Para combatir los ataques externos y las amenazas internas y garantizar la seguridad de toda la información confidencial, hay una serie de normativas y procesos de seguridad de la información que deben seguir las agencias gubernamentales.
Entre ellos se incluyen FISMA, FedRAMP y FICAM.
Los HSM de Utimaco como raíz de confianza para el cumplimiento de la normativa gubernamental
Nuestras comunidades, economía y seguridad nacional dependen de la capacidad de nuestro gobierno para mantener la información confidencial fuera del alcance de personas malintencionadas. A medida que las agencias gubernamentales siguen trasladando datos confidenciales al almacenamiento digital y la computación en nube, el panorama normativo se amplía y se abre a más vulnerabilidades. FISMA, FedRAMP, y FICAM son algunos de los mandatos de cumplimiento y marcos que las agencias gubernamentales deben seguir para garantizar la seguridad de su información sensible y para defenderse eficazmente contra los ataques cibernéticos y amenazas internas.
Los módulos de seguridad de hardware (HSM) de propósito general de Utimaco proporcionan almacenamiento y procesamiento seguros de datos criptográficos sensibles, creando una raíz de confianza segura para los sistemas de Public Key Infrastructure (PKI) de una agencia. Estos dispositivos sirven a una multitud de agencias reguladoras y proveedores afiliados y están acreditados en FIPS 140-2 Level 3 o Level 4 (físico) y certificados según Common Criteria.
Enterprise Secure Key Manager (ESKM) de Utimaco proporciona una solución de Key management certificada FIPS 140-2 Nivel 2. El EKSM crea, protege, sirve y audita el acceso a las claves de cifrado en hardware a prueba de manipulaciones. Tanto los HSM como los ESKM de Utimaco soportan algoritmos criptográficos clásicos y post-cuánticos y cumplen totalmente con FISMA, FedRAMP y FICAM.
Requisitos de cumplimiento para agencias gubernamentales
Federal Information System Management Act (FISMA)
FISMA fue aprobada por el Congreso en 2002 y modificada en 2014 como parte de un esfuerzo para garantizar la protección de la información sensible por parte del gobierno de los EE.UU.. El cumplimiento de la FISMA se aplica a todas las agencias gubernamentales de EE.UU., así como a las organizaciones del sector privado que hacen negocios con el gobierno de EE.UU..
Los controles de seguridad que las agencias gubernamentales y los contratistas deben aplicar para el cumplimiento de FISMA se describen en un conjunto de publicaciones del NIST, que incluyen:
- NIST SP 800-53
- NIST SP 800-171
- FIPS 199
- FIPS 200.
Federal Risk and Authorization Management Program (FedRAMP)
FedRAMP está diseñado para garantizar que los datos y las aplicaciones gubernamentales colocados en la nube estén debidamente protegidos. Los requisitos de FedRAMP se basan en los controles de seguridad NIST 800-53, que incluyen familias como:
- Control de acceso
- Auditoría y rendición de cuentas
- Planificación de contingencias
- Identificación y autenticación
- Protección de sistemas y comunicaciones.
Federal Identity, Credential, and Access Management (FICAM)
FICAM es un esfuerzo del gobierno de EE.UU. para estandarizar el uso de soluciones de gestión de identidad, credenciales y acceso en todas las agencias gubernamentales. El primer objetivo de FICAM es reforzar la seguridad física y de la información del gobierno federal, lo que incluye objetivos centrados en la creación de un sistema seguro y utilizable para autenticar a los usuarios en los sistemas y recursos gubernamentales.
Lograr la conformidad con las soluciones de Utimaco
Proteger el acceso a los datos confidenciales del gobierno requiere la capacidad de identificar y autenticar de forma segura y precisa a los usuarios antes de concederles acceso a los sistemas o recursos. Los CryptoServer HSM y ESKM de Utimaco cumplen los siguientes requisitos para que las agencias sean conformes.
- Crear tokens de autenticación de usuario: Los tokens de autenticación de usuario se crean en torno a un valor secreto que debe estar protegido para ser eficaz. Para garantizar que un usuario malintencionado no pueda crear tokens de autenticación falsos pero válidos, es necesario proteger el secreto subyacente. CryptoServer permite el almacenamiento seguro de secretos criptográficos e incluye una serie de algoritmos criptográficos incorporados, lo que permite la generación segura de tokens de autenticación dentro de un hardware a prueba de manipulaciones.
- Gestión de certificados de usuario: La Public Key Infrastructure (PKI) se basa en una jerarquía de claves de usuario y certificados, en la que las autoridades de certificación (CA) situadas más arriba en la jerarquía pueden crear certificados válidos para las situadas por debajo. Dado que estos certificados pueden utilizarse para autenticar a los usuarios, es esencial proteger las claves privadas utilizadas para crearlos. CryptoServer puede almacenar las claves privadas de las CAs y realizar la creación y firma de certificados en un entorno seguro, protegiendo estas claves de ser comprometidas.
- Implantar controles de acceso: La protección del acceso a datos y funcionalidades sensibles requiere la capacidad de autenticar de forma segura a los usuarios y validar su autorización para acceder a los recursos protegidos. CryptoServer permite la autenticación de usuarios mediante sistemas basados en contraseñas, autenticación multifactor (MFA) integrada e integraciones con numerosos sistemas de gestión PKI.
- Almacenar claves de cifrado de bases de datos: El cifrado de bases de datos ayuda a garantizar que un atacante con acceso a los sistemas de una organización no pueda acceder a los datos sensibles almacenados en dichos sistemas. Sin embargo, estos datos cifrados sólo son tan seguros como las claves de cifrado utilizadas para protegerlos. Utimaco Enterprise Secure Key Manager (ESKM) puede almacenar de forma segura las claves de cifrado de bases de datos y realizar el descifrado de datos dentro de un entorno protegido, asegurando que las claves secretas nunca abandonan el control de una organización.
Los Cryptoserver HSMs y ESKMs de Utimaco proporcionan un almacenamiento y procesamiento seguro de datos criptográficos sensibles, creando una raíz de confianza segura para los sistemas Public Key Infrastructure (PKI) de una agencia. Esto proporciona una base sólida para que las agencias gubernamentales y los contratistas construyan soluciones para el cumplimiento de FISMA, FedRAMP y FICAM.