El nuevo plan impulsa la autenticación multifactor

La Administración Obama ha tratado de lograr avances en lo concerniente a la ciberseguridad y la identidad digital. Lo más reciente es el Plan Nacional de Acción de Ciberseguridad que insta a tomar acciones a corto plazo para mejorar la ciberseguridad, proteger la privacidad, mantener la protección pública y empoderar a los estadounidenses para que ejerzan mayor control sobre su seguridad digital.

Los esfuerzos de Obama por la ciberseguridad y la identidad digital son numerosos. Se iniciaron en 2010 con la Estrategia Nacional para Identidades Confiables en el Ciberespacio y sus muchos programas piloto que continúan hoy en día. A esto siguió una orden ejecutiva en 2014 convocando a las agencias a proteger los sitios web con autenticación multifactor, y por último un proyecto de ley presupuestal firmado en diciembre ordenando a las agencias federales la implementación de una plataforma de identidad de confianza para el acceso de los ciudadanos a la información.

El Plan Nacional de Acción de Ciberseguridad es multifacético. Ordena la creación de una nueva posición, la de director federal de seguridad informática, para dirigir esos cambios en todo el gobierno. El presupuesto federal de 2017 asigna más de $19,000 millones a ciberseguridad, un incremento de más del 35% del nivel establecido para 2016. Un esfuerzo separado está dirigido a actualizar los sistemas heredados que son difíciles de asegurar con tecnologías modernas.

“Me siento estimulado de que la administración dirija el grueso de las nuevas asignaciones monetarias no a nuevos programas cibernéticos, sino a reemplazar sistemas informáticos heredados en el gobierno, que son ya tan obsoletos que no pueden protegerse”, expresa Jeremy Grant, director general del Grupo Chertoff. “Tiene más sentido que los recursos dedicados a tratar de proteger sistemas que comenzaron a crearse en 1978, se desplacen hacia el reemplazo por sistemas modernos que sí pueden ser protegidos”.

Ya era más que tiempo de que este asunto recibiera alguna atención. “Se puede instalar un airbag en un Corvette del 78, pero ni lucirá bien ni será efectivo, y lo mismo se aplica a tratar de situar protecciones modernas a sistemas obsoletos”, explica Grant. “Este presupuesto comienza a desplazar el debate de determinados programas cibernéticos que están montados sobre bases informáticas antiguas, hacia la adquisición de sistemas informáticos que incluyan la seguridad desde el inicio”.

En el plan se enuncia específicamente la posibilidad de permitir que los consumidores pasen a la autenticación multifactor:

“Empoderar a los americanos para asegurar sus cuentas en línea, yendo más allá de solo las contraseñas y añadiendo una capa extra de seguridad. Al combinar acertadamente una contraseña fuerte con factores adicionales, tales como una huella digital o un código de un solo uso entregado en un mensaje de texto, los americanos pueden hacer que sus cuentas sean aún más seguras. Este enfoque en la autenticación multifactor será central para una nueva Campaña Nacional de Concientización sobre la Ciberseguridad, lanzada por la Alianza Nacional de Ciberseguridad y destinada a armar a los consumidores con información sencilla y accionable para autoprotegerse en un mundo cada vez más digital. La Alianza Nacional de Ciberseguridad se asociará con firmas líderes de la tecnología, como Google, Facebook, DropBox y Microsoft para facilitarle a millones de usuarios proteger sus cuentas en línea, y a las compañías financieras como MasterCard, Visa, PayPal y Venmo, que están haciendo más seguras las transacciones. Adicionalmente, el Gobierno Federal dará pasos para salvaguardar los datos personales en las transacciones en línea entre los ciudadanos y el gobierno, incluyendo un nuevo plan de acción para promover la adopción del Gobierno Federal y el uso de una efectiva demostración de la identidad y sólidos métodos de autenticación multifactor, y una revisión sistemática sobre dónde el Gobierno Federal puede reducir el uso de los números de seguridad social como identificadores de los ciudadanos”.

En conjunto con las noticias de la Casa Blanca, la Alianza Nacional de Ciberseguridad (NCSA) anunció la expansión de sus esfuerzos educacionales en el marco de STOP. THINK. CONNECT (DETENTE. PIENSA.CONÉCTATE). Esto respaldará un esfuerzo más amplio por incrementar la conciencia pública sobre el rol del individuo en la ciberseguridad.

La Alianza Nacional de Ciberseguridad anunció un nuevo proyecto educativo sobre autenticación multifactor con Logical Operations, New Horizons y CompTIA. Esas instituciones se asocian para extender este año el itinerario de STOP. THINK. CONNECT, que se realiza bajo el nombre “Colócate dos pasos adelante: protege tu vida digital”, a 15 o más ciudades del país. Estas sesiones en persona dan información de ciberseguridad directamente a las comunidades locales donde los asistentes aprenden cómo realizar la autenticación multifactor y por qué es una herramienta esencial en línea para cada estadounidense.

Aún hay algunas interrogantes respecto a cómo esto va a producirse. “Es bueno en el aspecto de la identidad el ver cómo la Casa Blanca reitera la necesidad de acelerar la adopción de la autenticación multifactor y la validación de la identidad para los servicios digitales del gobierno federal que tienen que ver con los ciudadanos, como se demanda en la Orden Ejecutiva de octubre de 2014 del Presidente”, explica Grant.

La GSA es la designada para dirigir este esfuerzo, pero lo que es notable es que la Casa Blanca anuncia que la agencia establecerá un nuevo programa de ciberseguridad pese al hecho de que ellos ya han estado administrando Connect.Gov, apunta Grant. Connect.Gov es un programa existente que permite que los ciudadanos empleen credenciales que ya poseen, para acceder a los sitios web federales. El sistema también posibilitará que los ciudadanos eleven su identidad si se requiere un mayor nivel de seguridad.

¿Esto va a ser un nuevo programa o se va a edificar sobre la base de las inversiones que ya se han realizado en Connect.Gov? “Si es un nuevo proyecto ¿se orientará a la GSA que siga el Marco de Ecosistema de Identidad creado por el Grupo de Dirección del Ecosistema de Identidad? Connect.gov fue creado específicamente para alinearse con el marco, asegurando que los servicios digitales para los ciudadanos logren mayor privacidad, seguridad y usabilidad con una solución que es interoperable a través de todas las agencias”, señala Grant. “Ahora que esa versión uno del marco está fuera – diseñada a través de una colaboración entre el sector privado y el gobierno – será importante que el gobierno dirija con su ejemplo y la adopte”.