Las mejores prácticas para contraseñas, MFA y control de acceso

Imagine que su organización acaba de ganar un contrato para administrar datos confidenciales de la aplicación de la ley: podría ser un proveedor de la nube, un proveedor de software o una empresa de análisis. No pasará mucho tiempo antes de que el CJIS estuviera a la cabeza.

Usted sabe que la política de seguridad de los servicios de información de justicia penal del FBI rige cómo los antecedentes penales, las huellas digitales y los archivos de investigación deben estar protegidos, pero más allá, todo esto parece un poco opaco.

Ya sea que sea un veterano o nuevo profesional de seguridad en el mundo de los datos de justicia penal, es esencial comprender la conformidad de los CJI. Comenzaremos explorando el origen y Meta de CJIS: Por qué existe y por qué es importante para cada organización que está más cerca de la información sobre la justicia penal.

Luego, prestaremos especial atención a los pilares de la identidad (contraseñas, autenticación multifactorial y controles de acceso estrictos) y cómo integrar estos controles de manera transparente en su entorno.

¿Qué es CJIS?

El CJIS retuvo sus raíces a fines de la década de 1990, cuando el FBI consolidó varias bases de datos criminales estatales y locales en un solo sistema nacional. Hoy, sirve como un centro nervioso para compartir datos biométricos, antecedentes penales e información táctica entre las agencias federales, estatales, locales y tribales.

Básicamente, la política de seguridad de CJI existe para garantizar que cada parte que afecte estos datos (gobierno o empresario privado) se adhiera a un estándar de seguridad uniforme. Cuando piensas que “CJIS”, piensa en “un canal de guardia inquebrantable”, desde el momento en que los datos abandonan la terminal móvil de una patrulla hasta que se archiva en un laboratorio forense.

¿Quién necesita cumplir?

Puede suponer que los CJIS solo se refieren a los servicios policiales, porque es la política del FBI. En realidad, la red es mucho más amplia:

  • Organizaciones de aplicaciones (SLTF): cada agencia estatal, local, tribal y federal que almacena o cuestiona la información de la justicia penal.
  • Terceros vendedores e integradores: si su software Ingège, Process o Stockke CJI Data (sistemas de gestión de registros, servicios de verificación de historial, proveedores de alojamiento en la nube), usted es el paraguas de política.
  • Fuerzas laborales multi-legales: incluso las coaliciones temporales que comparten acceso entre diferentes agencias deben cumplir durante la duración de su colaboración.

Conclusión: si sus sistemas nunca ven huellas digitales, hojas de rap o periódicos de distribución, se aplican CJIS.

El informe de consulta de datos de Verizon ha revelado que la información de identificación robada está involucrada en el 44.7% de las violaciones.


Asegure sin esfuerzo Active Directory con políticas de contraseña conformes, bloqueando más de 4 mil millones de contraseñas comprometidas, estimulando la seguridad y recortando a los trabajadores de apoyo.

Pruébalo gratis

Requisitos clave

Los CJI afectan a muchas áreas (seguridad física, verificación del historial del personal, respuesta de incidentes), pero su corazón latido es la identidad y la gestión de acceso. Cuando el FBI verifica su entorno, quieren saber tres cosas: ¿quién tiene acceso qué? ¿Cómo demostraron quiénes eran? ¿Y se les ha permitido verlo? Aprovechemos la historia:

  • Identidades únicas y responsabilidad innegable: Cada individuo debe tener su propia identificación de usuario. Las cuentas genéricas o compartidas están prohibidas. Esto ayuda a reanudar acciones a personas específicas.
  • Contraseñas seguras: CJIS requiere al menos contraseñas de 12 características, la mezcla de capital, el pequeño, los números y los símbolos. Sin embargo, en Specop, le recomendamos que vaya más allá y Aplicar más de 16 características de características. Los CJI también lo obligan a aplicar el historial (sin reutilización de las últimas 24 contraseñas) y a bloquear las cuentas después de no más de cinco intentos fallidos.
  • MFA como otra capa de defensa: Una contraseña por sí sola ya no es suficiente. Los CJI requieren dos factores Para cualquier acceso no consolado: algo que sabe (su contraseña) más algo que tiene (un token de material, el autenticador del teléfono, etc.). Al separar estos factores, Reducir el riesgo de referencias de compromiso.
  • Privilegio menor y recernificaciones trimestrales: Da solo las autorizaciones que cada usuario necesita para hacer su trabajo, y no más. Luego, cada 90 días, reúne a sus propietarios de sistemas y revise quién necesita qué acceso. Los usuarios modifican los roles, los proyectos finales y las cuentas inactivas acumulan riesgos.
  • Senderos de auditoría y periódicos inmutables: La periodización de cada evento de autenticación, cambio de privilegio y solicitud de datos no es negociable. CJIS obliga al menos 90 días de retención de periódicos en el sitio, más un año fuera del sitio. De esta manera, si tiene que reconstruir un incidente o responder la pregunta de un verificador, sus periódicos cuentan toda la historia sin deficiencias.
  • Cifrado de red y segmentación: Los datos deben viajar y descansar bajo una capa de criptografía validada por FIPS: TLS 1.2+ para datos de vuelo, AES-256 para el almacenamiento. Más allá del cifrado, separe su entorno CJIS del resto de su red comercial. Los firewalls, las VLAN o los pinchazos aéreos mantienen sus sistemas más sensibles aislados de las operaciones diarias.

Consecuencias del incumplimiento

Imagine esto: un conjunto de identificación violado deja una base de datos CJIS abierta a Internet. Una hazaña pirata, lo que significa que las huellas digitales y el historial criminal de miles se comprometen durante la noche.

Los beneficios son rápidos:

  • Acceso a CJI suspendidos: El FBI puede retirar la conexión de su agencia, deteniendo las encuestas.
  • Examen regulatorio y multas: Las organizaciones estatales y federales pueden percibir sanciones y pueden seguir los procedimientos civiles.
  • Daño de reputación: La noticia de una violación erosiona la confianza pública en las capacidades de su negocio.

Obtenga CJI correctas con herramientas de tercera parte

El cumplimiento no es solo para verificar las casillas. Se trata de integrar profundamente la seguridad en sus procesos, por lo que puede probarlo en el momento de la auditoría y presionar los ataques día a día.

Así es como las especificaciones pueden simplificar su viaje CJIS:

  • Política de especificaciones de contraseña Le permite hacer cumplir una política de contraseña sólida. Integra directamente las reglas de complejidad, rotación e historial aprobadas por CJIS directamente en Active Directory. Su Active Directory también se analizará constantemente en una base de datos de 4 mil millones de contraseñas comprometidas, informando a los usuarios finales con contraseñas de violación para que cambien de inmediato.
  • Acceso seguro Estudia tu juego de MFA con factores de autenticación menos resistentes a la ingeniería social y el phishing.
  • Especificaciones ureset Ofrezca a los usuarios un portal de autoservicio (protegido por MFA) para desbloquear sus cuentas publicitarias de manera segura. Se registra cada reinicio, calendario y para declarar, marque la casilla de auditoría sin una montaña de boletos de ayuda.

Estas soluciones comparten un tema común: están de acuerdo con su Domaine Active Directory existente, minimizan los costos administrativos generales y le brindan evidencia clara y verificable de los controles de acuerdo con CJIS.

¿Quiere saber que los productos Specop podrían adaptarse a su organización? Contacto y organizaremos una demostración.

Patrocinado y escrito por Software de especificación.

Exit mobile version