa. La gestión ad hoc no sólo aumenta los costes, sino que también hace que la contratación de personal cualificado más difícil, costosa y, con frecuencia, redundante. Cuando cada aplicación requiere su propia gestión de PKI, los organismos se encuentran atrapados en un ciclo de ineficacia: el personal debe hacer malabarismos con sistemas dispares en lugar de centrarse en mejorar la seguridad en general.

Centralizar la gestión de la PKI ayuda a superar este reto. Las organizaciones pueden reducir la complejidad y aumentar la madurez de la seguridad al mismo tiempo racionalizando la gestión de certificados en toda la empresa. La centralización también prepara el terreno para automatizaciónLa centralización también prepara el terreno para la automatización, permitiendo una integración más fluida del cifrado y la autenticación en varias plataformas. Con las herramientas adecuadas, la seguridad se hace más accesible a todos los miembros del personal, no sólo a los expertos especializados.

El uso de las herramientas adecuadas puede proporcionar ventajas significativas para la formación y la incorporación de nuevos talentos. A medida que más técnicos cibernéticos se incorporan a la fuerza laboral, están mejor posicionados para el éxito cuando trabajan con las herramientas en las que han sido capacitados, tales como EJBCAActive Directory y otros estándares del sector. Equipar a los nuevos empleados con sistemas conocidos puede reducir la curva de aprendizaje del nuevo personal, mejorar la eficacia operativa y beneficiar la salud y resistencia generales de la ciberseguridad.

Principales conclusiones:

  • Centralizar la gestión de la PKI puede reducir la complejidad y mejorar la seguridad, facilitando la defensa de los entornos.
  • Equipar a los nuevos empleados con herramientas conocidas mejora la eficacia operativa y refuerza la ciberseguridad.

La colaboración entre los sectores público y privado conduce a soluciones seguras

En la otra cara de la moneda, estas herramientas deben satisfacer las necesidades específicas y rigurosas de las agencias gubernamentales. Los departamentos y organismos federales están obligados a adoptar soluciones que mejoren la seguridad y cumplan estrictas normas reglamentarias y operativas. Esto es especialmente importante cuando se consideran herramientas disponibles en el mercado o open-source software . 

Open-source pueden aportar flexibilidad e innovación sin sacrificar la seguridad cuando se mantienen y aseguran adecuadamente. El memorando de la Casa Blanca se hace eco de ello, animando a las agencias a contribuir y mantener los componentes de open-source software . Sin embargo, cuando los componentes de open-source están en uso, los organismos deben supervisar los cambios de código, identificar y abordar las vulnerabilidades, y mantener la integridad de esos componentes. Una supervisión y seguridad coherentes pueden ser todo un reto si no se cuenta con las herramientas adecuadas.

Keyfactor están diseñadas para cumplir altos estándares exigidos por los gobiernos de todo el mundo. De hecho, ya estamos ayudando a varias entidades gubernamentales a gestionar programas de identidad con soluciones de gestión de PKI centralizadas, seguras y conformes con la normativa. Nuestras herramientas no sólo potencian la gestión segura de identidades digitales, sino que también ofrecen total transparencia, rigurosas funciones de cumplimiento y controles de seguridad automatizados que respaldan la conformidad con FIPS 140-2 y otras normas NIST del NIST. La automatización del ciclo de vida de los certificados y la gestión del cifrado seguro con Keyfactor pueden ayudar a los organismos a mantener un control estricto de sus entornos PKI y cumplir los requisitos de conformidad.

Principales conclusiones:

  • Los organismos públicos deben adoptar soluciones seguras y conformes con las estrictas normas reglamentarias.
  • Keyfactor ofrecen gestión PKI centralizada, controles de seguridad automatizados y conformidad con FIPS 140-2 y otras normas NIST.

Prepararse para un futuro post-cuántico

A medida que se acerca la revolución de la computación cuántica, el gobierno federal debe dar prioridad a la transición a la criptografía post-cuántica (PQC). Los ordenadores cuánticos tienen el potencial de romper los métodos de cifrado que protegen nuestros datos más sensibles, y el cambio para adaptarse no será sencillo ni fácil. Para complicar aún más las cosas, ya hay indicios de que los atacantes parecen estar adquiriendo datos cifrados ahora para almacenarlos para poder descifrarlos más tarde cuando la tecnología esté disponible. Esto se conoce comúnmente como "capturar y luego descifrar", pero tiene el efecto de trasladar la necesidad de actuar al aquí y ahora, en lugar de ser algo que pueda posponerse mientras se supervisa el progreso de la tecnología.

Además de identificar los datos más expuestos al riesgo de "capturar y luego descifrar", una tarea crítica y difícil de la transición es obtener un inventario completo de todos los certificados digitales de la red de un organismo para tener una idea clara de cómo se están haciendo las cosas y poder supervisar los progresos. Cada uno de estos certificados, utilizados para cifrar y autenticar las comunicaciones, debe supervisarse para detectar cambios, vulnerabilidades y fechas de caducidad. 

Sin visibilidad, los organismos corren el riesgo de exponerse a graves lagunas de seguridad al cambiar las normas criptográficas. Hemos aprendido la lección de la dolorosa transición de SHA-1 a SHA-2-aunque manejable, el cambio fue laborioso y lento. Pero la velocidad será esencial ante la amenaza de la computación cuántica, que exigirá respuestas más rápidas.

Conocer y controlar plenamente la gestión de certificados es esencial para proteger los datos confidenciales a medida que los organismos se preparan para el futuro cuántico. A plataforma PKI que pueda gestionar este complejo proceso en todas las autoridades de certificación hará que el cambio a PQC sea lo menos traumático posible, protegiendo a los organismos de los retos criptográficos que promete la computación cuántica.

Principales conclusiones:

  • La transición a PQC requiere un inventario y una gestión exhaustivos de los certificados digitales.
  • Una plataforma PKI que permita este proceso facilitará el cambio a PQC, garantizando la protección frente a las amenazas de la computación cuántica.

Mirando al futuro: Involucrar a Keyfactor para asegurar el futuro

Las agencias federales se juegan mucho, y cada vez más. Su ciberseguridad debe evolucionar para hacer frente a todas estas amenazas que se avecinan. '

La colaboración eficaz entre los sectores público y privado es esencial, y la aplicación temprana de las herramientas adecuadas determinará la capacidad de adaptación de la Administración a estos retos. 

Con soluciones líderes del sector para la gestión centralizada de PKI, la automatización del ciclo de vida de los certificados y la supervisión de la conformidad, Keyfactor permite a las entidades gubernamentales simplificar las operaciones de seguridad, mejorar las capacidades del personal y prepararse para el futuro cuántico. Nuestras plataformas seguras y conformes ofrecen visibilidad, control y automatización para gestionar el cifrado y la identidad, hoy y en la era post-cuántica. 

¿Quiere mejorar su ciberdefensa? Participe en nuestro seminario web el 9 de octubre de 2024. Descubra cómo proteger su entorno y cumplir las últimas normas federales, incluidas las nuevas directrices de ciberseguridad de la Casa Blanca. Reserve su plaza ahora: estará mejor equipado para afrontar los retos actuales de ciberseguridad y prepararse para las amenazas del mañana.