Sitio web del DOD entre los primeros en erradicar contraseñas
12 April, 2016
Sitio de investigación ordena certificados PKI para todos los usuarios externos
El uso por el gobierno federal de la identificación de usuario y contraseña para el acceso a sus aplicaciones pronto dará paso a credenciales más seguras basadas en PKI si más entidades gubernamentales siguen el ejemplo del Departamento de Defensa de los Estados Unidos.
El Departamento de Defensa está utilizando PKI para brindar una mejor protección a sus sistemas de información, con la intención de hacerlos más seguros que con el viejo sistema de login. El Centro de Información Técnica de Defensa (DTIC) del DOD – una entidad del DOD que sirve a las necesidades informativas de la comunidad de defensa y mantiene una gran base de datos de información de investigaciones – anunció que no continuaría permitiendo que los usuarios accedan a sus sitios web seguros mediante una identificación de usuario y contraseña.
En lugar de ello, DTIC se basará en el uso de una de tres credenciales digitales basadas en PKI: una tarjeta de acceso común Common Access del DOD, una credencial de Verificación Personal de Identidad (PIV) o un certificado de Autoridad de Certificación Externa (ECA).
El Departamento de Defensa estableció hace años el Programa de Autoridad Externa de Certificación como parte de un esfuerzo general para proporcionar una autenticación más fuerte y segura para acceder a los sistemas de información. La agencia lanzó el programa para habilitar la emisión de certificados aprobados por el DOD a contratistas y otras entidades externas que de otro modo no califican o necesitan una tarjeta Common Access del DOD. Los certificados ECA pueden estar basados en software, almacenados dentro del navegador de Internet del usuario, o basados en hardware y guardados en una tarjeta inteligente o un token USB.
El requerimiento del DTIC de credenciales basadas en PKI es uno de los primeros casos conocidos en que una entidad gubernamental demanda PKI en lugar de una identificación de usuario y contraseña para acceder a los sistemas. Los líderes de la industria dicen que este caso de uso pudiera ser el primero de muchos otros en el gobierno.
“Hay cientos, si no miles, de casos de uso de PKI que resolverían miles de problemas a través de todo el espacio gubernamental”, afirma Richard Jensen, director de ventas gubernamentales de IdenTrust, uno de los tres contratistas que proporcionan certificados ECA a DTIC. Jensen ejecuta el programa ECA de IdenTrust. Symantec y Operational Research Consultants también proveen los certificados.
DTIC utiliza varios contratistas externos para apoyar su labor de investigación y desarrollo en ciencia y tecnología. Los certificados ECA son de uso específico para gente que hace contratos con el DOD pero no reciben una tarjeta CAC porque no necesitan acceso físico a instalaciones del DOD.
“Nuestros socios de la industria son un componente crítico de cómo realizamos el trabajo en el departamento. De modo que es importante asegurarse que puedan acceder a información”, señala Christopher Thomas, administrador del Centro de Información Técnica de Defensa.
El DTIC configuró su capacidad de aceptar certificados ECA en octubre y está requiriendo de los usuarios que tengan las credenciales para login PKI a principios de 2016. “Esperamos ver una avalancha de gente solicitando los certificados”, comenta Jensen.
ECA como una opción para los contratistas
Hace cerca de año y medio IdenTrust recibió una llamada de uno de los administradores de programa de DTIC preguntando sobre el programa ECA. El DTIC tenía una base de datos de información de investigaciones que había tenido poca protección. “Como la investigación es extremadamente valiosa, uno de los objetivos de DTIC era protegerla de manera que se tuviera mejor control sobre quién accede a los datos, y lograr mayor visibilidad en ese sentido”, explica Jensen.
Thomas señala que el desplazamiento de DTIC hacia la credencial ECA para los integrantes de la industria que no pueden obtener la CAC es una natural progresión en el aseguramiento del acceso a la información, pero garantizando además que las personas accedan a la misma.
“Sabemos que tener un certificado nos brinda una mayor seguridad en cuanto a quién es la persona que se conecta con nosotros, y esto permitirá que tengamos más confianza en compartir la información”, expresa Thomas.
Las compañías que ya han emitido credenciales ECA a sus empleados para el uso interno son los usuarios iniciales más probables, explica. Las compañías que no están usando los certificados entenderán los beneficios con más lentitud.
“Realmente vamos a necesitar tener comunicación y llegar a más personas para ayudar en su comprensión. Pienso que va a tomar un tiempo para la total adopción”, dice Thomas.
DOD restringe las contraseñas como logins
Cuando surgió el programa ECA, el DOD no impuso el uso de certificados para el acceso a los sistemas de información. “De modo que tomó un largo tiempo para que realmente comenzara la adopción”, explica Jensen.
Cuando el DOD inició la introducción de su programa de certificado basado en PKI y comenzó a emitir credenciales PKI a su personal, lo hicieron mediante la tarjeta de acceso común, la Common Access Card. Esto creó un problema en los sistemas del DOD al que necesitaban acceder los contratistas de la defensa porque el DOD tenía que emitir tarjetas CAC para esos contratistas. “Esa era una tarea que representaba mucho consumo en tiempo y costosos recursos para entregar tarjetas CAC a personas fuera de su propio ámbito”, dice Jensen.
En respuesta a esa situación, el DOD introdujo el programa de Autoridad Externa de Certificado para emitir credenciales aprobadas por el DOD a la comunidad de contratistas de la defensa. Los certificados ECA cumplen tres funciones para los contratistas: 1) acceso lógico a sistemas de información del DOD, 2) firmas digitales y 3) encriptación.
Hace unos cinco años el DOD comenzó a imponer restricciones a las entidades que todavía empleaban identificación de usuario y contraseña, y las compulsaron a que habilitaran sus sistemas con PKI. “De manera lenta, pero segura, más y más sistemas están incorporándose en línea”, señala Jensen.
“Originalmente observamos una adopción de los certificados ECA para el acceso lógico a sistemas de información del DOD, y recientemente hemos visto mayor uso para sus firmas digitales y para encriptar los e-mails. Así resulta una forma fácil para que las entidades protejan lo que denominamos datos en tránsito”, explica Jensen.
Hay una serie de sistemas en el ámbito del DOD a los que necesitan acceder los contratistas de la defensa con el fin de hacer negocios con el departamento. Un ejemplo es el Sistema de Adjudicación Conjunta de Personal o JPAS.
Los contratistas de la defensa, para poder sostener encuentros y discutir los negocios con el DOD, tienen que cumplir con las normas de la defensa y asignar un funcionario de seguridad de instalaciones (FSI, por sus siglas en inglés FSO). Un FSI debe verificar que cada vez que se realice una reunión que contemple temas del DOD, cada persona que asiste cumpla las normas de seguridad que han sido validadas en el sistema JPAS. Para acceder al sistema el funcionario debe usar un certificado ECA.
DTIC sienta ejemplo con el uso de PKI
Jensen considera que el uso de credenciales PKI por parte de DTIC, incluyendo certificados ECA, puede servir como una mejor práctica para otras aplicaciones gubernamentales. “Cada agencia en el gobierno y cada agencia en el DOD tiene casos de uso para esto”, señala.
Por ejemplo, los pilotos tienen que enviar su información de salud a la FAA para obtener su licencia. Gran parte de esta información es personal, pero aún así los pilotos tienen que enviarla por fax. “Es una vía muy insegura para enviar esta información, y las personas deberían poder firmarla digitalmente, encriptarla y enviarla”, estima Jensen.
Una vez que la gente se dé cuenta de lo que puede ocurrir cuando los sistemas no están protegidos adecuadamente, Jensen estima que la tasa de adopción comenzará a cambiar. Una de las principales barreras es que no hay ninguna obligación conocida detrás de esta adopción, aunque el DOD le dice a las agencias que sigan estas pautas. “En el mundo PKI, solamente se observa una adopción rápida cuando hay obligación, responsabilidad y el uso es vinculante”, señala.
Thomas dice que la gente aprecia el fácil uso de los certificados una vez que pasan por el proceso de registro. “En mi caso, dejar de usar un login y una contraseña para pasar a una CAC hizo que todo me resultara mucho más sencillo, porque no tenía que estar cambiando constantemente la contraseña y mantener su seguimiento en diferentes sistemas”, explica.
A medida que más instituciones adopten el uso de certificados ECA, las personas podrán utilizar un certificado para múltiples propósitos en lugar de tener que mantener diferentes logins y contraseñas para cada sistema diferente que emplean.
Jensen confía en que en la medida en que más organizaciones comiencen a seguir las directrices del DOD, más seguros estarán los sistemas de información y se minimizarán las violaciones. “Es realmente estimulante ver que instituciones como el DTIC adoptan los certificados porque ven que de ello se derivan muchísimos beneficios”, expresa.