Ir al contenido principal
Logotipo de Blackberry
Antecedentes del héroe

Cumplimiento con FIPS

Las Normas Federales de Procesamiento de la Información (FIPS) son normas publicadas por el Instituto Nacional de Normas y Tecnología (NIST) y son utilizadas por agencias federales, así como por organizaciones que manejan información federal. Estas normas se centran especialmente en módulos criptográficos diseñados para proteger datos sensibles pero no clasificados. El uso de las FIPS establece criterios comunes para evaluar la tecnología mediante pruebas independientes y procedimientos de validación reconocidos.

El cumplimiento de FIPS significa que un módulo criptográfico ha superado una evaluación independiente basada en publicaciones FIPS específicas, sobre todo las de la serie FIPS 140. La validación confirma que el cifrado, la gestión de claves, la autenticación y las funciones de seguridad relacionadas se implementan correctamente y con los niveles de garantía requeridos. Aunque FIPS abarca varios temas, la validación FIPS 140 es la marca de cumplimiento más frecuentemente referenciada para los productos de seguridad de la información. 

Por qué es esencial el cumplimiento de la norma FIPS

Los módulos criptográficos validados ofrecen garantías sobre la confidencialidad, integridad y disponibilidad de la información en entornos que se enfrentan a un riesgo elevado. La implementación de soluciones que han superado con éxito las pruebas FIPS minimiza la posibilidad de que se introduzcan fallos de seguridad, lo que permite un cifrado sólido, una gestión robusta de las claves y una protección fiable de los datos en reposo y en tránsito.

Relevancia de las políticas y las adquisiciones

Para las agencias federales y los contratistas de EE. UU., el cumplimiento de la norma FIPS no solo es un requisito normativo, sino que también sirve como puerta de entrada en los procesos de adquisición. Se espera que se implementen módulos validados por la norma FIPS cuando se manejan datos confidenciales pero no clasificados, lo que influye tanto en las decisiones de adquisición como en las de autorización general del sistema.

El incumplimiento de estos requisitos puede dar lugar a riesgos contractuales, retrasos o denegaciones en las autorizaciones del sistema y vulnerabilidades técnicas que podrían comprometer los objetivos de seguridad. Fuera del ámbito del gobierno federal, muchas organizaciones adoptan la validación FIPS como una práctica recomendada para la gestión de riesgos y para cumplir con las exigencias normativas y de garantía de los clientes.

Relación con FedRAMP y marcos más amplios

El cumplimiento de FIPS está estrechamente vinculado a otros marcos normativos del Gobierno de los Estados Unidos. Por ejemplo, las autorizaciones de servicios en la nube a través de FedRAMP requieren un cifrado validado por FIPS en consonancia con las bases de control NIST SP 800-53. Del mismo modo, los marcos normativos en materia de aplicación de la ley, atención sanitaria, seguridad pública y requisitos estatales suelen hacer referencia o alinearse con FIPS y sus normas criptográficas asociadas.

¿Quién necesita criptografía validada por FIPS?

El uso de módulos criptográficos validados por FIPS es obligatorio para las organizaciones que almacenan, procesan o transmiten información federal. Esto incluye:

  • Agencias federales y sus contratistas directos.

  • Subcontratistas y proveedores en las cadenas de suministro federales.

  • Empresas tecnológicas con clientes federales.

  • Proveedores de servicios en la nube que buscan autorización gubernamental.

Además del gobierno federal, los sectores con estrictas expectativas de seguridad, como defensa, seguridad pública, servicios públicos, sanidad y finanzas, suelen exigir el cumplimiento de la norma FIPS para satisfacer las exigencias contractuales o de gestión de riesgos.

Pasos para alcanzar y mantener el cumplimiento de la norma FIPS

La obtención de la validación FIPS implica un proceso metódico, que combina la evaluación técnica con una estricta supervisión operativa. Una hoja de ruta típica comienza con una evaluación exhaustiva y conduce a una supervisión continua y a la gestión del ciclo de vida.

Acciones fundamentales para el cumplimiento

  • Hacer un inventario de todos los módulos criptográficosen uso, documentando los números de versión y el estado de validación actual.

  • Evaluar los requisitos utilizando FIPS 140-3, asegurándose de que la arquitectura de referencia incluya algoritmos aprobados, gestión segura del ciclo de vida de las claves y dependencias documentadas.

  • Reemplace o actualice los módulos no validados según seanecesario, confirmando que las configuraciones se limiten a los modos aprobados.

  • Actualizar las políticas internaspara exigir la adquisición y el uso de criptografía validada para la información confidencial.

  • Impartir formaciónal personal técnico sobre el uso adecuado de los algoritmos aprobados, la implementación segura y las mejores prácticas operativas.

  • Establecer sistemas de supervisiónpara las versiones de los módulos, el estado de los certificados de validación y los boletines pertinentes del NIST o del CMVP.

El proceso de validación

  • La validación FIPS se administra a través del CMVP, una colaboración entre el NIST y el Centro Canadiense para la Ciberseguridad (CCCS). Los proveedores envían módulos para su prueba en laboratorio, y el NIST/CCCS emite certificados tras una evaluación satisfactoria. Corresponde a las organizaciones implementadoras garantizar que la configuración validada coincida con la utilizada en producción.

  • La validación implica cumplir los requisitos adecuados para el nivel de seguridad y el tipo de módulo pertinentes, incluidos el software, el firmware o el hardware. Por lo general, esto incluye cumplir con las funciones y los controles de servicio, las rutinas de autocomprobación, las protecciones sólidas para las claves y las directrices de uso operativo. Se necesitan esfuerzos continuos para mantener el cumplimiento, lo que puede incluir supervisar los avisos de los proveedores, realizar un seguimiento de la caducidad de los certificados y planificar las actualizaciones tecnológicas.

Consejos prácticos para mantener el cumplimiento normativo

  • Configurar los sistemas para que utilicen únicamente algoritmos y modos aprobados, evitando desviaciones a lo largo del tiempo.

  • Consolide los servicios criptográficossiempre que sea posible para reducir la complejidad y la exposición.

  • Mantenga registros detalladosde los documentos de validación y las pruebas de implementación.

  • Integre las comprobacionesde cumplimiento de FIPS enlos procesos de desarrollo y despliegue de software.

  • Comprueba los cambios en el sistema en entornos controladospara garantizar el cumplimiento continuo tras las actualizaciones o los parches.

El papel de los socios tecnológicos y las plataformas

Los proveedores de tecnología y plataformas pueden desempeñar un papel fundamental en la optimización del cumplimiento de las normas FIPS por parte de sus clientes, normalmente mediante:

  • Incorporación de módulos validados por FIPS en sus soluciones para la protección de datos.

  • Suministro de documentación clara y certificados de validación para respaldar las auditorías.

  • Habilitar controles para imponer el uso de criptografía aprobada y configuraciones validadas.

  • Proporcionar visibilidad del estado de los módulos para una supervisión eficaz.

  • Ofrecemos orientación sobre las mejores prácticas para la implementación y la gestión operativa.

La selección de socios tecnológicos y plataformas debe guiarse por listados CMVP demostrados, compatibilidad con las publicaciones FIPS actuales y un compromiso con el cumplimiento continuo a través de actualizaciones y gestión del ciclo de vida.

Las 5 mejores plataformas para el cumplimiento de la norma FIPS

Las organizaciones que buscan cumplir con la norma FIPS necesitan socios tecnológicos y plataformas que ofrezcan módulos criptográficos validados, documentación y flexibilidad de implementación adecuados para entornos gubernamentales e infraestructuras críticas. Las siguientes cinco plataformas son reconocidas por su sólido soporte de seguridad compatible con FIPS:

Microsoft Azure para el sector público

Ofrece servicios en la nube dedicados para agencias gubernamentales de EE. UU. con módulos criptográficos validados por FIPS 140-2 en computación, almacenamiento y redes, lo que permite cargas de trabajo conformes a gran escala.

Amazon Web Services (AWS) GovCloud

Proporciona un entorno autorizado por FedRAMP con terminales validados por FIPS 140-2 para servicios de seguridad clave, como almacenamiento, bases de datos y cifrado, lo que simplifica el cumplimiento normativo para las cargas de trabajo federales.

Cargas de trabajo garantizadas de Google Cloud Platform (GCP)

Ofrece una infraestructura en la nube segura, que incluye cifrado validado por FIPS y controles de cumplimiento, adaptada al sector público y a los clientes regulados.

Soluciones de firewall y VPN seguras de Cisco 

Integra módulos criptográficos validados según FIPS 140-2 y FIPS 140-3 para entornos de red locales e híbridos seguros, lo que garantiza el cumplimiento normativo para organismos y proveedores de infraestructura.

Comunicaciones seguras de BlackBerry 

Permite comunicaciones seguras de nivel gubernamental y controladas por el Estado con criptografía validada para la gestión de dispositivos móviles, voz segura, texto y respuesta de emergencia en todos los puntos finales.

Primeros pasos hacia el cumplimiento normativo

Comience con un inventario completo de todos los módulos y configuraciones criptográficos que se utilizan en su organización. Confirme el estado de los certificados de validación, las versiones aplicables y los modos operativos con respecto a la lista CMVP. Priorice la corrección o sustitución de cualquier módulo no validado e incorpore controles de cumplimiento en los flujos de trabajo de adquisición, ingeniería e implementación. Se debe implementar una supervisión continua para garantizar la validación constante a través de cambios tecnológicos, actualizaciones de software y requisitos en evolución.

Un enfoque sistemático para el cumplimiento de FIPS puede ayudar a reducir el riesgo, facilitar el cumplimiento normativo y la garantía del cliente, y establecer una capacidad repetible para proteger la información confidencial en entornos críticos.

BlackBerry para comunicaciones seguras

Seguridad certificada. Autoridad de confianza.

Las soluciones de comunicaciones seguras de BlackBerry cuentan con la certificación de las autoridades de seguridad más exigentes del mundo, para tus operaciones de misión crítica.

Explore las certificaciones de comunicaciones seguras de BlackBerry.

Preguntas frecuentes

¿Es obligatorio cumplir con la norma FIPS?

El uso de módulos criptográficos validados por FIPS es obligatorio para las agencias federales de EE. UU. a la hora de gestionar datos confidenciales pero no clasificados. Los requisitos suelen extenderse a los contratistas y proveedores mediante cláusulas contractuales o programáticas, y se adoptan ampliamente en otros sectores de alta seguridad.

¿Qué publicaciones se incluyen en FIPS?

Las principales normas FIPS incluyen FIPS 140 (módulos criptográficos), FIPS 180 (hash seguro), FIPS 197 (cifrado) y FIPS 201 (identidad), todas ellas publicadas y mantenidas por el NIST.

¿Cómo se coordina FIPS con otros marcos de cumplimiento?

Las normas FIPS sustentan los requisitos de numerosos marcos, entre ellos FedRAMP, CJIS, HIPAA (cuando están vinculados a programas federales) y mandatos de los gobiernos estatales, y especifican las prácticas aprobadas en materia de criptografía y seguridad operativa.

¿Qué tipos de obligaciones de cumplimiento existen?

Las obligaciones FIPS se clasifican en normativas (legisladas), contractuales (acordadas con clientes o socios) e internas (política corporativa), dependiendo del entorno y el perfil de riesgo.