Buscar

Idioma

Llamado a la acción: Cumplir con los nuevos requisitos para acceder a la base de datos CJIS

10 de agosto, 2023

Inicio » Blog » Llamado a la acción: Cumplir con los nuevos requisitos para acceder a la base de datos CJIS

Mantener la información crítica a salvo de los ciberdelincuentes es un imperativo para todas las organizaciones, pero ninguna más que las agencias encargadas de hacer cumplir la ley que mantienen grandes volúmenes de datos altamente confidenciales. Esta es la razón por la que la Oficina Federal de Investigaciones (FBI) introdujo recientemente nuevos requisitos estrictos para acceder a su base de datos de Servicios de Información de Justicia Penal (CJIS), que contiene información restringida, incluidos registros de huellas dactilares e antecedentes penales.

A partir de octubre de 2024, el FBI ordenará la adopción de tecnologías avanzadas autenticación medidas por cualquier entidad que busque acceso a su base de datos CJIS bajo cualquier condición. Si bien esta medida mejora significativamente la seguridad, también presenta importantes desafíos de cumplimiento para las agencias civiles y los departamentos de policía que dependen del acceso continuo a los datos de CJIS para operaciones efectivas de aplicación de la ley y seguridad pública. Esta publicación de blog explora los requisitos de la nueva política CJIS, explica los desafíos de la autenticación avanzada y muestra cómo Silverfort puede ayudar a las organizaciones a lograr el cumplimiento.

Tabla de contenido

  • El papel del CJIS y su evolución en materia de seguridad
  • Comprender la autenticación avanzada
  • Los nuevos requisitos para acceder a CJIS
  • El desafío que les espera a los departamentos de policía
  • Cómo Silverfort Permite la autenticación avanzada con FIDO2

    • El papel del CJIS y su evolución en materia de seguridad

    Desde su primera encarnación en 1924 como División de Identificación del FBI, la agencia ha proporcionado un repositorio con capacidad de búsqueda para todos los antecedentes penales recopilados en los EE. UU. Establecido formalmente como CJIS en 1992, ahora es la división más grande del FBI con responsabilidad de varias iniciativas tecnológicas, incluido el Sistema Automatizado Integrado de Identificación de Huellas Dactilares (IAFIS) y el Sistema Nacional de Informes Basados ​​en Incidentes (NIBRS). La pieza central de CJIS es su base de datos, que contiene registros de antecedentes penales, huellas dactilares, datos biométricos y otra información crítica a la que las agencias policiales federales, estatales, locales y tribales necesitan acceder.

    Para abordar las amenazas emergentes a la ciberseguridad, CJIS actualiza periódicamente sus políticas para fortalecer la seguridad de sus datos confidenciales e incorporar las mejores prácticas. Más recientemente, la agencia comenzó a renovar sus políticas de acceso para alinearse con las del presidente Joe Biden. Orden Ejecutiva (EO) 14028 sobre la mejora de la ciberseguridad del país, firmado en 2021, que exigía que se implementaran estándares de seguridad más estrictos para todas las agencias federales a partir de octubre de 2024, específicamente mediante la implementación de métodos de “autenticación avanzada”.

    Comprender la autenticación avanzada

    En ciberseguridad, la autenticación avanzada significa adoptar un enfoque de múltiples capas para verificar la identidad de los usuarios que intentan acceder a un sistema o a datos confidenciales. La autenticación avanzada va más allá de requerir credenciales estándar e incorpora al menos un factor adicional para establecer un mayor nivel de seguridad para la identificación del usuario. Estos pueden incluir elementos como contraseñas o PIN (“algo que sabes”) además de tokens de hardware o tarjetas inteligentes (“algo que tienes) o factores biométricos como huellas dactilares o reconocimiento facial (“algo que eres”).

    Pero la EO 14028 especifica que a partir de octubre de 2024, Los métodos de autenticación avanzados utilizados por las agencias federales deben ser "resistentes al phishing". lo que dificulta que los atacantes obtengan acceso si logran que un usuario revele sus credenciales mediante phishing o cuando usan tácticas como el bombardeo rápido para agotar a los usuarios y permitirles el acceso. Por lo tanto, resistente al phishing significa no depender de autenticaciones push, como mensajes de texto o códigos generados por aplicaciones, sino incluir elementos como autenticación basada en certificados (CBA), tarjetas de verificación de identidad personal (PIV) o tokens de hardware que cumplan con los últimos estándares desarrollados por la Alianza Fast Identity Online (FIDO), conocida como FIDO2.

    Los nuevos requisitos para acceder a CJIS

    En diciembre pasado, CJIS publicó un nueva versión de su política de seguridad, CSP 5.9.2, que introdujo varios cambios importantes en sus requisitos de seguridad y control. Uno de los más significativos es que autenticación multifactor (MFA) será requerido cada vez que un usuario busque acceder a información de justicia penal, incluso cuando se encuentre en un lugar físicamente seguro (como un centro de despacho) o un “medio de transporte de justicia penal” (es decir, una patrulla policial). Además, la política establece que simplemente desbloquear un dispositivo (por ejemplo, usando un PIN o un método biométrico) ya no se considerará una forma aceptable de MFA para obtener acceso a la base de datos del CJIS.

    Estos cambios en la política de seguridad de CJIS harán que el acceso a la información de justicia penal sea más seguro, pero también dificultarán el acceso rápido y fácil a la base de datos, ya que se requerirá autenticación avanzada cada vez que un usuario inicie sesión en un dispositivo conectado a CJIS. Además, si las organizaciones no implementan MFA resistente al phishing en todos los dispositivos conectados a CJIS antes del 1 de octubre de 2024, podrían recibir sanciones y potencialmente perder el acceso a la base de datos por completo.

    El desafío que les espera a los departamentos de policía

    Los municipios dependen de los agentes de policía para responder rápidamente en situaciones de alta presión donde cada minuto cuenta. La capacidad de un oficial para hacerlo depende de su capacidad para acceder instantáneamente a datos de justicia penal en sus computadoras de datos móviles (MDC)/terminales de datos móviles (MDT) para tomar decisiones informadas rápidamente. Por eso es fundamental que los municipios encuentren la mejor manera de empoderar simultáneamente a sus departamentos de policía y al mismo tiempo cumplir con los nuevos requisitos de la política de seguridad del CJIS.

    Los MDC tradicionalmente han accedido a fuentes de información de justicia penal como CJIS a través de una conexión VPN desde el vehículo policial al centro de datos del departamento, una conexión que se verifica a través de MFA push back al dispositivo. Pero hay problemas con este método. En primer lugar, los enrutadores inalámbricos ubicados dentro de los cruceros no siempre se activan de inmediato, lo que deja a los oficiales esperando momentos críticos para recibir el mensaje de MFA que les permitirá conectarse. En segundo lugar, los agentes necesitan conectarse regularmente cuando están fuera de su patrulla y no en una red segura, como cuando hacen trámites en un lugar como un hospital o un hotel. Es por eso que algunas fuerzas policiales han comenzado a utilizar tarjetas de control de acceso habilitadas para FIDO2 como segundo factor para establecer rápidamente una conexión segura.

    Cómo Silverfort Permite la autenticación avanzada con FIDO2

    Silverfort's unificado Protección de Identidad La plataforma permite a las organizaciones extender la protección MFA a cualquier dispositivo, sin importar cómo se conecte el usuario, incluidos los agentes de policía que necesitan acceder a sus terminales de forma segura mientras se encuentran en una ubicación remota. Silverfort puede admitir numerosas opciones para la autenticación de segundo factor, incluidos los tokens FIDO, que se pueden usar para autenticar en situaciones como esta donde no se permite push MFA.

    Silverfort Lo hace aplicando políticas de seguridad en la capa del dispositivo. Con Silverfort para el inicio de sesión de Windows, el proveedor de credenciales primero verifica si se debe aplicar una política que requiera MFA y luego puede permitir que el oficial use su tarjeta de acceso habilitada para FIDO2 como segundo factor para la autenticación avanzada. Esto permite a los departamentos de policía proteger todos los puntos finales de Windows, incluidas las tabletas y computadoras portátiles basadas en Windows que los agentes utilizan en el campo.

    Silverfort para Windows Logon es la única solución que puede integrar MFA con un motor de políticas que permite a las organizaciones aplicar políticas de acceso condicional a dispositivos Windows, incluso cuando funcionan sin conexión. Además, puede ser necesario un avance adicional del MFA para aplicaciones específicas, como la base de datos de justicia penal mantenida por el CJIS. De este modo se logra un equilibrio crítico: los agentes obtienen rápidamente el acceso que necesitan, ahorrándoles un tiempo precioso, mientras sus dispositivos siguen cumpliendo plenamente con los nuevos requisitos de seguridad federales.

    ¿Está su agencia preparada para la autenticación avanzada? Hable con uno de nuestros expertos hoy y descubre cómo Silverfort puede ayudarle a lograr el cumplimiento.


    ¿Listo para una demostración?
    Regístrate hoy.

    Mensajes recientes

    9 de mayo 2024.

    Silverfort Anuncia nueva integración con Microsoft Entra ID EAM 

    6 de mayo 2024.

    Uso de MITM para evitar la protección resistente al phishing de FIDO2

    Puede 2nd, 2024

    Silverfort Presentará una investigación en RSA 2024: uso de MITM para omitir los métodos de autenticación modernos a SSO

    24 de abril de 2024

    Cinco formas de mejorar la higiene de su AD con Silverfort  
    Ver más

    Síguenos en:

    Detenga las amenazas a la identidad ahora