La identidad digital para el control de acceso es una capacidad de ciberseguridad fundamental y crítica que garantiza que las personas y cosas adecuadas tengan el acceso correcto a los recursos adecuados en el momento adecuado. El NIST tiene una rica historia en la estandarización de la identidad digital que abarca más de 50 años. Hemos realizado investigaciones, desarrollado prototipos e implementaciones de referencia, y apoyado proyectos piloto para comprender mejor las tecnologías nuevas y emergentes que informan nuestros estándares, pautas y recursos de identidad digital. Además, el NIST participa y lidera el desarrollo de estándares, guías, mejores prácticas, perfiles y marcos nacionales e internacionales para crear un ecosistema de gestión de acceso e identidad digital mejorado e interoperable. Contraseñas como comienzo Antes de que la mayoría de la gente hubiera usado una computadora, la Oficina Nacional de Estándares estaba desarrollando pautas y estándares para usar la automatización para identificar a los usuarios de computadoras y limitar su acceso a la información; en otras palabras, la autenticación de usuarios. A mediados de la década de 1980, las contraseñas se utilizaban ampliamente y el NIST publicó un estándar integral sobre contraseñas, el Estándar Federal de Procesamiento de Información (FIPS) 112, Uso de Contraseñas. FIPS 112 cubría no sólo las características de las contraseñas (por ejemplo, composición, duración, duración y fuentes), sino también su gestión y uso (por ejemplo, almacenamiento seguro, distribución a los usuarios, comunicación y tiempo entre autenticaciones). Estos conceptos avanzados se encuentran en el año 1985. Los estándares todavía son familiares hoy en día, como la seguridad de la contraseña, las contraseñas de un solo uso y los límites de intentos de inicio de sesión. Tarjetas inteligentes/autenticación basada en tokens Reconociendo la necesidad de mecanismos de autenticación más sólidos como alternativas a las contraseñas, el NIST comenzó a trabajar en tarjetas inteligentes a fines de la década de 1980 y nuestro Estándar de cifrado de datos (DES) se utilizó en un token criptográfico para crear el acceso basado en tokens. Sistema de Control (TBACS). Para expandirse aún más, el NIST incorporó algoritmos criptográficos estándar para autenticación (DES y RSA) en tarjetas inteligentes. El desafío de administrar claves simétricas a gran escala llevó a un mayor enfoque en el uso de criptografía de clave pública luego de la estandarización del Estándar de Firma Digital (DSS) como FIPS 186 en 1994. El NIST jugó un papel decisivo en el desarrollo de estándares, arquitecturas y estándares fundamentales. especificaciones que impulsaron las primeras implementaciones de los componentes de infraestructura de clave pública que fueron críticos para la adopción y el uso de la criptografía de clave pública en el gobierno federal. A fines de la década de 1990, el NIST lideró el trabajo del gobierno para definir especificaciones y estándares técnicos de interoperabilidad de tarjetas inteligentes, lo que resultó en la Especificación de Interoperabilidad de Tarjetas Inteligentes del Gobierno (GSC-IS) y el establecimiento del marco para que las tarjetas inteligentes funcionen en un entorno abierto. Verificación de identidad personal (PIV) El año 2004 marcó el inicio de las credenciales de Verificación de identidad personal (PIV). Comenzó con la Directiva Presidencial de Seguridad Nacional 12 (HSPD-12) para establecer requisitos para un estándar común para identificar a los empleados y contratistas federales. NIST inmediatamente comenzó a desarrollar el estándar para la tarjeta PIV, los requisitos de seguridad y privacidad para las organizaciones emisoras, y especificaciones técnicas detalladas de componentes y procesos para el uso interoperable de tarjetas PIV en todo el gobierno en autenticación, control de acceso y gestión de tarjetas PIV. Las siguientes tareas fueron completar las publicaciones que respaldan el estándar, producir y emitir las primeras tarjetas PIV, establecer un programa para la validación de productos PIV y proporcionar implementaciones de referencia PIV. Hoy en día, el conjunto de credenciales PIV puede adaptarse a un conjunto diverso y creciente de plataformas de dispositivos de usuario, con interoperabilidad en todo el gobierno federal lograda a través de la Federación. Directrices de identidad digital A principios de la década de 2000, el NIST apoyó a la Oficina de Gestión y Presupuesto (OMB) en el desarrollo de una guía (OMB M-04-04) sobre autenticación electrónica («e-authentication») para ayudar a las agencias federales a seleccionar procesos de autenticación que proporcionen el nivel adecuado de garantía para casos de uso particulares. El personal del NIST y la OMB también estaban trabajando juntos en la Publicación Especial (SP) 800-63, Pautas de Identidad Digital, para complementar OMB-M-0404 y proporcionar pautas de autenticación electrónica con requisitos técnicos específicos para cada nivel de garantía. Estas pautas están dirigidas no solo a propósitos internos de agencias federales sino también a solicitudes de agencias federales de cara al público. A lo largo de los años, el NIST se basó en la base del programa de autenticación electrónica, incorporando las lecciones aprendidas de la adopción de nuevas tecnologías por parte de la industria. La última revisión, SP 800-63, ahora denominada ‘Pautas de identidad digital’, proporciona un marco de gestión de riesgos para identificar las necesidades de identidad digital y establece un conjunto gradual de controles para la prueba e inscripción de identidad, autenticación y federación de identidades digitales a través de identidades. dominios. Las pautas sirven como estándar para la gestión de identidad digital para que las agencias federales brinden servicios, transacciones y aplicaciones en línea al público. Las Directrices de Identidad Digital han sido ampliamente adoptadas por la industria y a nivel internacional. Estrategia Nacional para Identidades Confiables en el Ciberespacio (NSTIC) En abril de 2011, el presidente Obama firmó la Estrategia Nacional para Identidades Confiables en el Ciberespacio (NSTIC), que pedía a los sectores público y privado que colaboraran en la creación de un “Ecosistema de Identidad”. Este ecosistema permitiría a las personas elegir entre múltiples proveedores de identidad y credenciales digitales para realizar transacciones más convenientes, seguras y que mejoren la privacidad en cualquier lugar en línea. El objetivo de NSTIC era promover cuatro principios rectores para todas las soluciones de identidad: (1) voluntarias y que mejoran la privacidad, (2) seguras y resilientes, (3) interoperables y (4) rentables y fáciles de usar. El NIST estableció la Oficina del Programa NSTIC para administrar 15 programas piloto para promover los principios rectores y establecer y liderar el Grupo Directivo del Ecosistema de Identidad (IDESG) en el desarrollo e implementación del Marco del Ecosistema de Identidad. El programa NSTIC y los pilotos demostraron soluciones de identidad para promover los principios rectores e iniciativas clave avanzadas, incluida la adopción de autenticación multifactor, la implementación de licencias de conducir móviles y la base de la ingeniería de privacidad para soluciones de identidad. Las lecciones aprendidas impulsaron la adopción de nuevas tecnologías por parte de la industria y también informan los estándares y directrices del NIST sobre identidad digital. Centro Nacional de Excelencia en Ciberseguridad (NCCoE) El Centro Nacional de Excelencia en Ciberseguridad (NCCoE) se formó en 2012 para crear soluciones prácticas basadas en estándares que organizaciones de todos los tipos y tamaños puedan utilizar para proteger sus activos, personas y datos. Desde su creación, el NCCoE ha colaborado con varias comunidades para brindar orientación sobre la gestión de la identidad digital, incluido el sector financiero, el sector energético, las comunidades de seguridad pública y el comercio electrónico. Para cada proyecto, el NCCoE diseñó e implementó una arquitectura basada en estándares en el entorno del laboratorio del NCCoE utilizando estándares y tecnología disponibles comercialmente. Este trabajo aplicado alimenta directamente la guía que publica el NCCoE y actúa como un circuito de retroalimentación para los organismos de normalización y los proveedores de tecnología comercial. De esta manera, el NCCoE ha demostrado una gran variedad de conceptos de identidad basados ​​en estándares, incluida la autenticación multifactor mediante protocolos FIDO, el inicio de sesión único mediante OAuth 2.0 y la federación de identidades mediante OpenId Connect 1.0 y SAML 2.0. Actualmente, el NCCoE está trabajando con la industria para demostrar arquitecturas de confianza cero, que se basan en muchos de estos principios de identidad digital. Hacia dónde nos dirigimos Una parte cada vez mayor de nuestra vida personal y profesional depende de los servicios digitales, cuyo valor se ha enfatizado durante la pandemia. Las agencias estatales y federales recurrieron cada vez más a Internet para brindar servicios gubernamentales críticos, y el trabajo remoto y las herramientas de colaboración en línea se han convertido en parte de la vida cotidiana de muchos estadounidenses. La identidad digital es una tecnología fundamental para habilitar, prestar y respaldar estos servicios. Si bien los servicios y tecnologías de identidad digital han avanzado mucho desde los primeros trabajos del NIST sobre contraseñas en la década de 1980, la experiencia reciente durante la pandemia ha puesto de relieve algunos de los desafíos restantes para garantizar que estas tecnologías puedan satisfacer las necesidades de seguridad y privacidad y al mismo tiempo mantener un acceso equitativo a importantes servicios gubernamentales. Hoy, aprovechamos nuestra rica historia en gestión de identidades y acceso para identificar nuevas tecnologías, procesos y consideraciones para brindar servicios de identidad digital de manera privada y equitativa.

Source link