Crédito: NIST Octubre siempre es un momento emocionante para nosotros, ya que celebramos el Mes de la Concientización sobre la Ciberseguridad y algunos de los mayores logros, recursos, orientación y últimas noticias del NIST en el espacio de la ciberseguridad. Este año es importante porque 2023 marca el vigésimo aniversario de esta importante iniciativa y lo celebraremos de diversas maneras todos los días durante todo el mes. ¿Qué está haciendo el NIST en octubre? Usaremos nuestro sitio web del Mes de Concientización sobre la Ciberseguridad del NIST para compartir información sobre nuestros eventos, recursos, blogs y cómo mantenerse involucrado. Utilizaremos nuestra cuenta NISTcyber X como vehículo para difundir información sobre nuestros diversos recursos de ciberseguridad y privacidad, como la cronología del 50.º aniversario de la historia de la ciberseguridad del NIST, que destaca nuestros diferentes hitos y logros durante las últimas cinco décadas. También organizaremos un chat X y participaremos en chats X durante todo el mes (síguenos en X y usa el hashtag #CybersecurityAwarenessMonth). Organizaremos varios eventos a lo largo del mes. Consulte nuestra página de eventos del Mes de concientización sobre la ciberseguridad para obtener más detalles. Organizaremos la Semana de las carreras en ciberseguridad durante la semana del 16 al 21 de octubre de 2023, para inspirar y promover la conciencia y la exploración de las carreras en ciberseguridad. También publicaremos cuatro blogs que coincidirán con los mensajes principales identificados por la Alianza Nacional de Ciberseguridad (NCA): Habilitar la autenticación multifactor (¡esta semana!) Usar contraseñas seguras y un administrador de contraseñas Actualizar el software Reconocer y denunciar el phishing Concientización sobre la ciberseguridad Serie de blogs del mes 2023 | Habilitación de la autenticación multifactor Para iniciar nuestra serie de blogs de 2023, nos sentamos a entrevistar a David Temoshok del NIST, quien nos explicó sus conocimientos e ideas relacionados con la habilitación de la autenticación multifactor, además de compartir un poco sobre lo que está haciendo. estos días en el NIST. La autenticación multifactor utiliza una combinación de algo que usted sabe, como una contraseña, en combinación con algo que tiene, como una aplicación de autenticación en su teléfono, o algo que usted es, como una huella digital o un reconocimiento facial, para demostrar que es quién. dices que estás en línea. Entonces, incluso si su contraseña es robada y comprometida, los atacantes no podrán obtener acceso a sus cuentas porque no pueden proporcionar el segundo factor de autenticación para iniciar sesión. El tema del Mes de la Concientización sobre la Ciberseguridad de esta semana es «habilitar la autenticación multifactor». ¿Cómo se relaciona su área de trabajo/especialidad en el NIST con este comportamiento? Dirijo el trabajo sobre la publicación especial del NIST 800-63-3 Pautas de identidad digital. Las directrices proporcionan procesos fundamentales y orientación técnica para la gestión de identidades digitales por parte de agencias federales. Las Directrices también explican cómo las agencias federales deben gestionar el acceso público a los servicios, sistemas y transacciones federales en línea de manera segura, utilizable y que proteja la privacidad. En realidad, las Directrices se publican en cuatro volúmenes: el primero presenta los procesos y términos que se utilizan en los siguientes volúmenes y aplica principios de gestión de riesgos a la gestión de identidad digital; el segundo, el Volumen A, aborda la prueba de identidad y la inscripción del público como identidades digitales en los servicios federales en línea; el tercero, Volumen B, aborda la autenticación de la identidad digital de las personas que han sido inscritas y regresan a los servicios en línea; y el cuarto, Volumen C, aborda cómo compartir información de identidad digital de inscripción entre agencias federales para facilitar y simplificar el acceso a los servicios federales en línea. El Volumen B, Autenticador y Gestión del ciclo de vida, explica los procesos de autenticación y autenticación multifactor (y cómo se utilizan esos procesos para acceder a todos los servicios en línea del gobierno federal). Todas las cuentas que se establecen para acceder a los servicios gubernamentales en línea requieren autenticación multifactor como control de seguridad crítico y protección de la privacidad. Trabajamos estrechamente con agencias federales y la industria para explicar por qué la autenticación multifactor es fundamental para la protección contra ataques cibernéticos y la apropiación de cuentas (y cómo se puede utilizar de manera más efectiva para satisfacer las necesidades muy amplias y diversas del gobierno y el público que servimos). ¿Cómo ayuda la autenticación multifactor a las personas y/o empresas en lo que respecta a la ciberseguridad? por que es tan importante? Las Pautas de identidad digital del NIST presentan tres niveles de garantía de autenticación para el acceso a los servicios en línea del gobierno: bajo, moderado y alto. La seguridad baja se define como autenticación de un solo factor, que utiliza un único factor de autenticación, normalmente un ID de usuario y una contraseña, para iniciar sesión en la cuenta en línea del usuario. Sin embargo, esto es extremadamente vulnerable a los ataques, ya que los ciberdelincuentes pueden utilizar varios métodos para adivinar, robar y comprometer contraseñas y apoderarse de cuentas personales. La autenticación multifactor es necesaria para una protección de seguridad moderada y alta contra ataques de inicio de sesión de cuentas. La autenticación multifactor ha demostrado ser extremadamente eficaz para proteger contra los ciberataques automatizados modernos. Se necesita más que una contraseña para proteger sus cuentas en línea. La clave que debe hacer hoy para mejorar su seguridad en línea es habilitar la autenticación multifactor. ¿Qué está haciendo actualmente el NIST en esta área (o planificando para el futuro)? La versión actual de las Pautas de Identidad Digital, que es la versión 3, se publicó en junio de 2017. Mucho ha cambiado desde entonces y estamos en el proceso de actualizar las Pautas de Identidad Digital para abordar los cambios tecnológicos, las protecciones para nuevos tipos de ciberseguridad. ataques y nuevas formas de autenticación. Publicamos un Borrador de Revisión 4 para las Pautas de Identidad Digital en diciembre pasado y celebramos un período de comentarios públicos de cuatro meses… y hemos estado realizando talleres públicos para discutir los comentarios y actualizaciones que planeamos hacer para el publicación final de la Revisión 4. Uno de los cambios en el Volumen B fue agregar una nueva sección sobre autenticación multifactor resistente al phishing. Si bien toda autenticación multifactor es mucho más segura que la identificación de usuario y la contraseña por sí solas, algunas formas de autenticación multifactor siguen siendo vulnerables a ataques de phishing (los ataques de phishing son una forma de ingeniería social, en la que los ciberdelincuentes utilizan el correo electrónico o sitios web maliciosos que imitan una portal de inicio de sesión confiable para atraer a los usuarios a ingresar sus credenciales de inicio de sesión, lo que permite a los atacantes hacerse cargo de la cuenta del usuario). El nuevo volumen proporciona orientación técnica para la autenticación multifactor resistente al phishing mediante procesos de autenticación criptográfica, como Fast Identity Online (FIDO), disponible comercialmente. autenticadores y los procesos de autenticación criptográfica de Verificación de Identidad Personal (PIV) del gobierno. ¿Qué es lo que más te gusta (o tu mejor recuerdo) de trabajar en el NIST? Siempre me ha impresionado el sentido de colegialidad y profesionalismo del NIST. Si bien el análisis individual siempre es necesario, las discusiones colegiadas y la toma de decisiones en equipo representan la base del trabajo en el NIST. Esto siempre se maneja de manera cortés y profesional para que todos los puestos y aportes del equipo del NIST sean considerados y valorados.