Los ciberataques contra agencias federales son una amenaza persistente y en constante evolución que requiere una respuesta cada vez más sofisticada. El uso creciente de la nube y de entornos móviles, junto con un aumento sin precedentes en el número de trabajadores remotos, ha hecho que las agencias sean más vulnerables a la amenaza de piratas informáticos, estafadores y actores estatales maliciosos que han atacado la amplia presencia en línea del gobierno federal. La publicación de una versión actualizada de la política de Conexiones Confiables a Internet (TIC 3.0) coloca a las agencias en una mejor posición para enfrentar estos nuevos desafíos de riesgo.
Uno de los objetivos principales de TIC 3.0 es facilitar el avance de las agencias hacia la modernización, incluida una adopción más amplia de la nube y la adaptación de trabajadores remotos que utilizan múltiples dispositivos. Si su agencia está avanzando con fuerza en estas áreas, este sería un excelente momento para considerar actualizar su enfoque de seguridad utilizando la guía TIC 3.0.
La iniciativa TIC, introducida en 2007, fue un paso importante en la ciberseguridad federal y estableció un marco de controles de seguridad, análisis, gobernanza y prácticas SDLC de aplicação . TIC 3.0 representa las últimas pautas para implementar arquitecturas seguras, flexibles y escalables, teniendo en cuenta facetas más allá de la tecnología de infraestructura.
Las tres agencias que supervisan la iniciativa (la Oficina de Administración y Presupuesto (OMB), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional (DHS) y la Administración de Servicios Generales (GSA)) citaron como objetivo para la TIC 3.0 proteger los datos, las redes y los límites federales y, al mismo tiempo, brindar visibilidad del tráfico de la agencia, incluidas las comunicaciones en la nube. Las actualizaciones clave incluyen una guía más flexible y casos de uso reales para cubrir la necesidad de enfoques alternativos a la seguridad de la red tradicional.
Actualmente hay cuatro casos de uso (TIC tradicional, nube, sucursal y usuarios remotos) que ofrecen a las agencias la capacidad de facilitar nuevas soluciones de tecnología de la información adaptadas al cambiante entorno laboral actual. Las versiones anteriores de las TIC no abordaban eficazmente el trabajo remoto, aunque se ha convertido en una práctica cada vez más común en el lugar de trabajo. La pandemia de COVID-19 ha acelerado enormemente el ritmo del trabajo remoto, creando una necesidad aún más urgente de una estrategia que proporcione acceso seguro y confiable para entornos de trabajo no tradicionales. Con la implementación adecuada de las pautas TIC 3.0, las agencias podrán promover el tráfico seguro en la red y el perímetro dentro de las zonas de confianza empresarial federal, ampliándolo a todo el tráfico de la agencia.
El Manual de casos de uso de TIC 3.0 aconseja a las agencias evaluar su arquitectura para determinar qué casos de uso son aplicables y explica cómo pueden proteger sus arquitecturas y cumplir con los requisitos de TIC. Creo que esta es una gran herramienta para las agencias, especialmente para aquellas que carecen de los componentes arquitectónicos necesarios para casos de uso específicos.
Se espera que las agencias aseguren los límites de la red de acuerdo con el Memorando M-19-26 de la OMB . Sin embargo, cada agencia es diferente. Por eso es importante que tengas en mente tu misión al determinar tu enfoque de seguridad y también que equilibres las estrategias propuestas por TIC 3.0 con tus propios objetivos de misión.
El marco TIC 3.0 se basa principalmente en el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST), que consta de cinco funciones centrales de importancia crítica:
Identificar: Tenga un conocimiento completo de sus sistemas, personas, activos, datos y capacidades para poder evaluar y gestionar los riesgos.
Proteger: Desarrollar e implementar medidas de seguridad adecuadas para limitar o contener el impacto de un posible evento de ciberseguridad.
Detectar: Utilice soluciones de monitoreo continuo para que pueda detectar rápidamente la ocurrencia de un evento de ciberseguridad.
Responder: Desarrolle un plan de respuesta que le permita tomar medidas y contener el impacto de un evento de ciberseguridad detectado.
Recuperar: Desarrollar e implementar un plan efectivo para restaurar sistemas y/o activos que fueron afectados por el incidente de ciberseguridad. Incorporar las lecciones aprendidas en una estrategia revisada.
Quizás la parte más importante de este marco es que cada una de estas funciones está asignada a un Punto de Control de Seguridad Universal o de Aplicación de Políticas dentro del marco TIC 3.0. Si bien es fundamental usar la identidad para el acceso como un único punto de control, fue revelador descubrir (como lo hicimos a partir de un informe de F5 Labs) que el 33 % de las violaciones inicialmente tenían como objetivo las identidades. Por lo tanto, la necesidad de proteger el perímetro de identidad es crítica.
Los servidores proxy de acceso son una herramienta eficaz para imponer un único punto de control y proporcionar un método consistente para implementar los controles de acceso y los requisitos de autenticación necesarios frente a las aplicações. Esto elimina la necesidad de confiar en que cada desarrollador de aplicaciones es un experto en autenticación, lo cual es un escenario poco probable.
A medida que implemente sus estándares de seguridad actualizados, le recomiendo que tenga las soluciones de aplicación adaptativa adecuadas para cumplir con los aspectos apropiados de la guía TIC. Debe seguir un continuo desde el código hasta el cliente que aborde los siguientes seis elementos centrales que integran y satisfacen muchos de los principios rectores del marco TIC 3.0, particularmente en lo que se relaciona con los casos de uso relevantes para su agencia:
TIC 3.0 es una excelente oportunidad para revisar su enfoque de seguridad. Debido a la evolución de las amenazas, los expertos en seguridad de las agencias saben que es importante mantenerse alerta. Si bien la tecnología cambia, el objetivo final sigue siendo el mismo: proteger su agencia.
F5 puede ayudar : Prácticamente todos los productos y capacidades de F5 cumplen algún aspecto de la guía TIC, lo que nos coloca en una sólida posición para cumplir muchas de las recomendaciones y controles descritos en TIC 3.0. Todas las agencias y ramas del Departamento de Defensa a nivel de gabinete confían en F5 para ofrecer aplicaciones a las que los ciudadanos, empleados y soldados pueden acceder de forma segura en cualquier momento, en cualquier dispositivo, desde cualquier ubicación. En F5, brindamos a nuestros clientes la libertad de entregar de forma segura cada aplicación, en cualquier lugar y con confianza. Obtenga más información en nuestra página F5 para soluciones federales de EE. UU .
Bill Church
Director de Tecnología – F5 US Federal Solutions