El Center for Internet Security ha determinado que todo tipo de ataques a agencias gubernamentales aumentaron en el último año. En los Estados Unidos, esto ha sido una preocupación durante décadas, ya que la frecuencia, complejidad e impacto económico de estos ataques han aumentado constantemente.

En respuesta, el gobierno de Estados Unidos se ha comprometido a publicar y actualizar estándares y marcos para la seguridad de la información con el fin de reducir los riesgos y mejorar la seguridad de los datos. NIST 800-171 es uno de estos marcos, diseñado específicamente para proteger datos gubernamentales sensibles que son cruciales para la seguridad nacional y económica de los Estados Unidos, incluyendo la propiedad intelectual.

En esta guía, cubriremos los conceptos básicos de la conformidad con NIST 800-171, incluidos los últimos requisitos y controles, cómo cumplir con ellos y cómo se relaciona con otros marcos federales.

¿Qué es NIST 800-171?

NIST 800-171 es una publicación especial que ofrece recomendaciones para proteger la confidencialidad de la información no clasificada controlada (CUI) en sistemas y organizaciones no gubernamentales. El objetivo principal de NIST 800-171 es asegurar que los datos sensibles relacionados con la seguridad nacional de los Estados Unidos se mantengan seguros cuando sean manejados por contratistas y subcontratistas.

Ejemplos de CUI u otras designaciones incluyen:

• Información de identificación personal (PII)
• Información de propiedad empresarial (PBI)
• Información confidencial empresarial (CBI)
• Información técnica controlada no clasificada (UCTI)
• Información sensible pero no clasificada (SBU)

NIST 800-171 Rev. 3

Publicado en mayo de 2024, NIST 800-171 Rev. 3 es la última versión principal del marco. Esta revisión fue desarrollada para ayudar mejor a las empresas que tienen contratos con el gobierno federal a implementar las salvaguardas específicas especificadas en NIST 800-53 y mantener defensas consistentes contra amenazas emergentes y en evolución a un alto nivel para la CUI.

A continuación, algunas de las principales modificaciones en la Revisión 3:

• Se actualizaron los requisitos y familias de seguridad para reflejar la última versión del NIST SP 800-53, Revisión 5, y específicamente la base de control moderada del NIST SP 800-53B. En particular, se agregaron tres familias de requisitos de seguridad, que comprenden un total de nueve nuevos controles. Estos incluyen la planificación (PL), la adquisición de sistemas y servicios (SA) y la gestión de riesgos en la cadena de suministro (SR), todos los cuales ya son parte del NIST 800-53.
• Además, para reflejar mejor el NIST SP 800-53 Rev. 5, los controles anteriormente designados como Organización No Federal (NFO) se incorporaron en la parte principal de los requisitos del 800-171 como directamente relacionados o se excluyeron como No directamente relacionados con la protección de la confidencialidad del CUI (NCO).
• A pesar de estas adiciones, el número total de controles disminuyó de 110 en la Rev. 2 a 97 en la Rev. 3, ya que se eliminaron muchos controles de la Rev. 2 y/o se integraron en otros controles.
• Las declaraciones de determinaciones en el 800-171A aumentaron de 320 a 422.
• Se realizaron cambios significativos en casi 50 requisitos de seguridad para eliminar ambigüedades, mejorar la eficiencia de implementación y aclarar el alcance de las evaluaciones.
• Se introdujeron parámetros definidos por la organización (ODP) en los requisitos de seguridad seleccionados para aumentar la flexibilidad y apoyar mejor a las organizaciones en la gestión. Estos parámetros son similares a los del NIST 800-53 y FedRAMP.
• Los Otros Controles Relacionados (ORC) se introdujeron como una nueva categoría de ajuste para abordar la redundancia en los requisitos.
• Se eliminaron los niveles básicos/derivados observados en la Revisión 2.

La información a continuación refleja esta última versión del NIST 800-171.

¿A quién se aplica el NIST 800-171?

El NIST 800-171 se aplica a cualquier entidad no federal que maneje, almacene o transfiera CUI, o proporcione protección para dichos componentes en nombre de una agencia federal. Esto incluye contratistas, subcontratistas, proveedores, proveedores de servicios y otras organizaciones que almacenen o compartan dicha información sensible en nombre de una agencia federal.

Mientras que el cumplimiento de NIST 800-171 en contratos con cualquier agencia federal es generalmente un requisito, siempre es necesario en contratos con el Departamento de Defensa (DoD). Los contratistas de defensa están obligados bajo la cláusula DFARS 252.204-7012 a implementar los requisitos de NIST 800-171 para demostrar su provisión de seguridad adecuada, que tiene como objetivo proteger la información de defensa controlada (CDI) contenida en sus contratos de defensa.

Además, los fabricantes que forman parte de la cadena de suministro del DoD, la Administración de Servicios Generales (GSA), la NASA u otras agencias federales o estatales deben implementar los requisitos de seguridad contenidos en NIST SP 800-171.

Requisitos NIST 800-171

NIST 800-171 describe 17 familias de requisitos de seguridad recomendados. Estos representan un subconjunto de los controles NIST 800-53, necesarios para proteger la confidencialidad de CUI en sistemas y organizaciones no federales. Estas familias son:

• Control de Acceso (AC)
• Concienciación y Capacitación (AT)
• Auditoría y Responsabilidad (AU)
• Evaluación y Monitoreo de Seguridad (CA)
• Gestión de Configuración (CM)
• Identificación y Autenticación (IA)
• Respuesta a Incidentes (IR)
• Mantenimiento (MA)
• Control de Medios (MP)
• Seguridad Física (PE)
• Planificación (PL)
• Seguridad del Personal (PS)
• Evaluación de Riesgos (RA)
• Adquisición de Sistemas y Servicios (SA)
• Protección de Sistemas y Comunicaciones (SC)
• Integridad del Sistema y la Información (SI)
• Gestión de Riesgos de la Cadena de Suministro (SR)

Cada familia consta de varios requisitos específicos que las organizaciones deben implementar para garantizar la seguridad de CUI.

Tenga en cuenta que las 17 familias se encuentran en NIST 800-53, pero no todas las familias de NIST 800-53 son parte de NIST 800-171. Las siguientes familias de SP 800-53 no están incluidas en SP 800-171, ya que no están directamente relacionadas con la protección de CUI, se abordan adecuadamente a través de otros controles relacionados o de otro modo no son aplicables: Procesamiento y Transparencia de PII (PT), Gestión del Programa (PM) y Planificación de Contingencias (CP).

Cómo cumplir con NIST 800-171

La conformidad con NIST 800-171 está diseñada para proteger la CUI en sistemas y organizaciones no gubernamentales contra la divulgación no autorizada. Por lo tanto, es obligatoria para contratistas, vendedores y proveedores de servicios federales que almacenan o transmiten CUI para el Departamento de Defensa (DoD).

El incumplimiento puede llevar a la terminación del contrato, suspensión o exclusión del estado del contrato y multas.

Para ayudarle a evitar estas consecuencias, siga los siguientes consejos para cumplir con NIST 800-171:

1. Evalúe su situación de seguridad actual con respecto a los requisitos de NIST 800-171.

El primer paso para cumplir con NIST 800-171 es realizar una evaluación completa de las medidas de seguridad actuales de su organización.

Comience por determinar dónde se encuentra la CUI y cómo circula en sus sistemas. Luego, evalúe sus controles de seguridad existentes en comparación con los requisitos recomendados descritos en NIST 800-171 para identificar brechas. Finalmente, evalúe los riesgos asociados con cada brecha identificada para priorizar las medidas correctivas.

2. Desarrolle un Plan de Seguridad del Sistema (SSP) que describa en detalle cómo se implementará cada control.

Un Plan de Seguridad del Sistema (SSP) es un documento formal que describe los requisitos de seguridad de NIST 800-171 para su sistema de información y los controles de seguridad existentes o planificados para cumplir con estos requisitos. En otras palabras, un SSP define el enfoque de su organización para implementar y gestionar los requisitos de NIST 800-171.

Todos los requisitos de seguridad que aún no se hayan implementado deben documentarse por separado.

3. Elabore un Plan de Acción y Hitos (POA&M) para abordar cualquier deficiencia.

Un POA&M es un documento que describe cuándo y cómo se cumplirá cada requisito de seguridad de NIST 800-171 no implementado y/o vulnerable. Debe incluir los siguientes componentes:

• Descripción de la deficiencia/riesgo : Describa claramente cada requisito de seguridad no implementado y los riesgos asociados con el incumplimiento de este control.
• Plan de corrección : Describa las tareas específicas necesarias para corregir cada deficiencia.
• Hitos : Programe fechas de finalización para cada medida correctiva.
• Asignación de recursos : Identifique los recursos (por ejemplo, personal, presupuesto, herramientas) necesarios para implementar las medidas correctivas.

4. Implemente los controles y prácticas necesarios para cumplir con los requisitos y proteger la CUI.

Una vez que tenga una comprensión clara de las brechas y un plan para abordarlas, el siguiente paso es implementar controles para cumplir con todos los requisitos de NIST 800-171. Esto incluye varias actividades, entre ellas:

• Desarrollo o actualización de políticas organizacionales para alinearse con los requisitos de NIST 800-171.
• Implementación de medidas de protección técnicas como cifrado, autenticación multifactor y controles de acceso seguros.
• Implementación de controles de acceso físicos para asegurar áreas donde se procesa o almacena CUI.
• Organización de entrenamientos regulares para asegurar que todos los empleados entiendan la importancia de los controles de seguridad y sus responsabilidades específicas.
• Establecimiento de prácticas de monitoreo continuo para asegurarse de que los controles funcionen efectivamente. Esto incluye escaneos regulares del sistema, revisiones de registros y evaluaciones de vulnerabilidades.

Realización de evaluaciones y actualizaciones regulares para mantener la conformidad.

Mantener el cumplimiento de NIST 800-171 es un proceso continuo. Se requieren evaluaciones regulares y mejoras continuas para adaptarse a nuevos riesgos y cambios en su entorno organizacional.

El cumplimiento de NIST 800-171 requiere los siguientes elementos:

• Realizar evaluaciones regulares: Realice evaluaciones regulares para verificar la eficacia de los controles implementados e identificar áreas de mejora. Utilice los procedimientos y la metodología de evaluación descritos en NIST SP 800-171A Evaluación de requisitos de seguridad para información controlada no clasificada. Las evaluaciones pueden realizarse como evaluaciones independientes, evaluaciones realizadas por terceros o evaluaciones apoyadas por el gobierno, realizadas por desarrolladores de sistemas, integradores de sistemas, auditores, propietarios de sistemas o personal de seguridad dentro de la organización.
• Actualice su SSP y POA&M: Actualice regularmente su Plan de Seguridad del Sistema y su Plan de Acción y Metas para reflejar cualquier cambio en sus sistemas o procesos.
• Utilice datos para realizar mejoras continuas: Use los resultados de las evaluaciones para implementar lecciones aprendidas y adoptar las mejores prácticas para mejorar continuamente su postura de seguridad.
• Manténgase informado sobre cambios en NIST 800-171: Manténgase al tanto de las actualizaciones de las políticas de NIST 800-171 y otros estándares relevantes de ciberseguridad. Ajuste sus controles y prácticas según sea necesario para seguir cumpliendo.

Siguiendo estos pasos, su organización puede lograr y mantener eficazmente el cumplimiento de NIST 800-171, garantizando la seguridad y confidencialidad de CUI en sus sistemas y su organización.

Para obtener más consejos sobre los pasos y procedimientos necesarios en su camino hacia el cumplimiento de NIST 800-171, utilice la siguiente lista de verificación.

Lista de verificación de cumplimiento de NIST 800-171

Lograr el cumplimiento de NIST 800-171 requiere un enfoque estructurado que abarca una serie de actividades, desde la evaluación inicial hasta la monitorización continua. Descargue esta lista de verificación detallada para guiar a su organización a través de todo el proceso de cumplimiento y proteger el CUI en su organización.

NIST 800-171 versus 800-53

NIST 800-171 y NIST 800-53 son directrices desarrolladas por el NIST, pero sirven para propósitos diferentes. NIST 800-53 ofrece una gama más amplia y completa de medidas de control, desarrolladas para sistemas de información federales. En cambio, NIST 800-171 es una derivación de NIST 800-53, y se enfoca específicamente en la protección de CUI en sistemas no federales. Está adaptado para ser menos restrictivo para contratistas que no necesitan el conjunto completo de controles de NIST 800-53.

CMMC vs NIST 800-171

La Certificación de Modelo de Madurez de Ciberseguridad (CMMC) es un marco integral introducido por el DoD para fortalecer la ciberseguridad de los contratistas dentro de la Base Industrial de Defensa (DIB). El CMMC se basa en NIST 800-171 y en las cláusulas de la serie 252.204.700 del Suplemento de Regulación de Adquisiciones Federales de Defensa (DFARS). El CMMC también incluye un componente de revisión que requiere una evaluación de terceros para garantizar la conformidad. El CMMC es seguido generalmente por todas las empresas y contratistas que operan o quieren operar en la DIB.

La versión más reciente del CMMC, CMMC 2.0, se divide en tres niveles de madurez, cada uno de los cuales se basa en el anterior. La versión anterior de NIST 800-171, Revisión 2, se alinea estrechamente con el Nivel 2 del CMMC y sigue siendo el estándar para los contratistas de la DIB.

Evaluación del DoD NIST SP 800-171

El DoD ha establecido una metodología de evaluación específica para evaluar la implementación de NIST 800-171 para contratistas con contratos que contienen la cláusula DFARS 252.204-7012. Estas evaluaciones se realizan cada tres años.

La evaluación del DoD NIST SP 800-171 consta de tres niveles de evaluación, cada uno de los cuales conduce a un nivel diferente de confianza.

1. Básico: El contratista realiza una autoevaluación de la conformidad con NIST 800-171 basada en una revisión del SSP. Esto conduce a un nivel de confianza "Bajo."
2. Intermedio: Personal capacitado del DoD realiza una evaluación de la conformidad con NIST 800-171 de un contratista basada en una revisión del SSP. Esto conduce a un nivel de confianza "Medio."
3. Alta: En este nivel, un contratista realiza una evaluación básica y presenta los resultados al DoD. Además, el personal capacitado del DoD lleva a cabo una evaluación de conformidad del contratista con NIST 800-171, que se basa en una revisión exhaustiva en sitio o virtual del SSP del contratista y la implementación de los requisitos de seguridad de NIST SP 800-171. Esto resulta en un nivel de confianza 'Alto'.

Para cada evaluación, los contratistas son calificados por la cantidad de requisitos NIST 800-171 que han cumplido. La evaluación resumida para las evaluaciones básicas realizadas por los contratistas y para las evaluaciones medias y altas realizadas por el DoD se publica luego en el Supplier Performance Risk System (SPRS). Esto ayuda al DoD a formar alianzas estratégicas con contratistas y subcontratistas que han demostrado que ofrecen una 'protección adecuada' para proteger la información relacionada con la defensa.

Simplifique el cumplimiento del NIST 800-171 con Secureframe

Secureframe puede ayudar a automatizar el trabajo manual necesario para alcanzar y mantener el cumplimiento del NIST 800-171, comenzando con el análisis de brechas. Una vez que haya integrado los programas de software y herramientas relevantes que usa diariamente, podrá ver exactamente lo que debe hacer para cumplir con los requisitos del NIST 800-171 basándose en sus configuraciones únicas y su infraestructura de TI. A medida que avanza en el marco y completa actividades dentro de la plataforma Secureframe, esta se actualiza para mostrar su porcentaje de progreso hacia el cumplimiento del NIST 800-171.

Para seguir reduciendo el tiempo y los costos asociados con alcanzar y mantener el cumplimiento del NIST 800-171, Secureframe ofrece:

• Experiencia en cumplimiento federal : Un equipo de soporte dedicado con ex auditores y consultores de FISMA, FedRAMP y CMMC, que pueden guiarlo a través de la preparación federal, auditorías y actualizaciones de conformidad.
• Integraciones con nubes federales : Captura automática de evidencias desde el stack tecnológico existente, incluidas variantes de nubes gubernamentales como AWS GovCloud
• Políticas, procedimientos y plantillas prefabricadas y personalizables : Políticas, procedimientos y SSP prefabricados y personalizables para satisfacer las necesidades, así como plantillas adicionales como la matriz de delimitación de tareas, documentos POA&M, evaluaciones de impacto y listas de control de preparación.
• Capacitación en la plataforma : Capacitación propietaria para empleados que cumplan con los requisitos federales, incluidas capacitaciones sobre amenazas internas y capacitaciones basadas en roles que son revisadas y actualizadas anualmente por expertos en cumplimiento.
• Controles de acceso basados en roles : Controles de acceso a datos basados en roles y en el principio de necesidad de saber.
• Controles y pruebas personalizadas: Soporte para implementaciones definidas por la organización para NIST 800-53 y otros marcos
• Red de socios de confianza: Relaciones con organizaciones certificadas de evaluación de terceros (3PAO) y C3PAO que apoyan diversas auditorías federales
• Mapeo cruzado entre marcos: Mapeo automatizado de esfuerzos de cumplimiento a través de múltiples marcos para una eficiencia óptima, de modo que nunca tenga que empezar desde cero
• Monitoreo continuo: Monitoreo 24/7 que le alerta sobre no conformidades, así como soporte para el registro de riesgos y la digitalización de vulnerabilidades para un monitoreo y mantenimiento continuos del POA&M

Para obtener más información sobre cómo Secureframe puede ayudarlo a cumplir con NIST 800-171, agende una demo.