La construcción de un solo avión F-22 Raptor requiere de cientos de proveedores que emplean a miles de personas. Si bien se desconoce la proporción real, cualquiera de estos individuos podría ser blanco de un ataque basado en la identidad, lo que demuestra la necesidad de gestionar las interrupciones de forma proactiva.
Las regulaciones exigen que el Departamento de Defensa de los Estados Unidos (DoD) extienda la seguridad de su cadena de suministro a los proveedores de servicios contratados a los que se confía información no clasificada sensible, incluido el fabricante de neumáticos del avión de combate. La protección de esta información, ya sea de una gestión interna inadecuada o de filtraciones de datos maliciosas, es imprescindible para defender a la Nación.
La certificación del modelo de madurez de ciberseguridad (CMMC) es un mandato de cumplimiento que, una vez codificado a través de la reglamentación, garantizará que los contratistas y subcontratistas del DoD hayan implementado las protecciones de seguridad aplicables establecidas en DFARS 252.204-7012 y otras evaluaciones del programa de ciberseguridad. También será una condición para recibir la adjudicación de un contrato del DoD.
Cómo puede ayudar Okta
La misión principal de Okta es la identidad, por lo que, naturalmente, apoyamos los recorridos de nuestros clientes para cumplir con los controles de Control de acceso (AC) e Identificación y autenticación (IA) de CMMC. Okta también admite los otros dominios y prácticas de CMMC con nuestro marco de API abierto, el ecosistema de aplicaciones y los marcos de confianza para una fácil integración con otros proveedores que admiten otros requisitos de práctica de CMMC.
Consulte la siguiente tabla para obtener información sobre los dominios críticos de AC e IA CMMC y cómo Okta ayuda a los clientes a cumplir con estos requisitos.
dominio | Nivel 1 | Nivel 2 | Cómo puede ayudar Okta |
Control de acceso (CA) | AC.L1-3.1.1 Control de acceso autorizado
Limite el acceso al sistema de información a usuarios autorizados, procesos que actúan en nombre de usuarios autorizados o dispositivos (incluidos otros sistemas de información). | Existe un proceso formal de registro de acceso y aprovisionamiento inicial para los empleados y terceros autorizados para que Okta asigne derechos de acceso para todos los tipos de usuarios a todos los sistemas y servicios, en línea con las políticas y los estándares. | |
AC.L1-3.1.2 Control de transacciones y funciones
Limite el acceso al sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar. | |||
AC.L2-3.1.3 Control del flujo de CUI Controle el flujo de CUI de acuerdo con las autorizaciones aprobadas. | La comunicación organizacional y los flujos de datos se mapean y se hacen cumplir. Se pueden utilizar metodologías de descubrimiento de datos para identificar, clasificar y rastrear datos confidenciales. Los flujos de datos confidenciales se rigen por políticas de control de la información definidas por la empresa. | ||
AC.L2-3.1.4 Separación de responsabilidades Separe las funciones de las personas para reducir el riesgo de actividad malévola sin colusión. | Okta emplea el principio del mínimo privilegio y la separación de funciones. Se permite el acceso autorizado para los usuarios (o los procesos que actúan en nombre de los usuarios) asignados a tareas de acuerdo con las misiones organizacionales y las funciones comerciales. | ||
AC.L2-3.1.5 privilegio mínimo Emplee el principio del mínimo privilegio, incluso para funciones de seguridad específicas y cuentas con privilegios. | |||
AC.L2-3.1.6 Uso de cuentas no privilegiadas Utiliza cuentas o roles no privilegiados al acceder a funciones que no son de seguridad. | |||
AC.L2-3.1.7 Funciones con privilegios Evite que los usuarios sin privilegios ejecuten funciones con privilegios y capture la ejecución de tales funciones en los registros de auditoría. | Los registros están configurados para capturar las acciones realizadas específicamente por personas con privilegios de usuario administrativo. Los registros están protegidos y revisados para identificar y detectar cuentas mal utilizadas. Las discrepancias se investigan y se remedian.
El acceso de usuario privilegiado se establece y administra de forma controlada, y se limita solo a lo que se requiere para que los usuarios y los servicios realicen sus tareas. A los usuarios privilegiados se les asigna una cuenta privilegiada dedicada para ser utilizada únicamente para tareas que requieran acceso privilegiado. | ||
AC.L2-3.1.8 Intentos de inicio de sesión fallidos Limite los intentos de inicio de sesión fallidos. | Las funciones de bloqueo están habilitadas para restringir el acceso después de una cierta cantidad de intentos fallidos de inicio de sesión o inactividad del usuario. La cuenta se bloquea durante un período específico o hasta que un administrador habilite la cuenta del usuario. El usuario recibe una notificación cuando el inicio de sesión se realiza correctamente o no. | ||
AC.L2-3.1.9 Avisos de Privacidad y Seguridad Proporcione avisos de privacidad y seguridad consistentes con las reglas de CUI aplicables. | Se identifican las actividades de procesamiento de datos personales que requieren o se basan en el consentimiento, y existen procesos para evitar la recopilación de dichos datos sin consentimiento. Se definen e implementan mecanismos para obtener, documentar, rastrear y administrar el consentimiento de acuerdo con las regulaciones aplicables, incluida la revocación del consentimiento. | ||
AC.L2-3.1.10 Bloqueo de Sesión Use el bloqueo de sesión con pantallas que ocultan patrones para evitar el acceso y la visualización de datos después de un período de inactividad. | Las funciones de bloqueo están habilitadas para restringir el acceso después de una cierta cantidad de intentos fallidos de inicio de sesión o inactividad del usuario. La cuenta se bloquea durante un período específico o hasta que un administrador habilite la cuenta del usuario. Se notifica al usuario al iniciar sesión con éxito o sin éxito. | ||
AC.L2-3.1.11 Finalización de sesión Finalizar (automáticamente) una sesión de usuario después de una condición definida. | |||
AC.L2-3.1.12 Control de acceso remoto Supervisa y controla las sesiones de acceso remoto. | El acceso remoto se controla, supervisa y permite a través de un cliente VPN aprobado por Okta. | ||
AC.L2-3.1.13 Confidencialidad del Acceso Remoto Emplee mecanismos criptográficos para proteger la confidencialidad de las sesiones de acceso remoto. | |||
AC.L2-3.1.14 Enrutamiento de acceso remoto Enrute el acceso remoto a través de puntos de control de acceso administrados. | |||
AC.L2-3.1.15 Acceso Remoto Privilegiado Autorice la ejecución remota de comandos privilegiados y el acceso remoto a información relevante para la seguridad. | |||
AC.L2-3.1.16 Autorización de acceso inalámbrico Autorice el acceso inalámbrico antes de permitir tales conexiones. | N/A | ||
AC.L2-3.1.17 Protección de Acceso Inalámbrico Proteja el acceso inalámbrico utilizando la autenticación y el cifrado. | N/A | ||
AC.L2-3.1.18 Conexión de dispositivo móvil Controlar la conexión de dispositivos móviles. | N/A | ||
AC.L2-3.1.19 Cifrar CUI en el Móvil Cifre la CUI en dispositivos móviles y plataformas informáticas móviles. | Okta protege los tipos de datos clasificados de la organización en reposo a través de controles de seguridad, incluidos el cifrado y los controles criptográficos, para alinearse con los estándares de seguridad. | ||
AC.L1-3.1.20 Conexiones externas Verificar y controlar/limitar las conexiones y el uso de sistemas de información externos. | N/A | ||
AC.L2-3.1.21 Uso de almacenamiento portátil Limite el uso de dispositivos de almacenamiento portátiles en sistemas externos. | N/A | ||
AC.L1-3.1.22 Controlar la información pública Controlar la información publicada o procesada en sistemas de información de acceso público. | N/A | ||
Identificación y Autenticación (IA) | IA.L1-3.5.1 Identificación Identificar a los usuarios del sistema de información, los procesos que actúan en nombre de los usuarios o los dispositivos. | Se utilizan métodos de autenticación seguros para el acceso a sistemas y aplicaciones. | |
IA.L1-3.5.2 Authentication Autentique (o verifique) las identidades de esos usuarios, procesos o dispositivos, como un requisito previo para permitir el acceso a los sistemas de información de la organización. | |||
IA.L2-3.5.3 Multi-Factor Authentication Utilice la Autenticación Multifactor (MFA) para el acceso local y de red a cuentas privilegiadas y para el acceso de red a cuentas no privilegiadas. | Los métodos de autenticación multifactor (MFA) se implementan para que los empleados, administradores y terceros autorizados puedan acceder a la red y a los sistemas de información. | ||
IA.L2-3.5.4 Autenticación Resistente a la Reproducción Emplee mecanismos de autenticación resistentes a la reproducción para el acceso a la red a cuentas privilegiadas y no privilegiadas. | Se utilizan métodos de autenticación seguros para el acceso a sistemas y aplicaciones. | ||
IA.L2-3.5.5 Reutilización del identificador Evite la reutilización de identificadores durante un período definido. | N/A | ||
IA.L2-3.5.6 Manejo de identificadores Deshabilitar los identificadores después de un período definido de inactividad. | N/A | ||
IA.L2-3.5.7 Complejidad de la contraseña Aplique una complejidad mínima de contraseña y un cambio de caracteres cuando se creen nuevas contraseñas. | Las configuraciones de contraseñas se establecen, implementan y aplican en consonancia con los requisitos de la industria, el gobierno y otros requisitos de cumplimiento. Los sistemas de gestión de contraseñas son interactivos y garantizan contraseñas de calidad. | ||
IA.L2-3.5.8 Reutilización de contraseñas Prohíba la reutilización de contraseñas durante un número específico de generaciones. | |||
IA.L2-3.5.9 Contraseñas temporales Permite el uso de contraseñas temporales para los inicios de sesión del sistema con un cambio inmediato a una contraseña permanente. | |||
IA.L2-3.5.10 Contraseñas protegidas criptográficamente Almacene y transmita solo contraseñas protegidas criptográficamente. | |||
IA.L2-3.5.11 Comentarios confusos Dificulte la retroalimentación de la información de autenticación. | Se utilizan métodos de autenticación seguros para el acceso a sistemas y aplicaciones. |
Para obtener más información sobre cómo Okta puede ayudar a su organización a cumplir con los requisitos de CMMC, descargue nuestra Guía de descubrimiento de CMMC en https://www.okta.com/resources/datasheet-okta-cmmc-discovery-guide/ o contáctenos en okta.com/contact-sales/.
Si bien este artículo analiza ciertos conceptos legales, no constituye asesoramiento legal y no debe interpretarse como tal. Se proporciona únicamente con fines informativos. Para obtener asesoramiento legal sobre las necesidades de cumplimiento de su organización, consulte el departamento legal de su organización. Okta no ofrece representaciones, garantías ni otras garantías con respecto al contenido de este artículo. La información sobre las garantías contractuales de Okta a sus clientes se puede encontrar en okta.com/agreements.
