3/8/23, 11:29 Cumplimiento con NIST IA-5 | enzoico

Cumplimiento con NIST IA-5

LA SEGURIDAD CIBERNÉTICA   NIST 800-63   REGULACIÓN Y CUMPLIMIENTO

El papel del monitoreo de contraseñas comprometidas

La digitalización de las operaciones comerciales ha traído innumerables ventajas, pero también tiene un alto costo: una mayor
vulnerabilidad a las amenazas cibernéticas. En este panorama creciente de riesgos, las credenciales comprometidas se han
convertido en la causa principal de las filtraciones de datos, como se revela en Verizon's 2023Informe DBIRy el 2022 de IBM
Costo de un informe de violación de datos. Este panorama de amenazas subraya la necesidad vital de que las empresas
establezcan un sistema sólido para rastrear y administrar las credenciales comprometidas. Las recomendaciones para abordar
esta área de riesgo se describen en muchas de las publicaciones del NIST, y el Control IA-5 en SP 800-53 proporciona una guía
integral para la autenticación basada en contraseña.

Comprender el papel de NIST IA-5 en SP 800-53

La publicación especial 800-53 del NIST, revisión 5, titulada "Controles de seguridad y privacidad para sistemas y
organizaciones de información", presenta un marco extenso para administrar los riesgos de seguridad de la información. Un
aspecto esencial es Control Enhancement IA-5 para autenticación basada en contraseña:

Para la autenticación basada en contraseña:

(a) Mantener una lista de contraseñas comúnmente utilizadas, esperadas o comprometidas y actualizar la lista
[Asignación: frecuencia definida por la organización] y cuando se sospeche que las contraseñas de la organización han
sido comprometidas directa o indirectamente;

(b) Verificar, cuando los usuarios creen o actualicen contraseñas, que las contraseñas no se encuentren en la lista de
contraseñas comúnmente utilizadas, esperadas o comprometidas en IA-5(1)(a)

Las credenciales comprometidas pueden servir como puerta de entrada para que los ciberdelincuentes se infiltren en los
sistemas de una organización, allanando el camino para filtraciones de datos costosas y dañinas. Reconociendo la gravedad de
esta amenaza, NIST SP 800-53 recomienda la detección y gestión de contraseñas comprometidas. Al evitar que los usuarios
establezcan sus contraseñas en valores previamente expuestos, esto evita que los atacantes simplemente encuentren
información de inicio de sesión en la Dark Web para obtener acceso a las cuentas. Esto reduce drásticamente el riesgo de
apropiación de cuentas de una organización al detener amenazas como el relleno de credenciales y los ataques de rociado de
contraseñas.

Monitorear la Dark Web puede ser una medida útil para abordar los criterios establecidos por NIST. La naturaleza clandestina de
la Dark Web la convierte en un mercado privilegiado para que los ciberdelincuentes intercambien credenciales robadas,
incluidas las contraseñas. Para mantener una lista actualizada de contraseñas de uso común, esperadas o comprometidas, las
organizaciones deben monitorear activamente estos sectores ocultos de Internet en busca de posibles fugas o intercambios que
involucren sus datos. El gran volumen de información y la rápida tasa de cambio en la Dark Web significa que el monitoreo
interno requiere personal dedicado con habilidades especializadas. Aquí es donde las soluciones que ofrecen monitoreo de Dark
Web se vuelven invaluables.

¿Puede MFA ser un control de compensación?

https://www.enzoic.com/blog/nist-ia-5-compliance/?utm_medium=email&_hsmi=268773901&_hsenc=p2ANqtz-9vEbljphEzk9_O5bjCK7zFA2Syq3eX0GlJ0ae8Vu37ldadsvKPlDDIsqm0ET5ZNY8Xxu9HF8Tt7kiokf9yNX… 1/2
3/8/23, 11:29 Cumplimiento con NIST IA-5 | enzoico

Una aclaración importante del NIST subraya la universalidad de sus recomendaciones de control:

La autenticación basada en contraseña se aplica a las contraseñas independientemente de si se utilizan en la

autenticación de un solo factor o de múltiples factores.

Esto indica que incluso si las organizaciones han implementado la autenticación multifactor, las pautas del NIST sobre el
monitoreo de contraseñas comprometidas siguen siendo tan cruciales como siempre. MFA agrega una capa de seguridad, pero
el principio fundamental de garantizar la integridad de la contraseña se mantiene firme. Los riesgos inherentes asociados con las
credenciales comprometidas persisten, por lo que es imperativo rastrearlos y administrarlos con diligencia. El énfasis de NIST,
por lo tanto, garantiza que las organizaciones permanezcan alerta contra las vulnerabilidades de las infracciones basadas en
contraseñas, independientemente de otras capas de seguridad implementadas.

Protección de sus activos digitales con las directrices del NIST

En el ámbito siempre cambiante de las ciberamenazas, no se puede subestimar la importancia de proteger los recursos
protegidos por contraseñas. Las pautas descritas en IA-5 de NIST dentro de SP 800-53 sirven como un plan sólido para proteger
a las organizaciones del peligro de la apropiación de cuentas. Al seguir rigurosamente estas directivas y estar atentos a las
contraseñas potencialmente comprometidas, las organizaciones no solo pueden defender sus valiosos activos de información,
sino también disminuir notablemente las posibilidades de costosas filtraciones de datos. Las pautas de NIST actúan como una
guía en evolución para proteger a las organizaciones en medio del panorama fluctuante de las ciberamenazas.

Si bien SP 800-53 proporciona un conjunto completo de pautas para administrar la seguridad de la información, otras
publicaciones del NIST pueden ofrecer información adicional. Por ejemplo,NIST SP 800-63bproporciona pautas detalladas para
proteger las identidades digitales, incluidas las credenciales. Al hacer referencia a varias publicaciones del NIST y adoptar los
estándares exigidos o relevantes para su organización, los equipos de seguridad pueden garantizar que emplean un enfoque
completo y sólido para la seguridad de la información.

https://www.enzoic.com/blog/nist-ia-5-compliance/?utm_medium=email&_hsmi=268773901&_hsenc=p2ANqtz-9vEbljphEzk9_O5bjCK7zFA2Syq3eX0GlJ0ae8Vu37ldadsvKPlDDIsqm0ET5ZNY8Xxu9HF8Tt7kiokf9yNX… 2/2