Logotipo: Pure Storage
Inicio del blog

¿Qué es el modo FIPS?

Cuando un sistema está en modo FIPS, está restringido a algoritmos y protocolos criptográficos que cumplen con una norma federal de los EE. UU. para el cumplimiento de la seguridad.

Compartir:

image_pdfimage_print

En un artículo anterior, explicamos cuáles son los Estándares Federales de Procesamiento de la Información (FIPS, Federal Information Processing Standards) y cómo hacerlo todos los días, se les confían a los organismos gubernamentales datos que pueden afectar vidas, seguridad nacional y la fe del público en el gobierno mismo. Ya sea que se trate de un departamento de policía de la ciudad que analiza imágenes de cámaras corporales, una agencia de salud que administra registros médicos o un contratista federal que procesa documentos clasificados, los riesgos son altos. En este entorno, la inteligencia artificial (AI) cambia el juego, pero solo si la infraestructura de datos subyacente es segura, resistente y cumple con los más altos estándares.

Allí es donde entran en juego los Estándares Federales de Procesamiento de Información (FIPS, Federal Information Processing Standards). En general, ya profundizamos en FIPS.  En este blog, nos enfocaremos más en qué es el modo FIPS y la validación de FIPS y cómo permiten la ciberresiliencia dentro de una empresa. 

Resumen rápido: ¿Qué son los estándares federales de procesamiento de información (FIPS)?

Establecida en 1974, las Normas Federales de Procesamiento de la Información (FIPS, Federal Information Processing Standards) son un conjunto de normas federales de seguridad diseñadas para proteger los datos y sistemas sensibles que aprovechan las agencias gubernamentales de los EE. UU. y los contratistas y proveedores con los que trabajan. Están específicamente diseñadas para informar el funcionamiento de los módulos criptográficos, algoritmos que encriptan los datos almacenados dentro del sistema o dispositivo. 

Los módulos de encriptación para la tecnología de la información y los programas de seguridad informática que se ejecutan en modo FIPS realizarán funciones que cumplen con FIPS, como la generación de claves, el encriptado y el descifrado. 

¿Qué es NIST?

Imagine los primeros días del gobierno digital: datos dispersos entre mainframes, poca estandarización y una creciente conciencia de que la información, ya sea un número de Seguro Social o un plan de defensa, era tanto un activo como un objetivo. El Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, NIST) surgió como la respuesta del gobierno federal a este desafío, desarrollando un conjunto integral de pautas, controles y mejores prácticas para ayudar a las agencias a proteger su información más sensible.

Las normas de seguridad del NIST son más que solo listas de verificación técnicas. Son un marco vivo para la gestión de riesgos, diseñado para ayudar a las agencias a:

  • Identificar y evaluar vulnerabilidades
  • Detecte y responda a amenazas cibernéticas
  • Recupérese de los incidentes y mantenga la continuidad operativa

Los marcos del NIST, como el marco de seguridad cibernética (CSF) 2.0 y la serie 800 de publicaciones especiales (SP), se han convertido en el estándar de referencia no solo para las agencias federales, sino para cualquier organización, pública o privada, que desee demostrar un compromiso con la seguridad, la transparencia y la confianza pública.

FIPS: El estándar federal para la seguridad de datos

Ahora, volvamos a acercarnos a FIPS. Desarrollado y mantenido por el NIST, FIPS proporciona la columna vertebral técnica para la seguridad de datos federales, especialmente en torno al cifrado y los módulos criptográficos. Si está almacenando, transmitiendo o procesando datos confidenciales del gobierno, FIPS no es opcional, es obligatorio.

¿Cómo es el cumplimiento de FIPS en la práctica?

Encriptación: Todos los datos sensibles, ya sea en reposo o en tránsito, deben protegerse mediante algoritmos criptográficos validados por FIPS (como AES-256).

  • Seguridad física: El hardware (como las matrices de almacenamiento) debe estar protegido en centros de datos seguros, con estrictos controles de acceso y monitoreo.
  • Autenticación: Los sistemas deben usar mecanismos de autenticación seguros, incluida la autenticación multifactor y los tokens criptográficos, para evitar el acceso no autorizado.
  • Auditoría y monitoreo: Los sistemas que cumplen con FIPS deben registrar todos los eventos de seguridad, lo que permite a las agencias detectar y responder a los incidentes rápidamente.

Para las agencias federales, los contratistas y cualquier organización que trabaje con datos gubernamentales, el cumplimiento de FIPS suele ser el guardián de los contratos, las subvenciones y la financiación continua. Pero es más que un obstáculo de adquisición: es una señal para el público de que su información está siendo protegida con el máximo cuidado.

¿Qué es el modo FIPS?

El modo FIPS es una configuración disponible en ciertos sistemas de hardware y software, como matrices de almacenamiento de datos, sistemas operativos y dispositivos de red. Cuando está habilitado, el modo FIPS garantiza que el sistema utilice solo algoritmos y módulos criptográficos validados por FIPS para el cifrado y otras funciones de seguridad. Esto ayuda a proteger los datos confidenciales y cumplir con los requisitos regulatorios para las organizaciones que manejan información clasificada o confidencial. Si bien la ejecución en modo FIPS no garantiza que un sistema cumpla completamente con los FIPS, es un paso fundamental para lograr el cumplimiento, especialmente cuando se combina con otras medidas de seguridad y procesos de validación.

Preguntas frecuentes sobre el modo FIPS

1. ¿Se puede desactivar el modo FIPS?

Sí, el modo FIPS se puede desactivar. Cuando el modo FIPS está deshabilitado, las funciones que no cumplen con FIPS ya no están restringidas.

2. ¿Qué tecnología se puede poner en modo FIPS?

Cualquier tecnología o sistema que pueda ejecutar algoritmos u operaciones de encriptación compatibles con FIPS se puede poner en modo FIPS. 

Hardware que se puede poner en modo FIPS

Los tipos de hardware que se pueden poner en modo FIPS incluyen hardware que realiza funciones criptográficas, como:

  • Matrices de almacenamiento de datos (p. ej., unidades de autoencriptación)
  • Dispositivos de red, como enrutadores, firewalls e conmutadores de red
  • Dispositivos de seguridad
Software que puede tener habilitado el modo FIPS

Los tipos de software que pueden tener habilitado el modo FIPS incluyen sistemas o software que ejecutan módulos de encriptación, como:

  • Sistemas operativos
  • Software de encriptación
  • Redes privadas virtuales (VPN)
  • Sistemas de detección de intrusos de red o software SIEM

3. ¿Qué redes e industrias necesitan el modo FIPS?

Las redes o industrias que necesitan el modo FIPS están obligadas por contrato y, por lo general, son aquellas redes dentro de los Estados Unidos que manejan información clasificada para el gobierno de los Estados Unidos. Estos pueden incluir:

  • Redes federales y gubernamentales
  • Redes de cumplimiento de la ley, seguridad nacional y defensa nacional
  • Redes de atención de la salud
  • Redes militares
  • Infraestructura crítica, incluido el sector de servicios públicos, energía, energía y redes de red eléctrica

Modo FIPS: Más que un cambio: una mentalidad de seguridad

Piense en el modo FIPS como un “bloqueo” de seguridad. Cuando un sistema o dispositivo de almacenamiento funciona en modo FIPS, solo utiliza funciones criptográficas validadas por FIPS. Los algoritmos que no cumplen están deshabilitados. Esto garantiza que cada bit y byte, ya sea un documento clasificado o el registro de salud de un ciudadano, esté cifrado y protegido de acuerdo con los estándares más rigurosos.

Pero el modo FIPS es solo una parte de la historia, porque también hay validación de FIPS. La verdadera validación de FIPS significa que el producto ha sido probado y certificado de forma independiente por laboratorios acreditados, y cada función criptográfica ha sido examinada en busca de vulnerabilidades. Para las agencias gubernamentales, esto no se trata solo del cumplimiento, se trata de la resiliencia frente al ransomware, las amenazas internas y los adversarios entre nación y estado.

Obtenga más información sobre el cumplimiento de FIPS y cómo se determina.

¿De qué manera la validación de FIPS potencia la ciberresiliencia?

Para las agencias gubernamentales y las organizaciones reguladas, la validación de FIPS es más que una casilla de verificación de cumplimiento: es la piedra angular de una postura de ciberseguridad resiliente y defendible. Al adherirse al FIPS, las organizaciones obtienen no solo una encriptación sólida, sino también un enfoque holístico y estandarizado para proteger los datos sensibles y mantener los sisgemas funcionando frente a las amenazas en evolución.

Protección de datos sin concesiones

Los sistemas de almacenamiento validados por FIPS utilizan módulos criptográficos rigurosamente probados, como la encriptación AES-256, para proteger los datos tanto en reposo como en tránsito. Esto significa que incluso si un adversario obtiene acceso físico a los medios de almacenamiento, la información sigue siendo indescifrable e inutilizable. La filosofía de “encriptar todo” que exige FIPS garantiza que todos los datos, independientemente de dónde residan, estén protegidos sin degradar el rendimiento del sistema. Para las agencias que manejan información sensible pero no clasificada (SBU), este nivel de garantía es fundamental, especialmente a medida que los adversarios cibernéticos se vuelven más sofisticados.

Arquitectura de seguridad multicapa

El cumplimiento de FIPS se extiende mucho más allá del cifrado. Requiere un marco de seguridad integral que aborde:

  • Seguridad física: Las normas de FIPS exigen controles estrictos sobre la infraestructura física, incluidos centros de datos seguros, restricciones de acceso, vigilancia y salvaguardas ambientales para evitar la manipulación o el robo no autorizados.
  • Autenticación: Los mecanismos de autenticación seguros, como la autenticación multifactor y los tokens criptográficos, son necesarios para garantizar que solo el personal autorizado pueda acceder a los sistemas y datos críticos.
  • Auditoría y monitoreo: Los sistemas que cumplen con FIPS deben proporcionar capacidades sólidas de registro, monitoreo e informes. Esto permite la detección en tiempo real de actividades sospechosas, admite la respuesta a incidentes y cumple con los requisitos de informes regulatorios.

Defensa contra Ransomware y recuperación ante incidentes

Con los ataques de ransomware en aumento, el almacenamiento compatible con FIPS ofrece una línea de defensa crucial. Al hacer cumplir una encriptación sólida, controles de acceso y gestión de claves, las organizaciones pueden evitar que los actores maliciosos encripten o exfiltren datos, incluso si se violan las defensas perimetrales. Los controles estandarizados requeridos por FIPS ayudan a garantizar que, en caso de ataque, los datos críticos permanezcan protegidos y recuperables, lo que minimiza el tiempo de inactividad y la pérdida de datos.

Permitir la continuidad del negocio y la confianza pública

La implementación de soluciones validadas por FIPS ofrece beneficios tangibles más allá de la seguridad técnica:

  • Alineación regulatoria: El cumplimiento de FIPS respalda el cumplimiento de otros mandatos como HIPAA, FISMA y CMMC, lo que reduce la complejidad del cumplimiento y los gastos generales de auditoría.
  • Acceso al mercado: Para las agencias gubernamentales y los contratistas, la validación de FIPS suele ser un requisito previo para hacer negocios, abrir puertas a nuevos contratos y oportunidades de financiación.
  • Reputación y confianza: Demostrar señales de cumplimiento de FIPS a ciudadanos, socios y organismos de supervisión de que su organización toma en serio la protección de datos, lo que refuerza la confianza pública.

Estandarización para la interoperabilidad

FIPS proporciona una línea de base de seguridad común entre agencias y proveedores, lo que permite el intercambio de datos seguro y la interoperabilidad independientemente de la plataforma o la pila de tecnología. Esta estandarización es esencial para las operaciones gubernamentales modernas, donde la colaboración y el intercambio de datos son de misión crítica.

Conclusiones

El modo FIPS es una configuración muy específica para dispositivos y sistemas que deben cumplir con FIPS, pero es importante tener en cuenta que no es un conjunto ni será apropiado para cada dispositivo o sistema. No todos los dispositivos de almacenamiento de datos pueden cumplir con FIPS o ejecutarse en modo FIPS. Si necesita un dispositivo de almacenamiento de datos que cumpla con FIPS, busque una matriz de almacenamiento que indique explícitamente el cumplimiento de FIPS en la documentación de su sistema (p. ej., especificaciones técnicas y manuales de usuario), verifique la documentación de un proveedor o comuníquese con asistencia técnica.

Navigating changes at Broadcom VMware by modernizing your virtualization strategy for future flexibility, certainty and scale

GUÍA DEL COMPRADOR, 14 PÁGINAS

Una guía del comprador para la virtualización moderna

Lea la guía del comprador

Escrito por:

Carrie Parecki

Pure’s Government Solutions

Learn all about Pure’s government data center solutions!

Read the Solutions Brief

Top Stories