Para celebrar el Mes de la Concientización sobre la Ciberseguridad, el NIST publicará una serie de blogs dedicados a lo largo de octubre; Compartiremos blogs cada semana que relacionarán hasta cuatro comportamientos clave identificados por la Alianza Nacional de Ciberseguridad (NCA). El blog estilo entrevista de hoy presenta a dos expertos del NIST, Bill Newhouse y Ryan Galluzzo, discutiendo diferentes razones para habilitar la autenticación multifactor (un mecanismo para verificar la identidad de un individuo exigiéndole que proporcione más información que solo un nombre de usuario y contraseña). Estas son las preguntas que les hicieron a ambos, junto con sus respuestas: El tema del Mes de Concientización sobre la Ciberseguridad de esta semana es permitir la autenticación multifactor. ¿Cómo se relaciona su área de trabajo/especialidad en el NIST con este comportamiento? Bill: Desde 2015, soy ingeniero de ciberseguridad en el Centro Nacional de Excelencia en Ciberseguridad (NCCoE) del NIST, donde he reunido a expertos de la industria, el gobierno y el mundo académico para abordar las necesidades del mundo real de asegurar sistemas de TI complejos y proteger el infraestructura crítica de la nación. Los proyectos en los que he trabajado incluyen un enfoque en autenticación digital como parte del diseño de referencia de ciberseguridad creado. Dos de mis proyectos, Credenciales de identificación personal derivadas (PIV) y Autenticación multifactor para comercio electrónico, demuestran usos de la autenticación multifactor (MFA). Ryan: El programa de identidad del NIST se centra en la investigación fundamental y aplicada, el desarrollo de estándares, la medición y la orientación de implementación para respaldar la innovación responsable en la tecnología de la identidad. Esto incluye explorar formas nuevas, más efectivas y más accesibles de brindar MFA a las personas. Logramos esto mediante el desarrollo de guías como nuestras Pautas de identidad digital (Publicación especial NIST 800-63) y la investigación de tecnologías emergentes como las licencias de conducir móviles y la identidad descentralizada. También llevamos a cabo proyectos de integración de tecnología con socios del NCCoE, como el proyecto de autenticación multifactor para comercio electrónico. ¿Cuál es la forma más fácil de mantenerse seguro en línea? Bill: Sea intencional: a menos que apague sus computadoras, tabletas, rastreadores de actividad física y teléfonos móviles, estará en línea. Por lo tanto, si siempre está en línea, aumente su seguridad en línea utilizando dispositivos y aplicaciones compatibles con actualizaciones de seguridad automáticas. Partiendo de esta base, mantenerse seguro en línea también significa ser lo más intencional posible. Una forma en la que soy intencional es que habilito la autenticación multifactor (a veces llamada verificación en dos pasos) para todas las cuentas en línea que contienen datos confidenciales o valiosos para mí. Si no quiero perder el control de mi cuenta, visito la sección de seguridad de mi perfil de cliente y activo MFA, que me permite aprovechar las «aplicaciones de autenticación» que proporcionan códigos únicos generados aleatoriamente o notificaciones automáticas, una autenticación de hardware. dispositivo que admita criptografía de clave pública, o uso los datos biométricos integrados en mi dispositivo móvil. Si busco permitir que MFA admita el acceso en línea y el proveedor no lo ofrece, no seguiré siendo cliente. Ser intencional también significa que trato de controlar los sitios que visito. Probablemente paso más tiempo que la mayoría mirando las direcciones web cuando estoy en mi navegador mientras navego por la web. Si recibo un correo electrónico que indica algo sobre una cuenta en línea que me ofrece un enlace para realizar una acción en esa cuenta, no hago clic en el enlace inmediatamente. No quiero ser víctima de un ataque de phishing, por eso tiendo a acceder al portal de clientes de mi cuenta en línea sin haber hecho clic en un enlace. Me gusta tener el control dando ese paso adicional para abrir una nueva pestaña del navegador y escribir la URL para que mi cliente o usuario acceda a ese servicio en línea. Ryan: Agregar autenticación multifactor a todas sus cuentas confidenciales. Muchos proveedores de servicios han hecho que esto sea más fácil de lo que los consumidores creen. La proliferación de dispositivos móviles inteligentes ha brindado a las personas muchas más opciones de las que estaban disponibles anteriormente. Desde las “aplicaciones de autenticación” que proporcionan códigos únicos generados aleatoriamente o notificaciones automáticas, hasta la biometría nativa en nuestros dispositivos, hay más opciones que nunca para proteger nuestro yo digital. La creciente ubicuidad de la federación también ha ayudado, ya que permite a los usuarios iniciar sesión con proveedores comunes, donde a veces se incorpora MFA de forma predeterminada. Probablemente muchos de nosotros usamos MFA todos los días, particularmente con nuestros dispositivos móviles, y simplemente ni siquiera nos damos cuenta. Es posible que no necesite MFA para todo, pero si su información personal, financiera o de atención médica está involucrada, debe asegurarse de verificar la configuración de la cuenta de su proveedor para ver si puede activarla. También consideraría dejar de usar MFA basado en texto para estos servicios en favor de una aplicación de autenticación. Por lo general, ofrecen varios métodos diferentes para autenticarse en diferentes sitios web y, por lo general, se pueden configurar rápida y fácilmente escaneando un código QR. Si se siente particularmente paranoico (o nerd), los tokens de hardware y los autenticadores que utilizan autenticación criptográfica (como los tokens FIDO) pueden aumentar aún más su seguridad digital al mejorar la resistencia a los intentos de phishing. ¿Cuáles son las tres cosas que puede hacer para minimizar los riesgos de ciberseguridad para una persona o una empresa? Bill: active MFA para todas las cuentas de usuario. Haga obligatorio el uso de MFA para el acceso de los empleados a los dispositivos, redes y servicios de la empresa en los que sus empleados realizan su trabajo. Los empleados que necesiten acceso remoto a la red y a los recursos de seguridad de su empresa deben utilizar una conexión de red privada virtual (VPN). Si un empleado no está conectado directamente a su red, depende de redes que su empresa no controla. El uso de la tecnología VPN para el acceso remoto protege los datos y procesos de su empresa de miradas indiscretas. Capacite a sus empleados para que utilicen MFA. Cuanto más aprenda sobre los riesgos que enfrenta cuando no habilita MFA para ningún acceso a un sistema o servicio en línea, más probabilidades habrá de que sus empleados adopten el uso de MFA. Ryan: active MFA para todas sus cuentas confidenciales. Verifique la configuración de su cuenta o la configuración de seguridad para ver si es una opción. Probablemente esté más disponible y sea más fácil de usar de lo que cree. Si es una empresa, considere la MFA predeterminada para todos sus usuarios empresariales. Evite las formas más débiles de MFA que se ven comprometidas o suplantadas más fácilmente, como la OTP basada en texto. Para usuarios con privilegios elevados, considere autenticadores criptográficos como tokens de hardware o autenticadores FIDO. Utilice una VPN cuando se conecte a redes públicas o no seguras. Esto es particularmente cierto cuando se realizan transacciones confidenciales, como las bancarias, pero de todos modos es una buena configuración de seguridad predeterminada. Las empresas deben exigir el uso de acceso VPN para todos los activos de la empresa y considerar soluciones de administración de dispositivos móviles para hacer cumplir las bases de seguridad para los teléfonos personales o de la empresa utilizados para realizar negocios. Edúquese… y si es una empresa, eduque a sus empleados. Los humanos son siempre el eslabón más débil de la cadena de seguridad. Cuanto más aprenda sobre los riesgos que enfrenta, más probabilidades tendrá de identificar cuándo está siendo engañado o atacado. Para las organizaciones: tenga un programa educativo de seguridad interactivo y establecido que enseñe a sus empleados qué buscar en ataques comunes, como phishing, ingeniería social y compromiso del correo electrónico empresarial. ¿Qué significa para ti #BeCyberSmart? Bill: Desde un punto de vista muy práctico, #BeCyberSmart significa que puedo buscar en Twitter publicaciones que aborden diferentes aspectos de la seguridad en línea usando el hashtag #BeCyberSmart. No debería ser difícil encontrar buenos consejos. El DHS creó la campaña #BeCyberSmart para ayudarle a encontrar buenos consejos para mantenerse seguro en línea. Ryan: Vigilancia. Al igual que la seguridad en el mundo real, la seguridad en el mundo digital gira en torno a ser consciente de las amenazas a las que nos enfrentamos y estar atento a aquellas cosas que “simplemente no se ven bien”. Incluso si utiliza MFA, todavía existen riesgos, especialmente cuando se utiliza texto y códigos de un solo uso. Así como nunca ingresarías tu contraseña en un sitio web que pareciera incompleto, no proporciones códigos MFA a sitios en los que no confías o que no parezcan legítimos. ¿Qué es lo que más te gusta de trabajar en NIST? Bill: Mi trabajo en nuestro centro de ciberseguridad aplicada, el NCCoE, implica interactuar con muchos colaboradores de otras agencias gubernamentales, en los sectores privado y académico, así como con otras naciones mientras trabajamos para identificar los desafíos de ciberseguridad que se convierten en nuestros proyectos (para construir nuestros diseños de referencia y comunicar lo que hemos hecho juntos). Este trabajo se centra en ayudar a las organizaciones a mitigar el riesgo de ciberseguridad. Es un privilegio trabajar en el NIST durante el 25 de junio del aniversario #NISTCyber50th y saber que el NIST y sus procesos abiertos, transparentes y basados ​​en el consenso han respaldado toda mi carrera federal que se ha desarrollado en más del 74% de #NISTCyber50th. Ryan: Soy relativamente nuevo en el NIST, pero lo que puedo decir es que la misión de mejorar nuestra ciberseguridad nacional y la atmósfera de colaboración fueron los dos factores impulsores para unirme a la organización. La misión del NIST depende del compromiso, la colaboración y la transparencia con una amplia gama de partes interesadas, desde el miembro individual del público hasta los directores de seguridad de la información de las principales agencias; podemos relacionarnos con todos ellos y aprender lo que les importa a cada uno de ellos. Es una atmósfera fascinante y agradable para trabajar. Además, la vida silvestre en el campus de Gaithersburg. ¡Hay ciervos por todas partes!

Source link