Para los proveedores de servicios en la nube, una certificación IL5 abre la puerta a mayores oportunidades para proteger los contratos con agencias gubernamentales que requieren servicios en la nube que cumplan con los más altos estándares de seguridad. Para las agencias gubernamentales, el proceso de certificación IL5 proporciona una forma rápida y altamente eficiente de encontrar y contratar un CSP. Las empresas del sector privado también pueden beneficiarse de trabajar con CSP que hayan obtenido una certificación IL5, ya que esta distinción garantiza que el proveedor se compromete a ofrecer los más altos niveles de seguridad y puede ayudar mejor a las empresas a lograr la ciberresiliencia.
IL5 es una certificación del Departamento de Defensa (DoD) de Estados Unidos que autoriza a un proveedor de servicios en la nube (CSP) a almacenar y procesar algunos de los datos más confidenciales del DoD. La certificación IL5 indica que un CSP tiene el nivel de controles, protocolos y tecnologías para gestionar de forma segura la información no clasificada controlada (CUI) que se considera esencial. Los controles de seguridad necesarios para la certificación IL5 se encuentran entre los más estrictos del sector de lo servicios en la nube .
¿Cuáles son los niveles de impacto del DoD?
El Departamento de Defensa de EE. UU. depende de los servicios y la infraestructura de nube para compartir información, ejecutar aplicaciones de defensa y proporcionar asistencia en combate en una amplia gama de operaciones militares. Debido a la presencia constante de amenazas a los entornos de nube, el DoD requiere que cualquier CSP que trabaje con datos del DoD cumpla una serie de requisitos de seguridad y cuente con determinados controles y protecciones.
El DoD utiliza un sistema de "niveles de impacto" para clasificar los datos según la confidencialidad de la información y lo perjudicial que sería que los datos se perdieran, se expusieran, se robaran o se vieran comprometidos.
Además de clasificar los datos, los niveles de impacto permiten al DoD evaluar la estrategia de seguridad de una oferta de servicios en la nube (CSO) específica de un CSP. Una certificación de nivel de impacto proporciona una clave para comprender qué CSP y CSO se pueden utilizar según distintas necesidades de seguridad de datos.
El nivel de impacto 5, o IL5, es una clasificación dada a información no clasificada, pero altamente confidencial e importante. (IL-6 es la clasificación más elevada y está reservada para los sistemas de información y los datos clasificados como SECRETOS). Una certificación IL5 permite a los proveedores almacenar y procesar información no clasificada controlada (CUI), información esencial e información del sistema nacional de valores. Esto incluye datos que podrían provocar pérdidas de vidas, daños graves a la capacidad del DoD de llevar a cabo operaciones o daños catastróficos a la seguridad nacional.
¿Qué diferencia hay entre los niveles de impacto?
Actualmente hay cuatro niveles de impacto del DoD que representan diferentes niveles de confidencialidad de los datos.
- El nivel de impacto 2 (IL2) es para la información del DoD que ha sido aprobada para su publicación
- El nivel de impacto 4 (IL4) es para la información no clasificada controlada (CUI) del DoD
- El nivel de impacto 5 (IL5) es para la CUI del DoD y los Sistemas de Seguridad Nacionales (NSS)
- El nivel de impacto 6 (IL6) es para la información clasificada del DoD hasta el nivel de SECRETO
¿Qué agencia gestiona la certificación IL5?
La Agencia de Sistemas de Información de Defensa (DISA) de EE. UU. forma parte del DoD y es responsable de desarrollar y mantener la Guía de requisitos de seguridad de cloud computing (CC SRG) del DoD. Este documento define los requisitos de seguridad de referencia para evaluar la estrategia de seguridad de un CSO y respalda el proceso de toma de decisiones para conceder una autorización provisional (PA) que permita a un CSP alojar misiones del DoD.
¿En qué se relaciona el FedRAMP con la certificación IL5?
El Programa Federal de Gestión de Autorizaciones y Riesgo (FedRAMP) es un programa gubernamental encargado de desarrollar y gestionar un enfoque estandarizado para evaluar, autorizar y supervisar de forma continua los productos y servicios de los CSP. El FedRAMP supervisa un proceso de evaluación y autorización (incluida la autorización provisional baja, moderada y alta) que certifica que los CSP trabajan con diferentes agencias federales y almacenan y procesan diferentes niveles de información confidencial. Cualquier CSP que desee trabajar con el gobierno federal y sus agencias debe obtener una certificación FedRAMP. Sin embargo, las empresas que desean una certificación IL5 deben tomar medidas adicionales e incorporar controles de seguridad aún más estrictos.
¿Qué tipo de información requiere una certificación IL5?
Los CSP deben obtener una certificación IL5 para trabajar con datos que incluyan:
- CUI que requiere un nivel de seguridad más alto que el proporcionado por el IL4 del DoD. Esto incluye información de una amplia variedad de categorías, como información sobre infraestructuras críticas, defensa, control de exportaciones, inteligencia, aplicación de la ley, finanzas, energía nuclear y privacidad, entre otros.
- Información que forma parte de los Sistemas de Seguridad Nacionales (NSS). Esto incluye la información que forma parte de las actividades de inteligencia, las actividades criptológicas relacionadas con la seguridad nacional, la información utilizada en el mando y control de las fuerzas militares, la información sobre el equipamiento que forma parte integrante de los sistemas de armas y los datos que permiten funciones esenciales para el cumplimiento directo de misiones militares o de inteligencia.
¿Qué tipo de controles de seguridad se requieren para la certificación IL5?
Para obtener una certificación IL5, se requiere una evaluación de seguridad rigurosa y la adopción de algunos de los controles de aislamiento físicos, lógicos y criptográficos más estrictos. Estos incluyen los controles necesarios para lograr una autorización de FedRAMP nivel alto, junto con una serie de requisitos adicionales necesarios para proteger los sistemas de seguridad nacionales y proporcionar el nivel más alto de seguridad para CUI.
Una certificación IL5 requiere diferentes controles en varias categorías.
- Diseño de infraestructura y arquitectura de seguridad: Los CSP tal vez necesiten implementar segmentación de red, sistemas de detección de intrusiones, configuraciones de firewall sólidas y canales de comunicación cifrados.
- Controles de gestión de acceso e identidades: La autenticación multifactorial (MFA), los controles de acceso basados en funciones y la gestión de acceso privilegiado ayudan a evitar que los usuarios no autorizados accedan a datos y sistemas críticos.
- Cifrado de datos: Para garantizar que cualquier información expuesta siga siendo ilegible, son esenciales mecanismos de cifrado estrictos para los datos en reposo, en tránsito y en uso.
- Supervisión continua: La supervisión continua mediante la detección de intrusiones y los sistemas de gestión de eventos e información de seguridad (SIEM) ayuda a detectar y mitigar las amenazas rápidamente.
- Prácticas seguras de DevOps: Los CSP pueden evitar las debilidades de seguridad en el proceso de desarrollo adoptando prácticas y metodologías de codificación seguras y realizando pruebas de seguridad periódicas y automatizadas para identificar y abordar las vulnerabilidades.
- Gestión de parches y actualizaciones: Es esencial contar con un ritmo regular para aplicar parches de seguridad y actualizar los sistemas. Las pruebas de penetración y las evaluaciones de vulnerabilidades pueden ayudar a revelar las debilidades que los atacantes pueden explotar.
- Documentación y presentación de informes: Los CSP deben proporcionar documentación completa de sus controles de seguridad y esfuerzos de cumplimiento, incluidos registros detallados sobre políticas, procedimientos y auditorías.
- Gestión de riesgos de terceros: Las evaluaciones de riesgos de terceros son cruciales para identificar las brechas de seguridad y evitar las amenazas que pueden surgir en la cadena de suministro de una organización.
Preguntas frecuentes
La certificación IL5 es esencial para las empresas que deseen facilitar cargas de trabajo para clientes del sector público de EE. UU.
Las certificaciones de FedRAMP y los niveles de impacto del DoD tienen que ver con la evaluación de las capacidades de seguridad de los productos y servicios en la nube, pero estas autorizaciones son diferentes en cuanto a su alcance y enfoque. FedRAMP es un programa gubernamental diseñado para garantizar la seguridad de los sistemas basados en la nube que almacenan y procesan datos gubernamentales y la certificación FedRAMP es la referencia mínima de seguridad para todos los servicios en la nube del DoD. Los niveles de impacto son específicos de los estándares de ciberseguridad exigidos por el DoD para proteger las evaluaciones esenciales.
Por qué los clientes eligen Akamai
Akamai es la empresa de ciberseguridad y cloud computing que potencia y protege los negocios online. Nuestras soluciones de seguridad líderes en el mercado, nuestra inteligencia ante amenazas consolidada y nuestro equipo de operaciones globales proporcionan una defensa en profundidad para proteger los datos y las aplicaciones empresariales. Las soluciones integrales de cloud computing de Akamai garantizan el rendimiento y una buena relación calidad-precio en la plataforma más distribuida del mundo. Las grandes empresas confían en Akamai, ya que les ofrece una fiabilidad, una escalabilidad y una experiencia inigualables en el sector, idóneas para crecer con seguridad.