Para proteger la información sensible y la infraestructura crítica, el gobierno de los Estados Unidos ha creado varios estándares y marcos para la seguridad de la información, con el fin de mitigar riesgos y mejorar la seguridad de los datos. Uno de estos marcos cruciales es el NIST 800-53.

El NIST 800-53 sirve como un plan para la implementación de controles de seguridad y privacidad, asegurando la confidencialidad, integridad y disponibilidad de la información y los sistemas federales, así como la confidencialidad de las personas. Ofrece un enfoque estructurado para la gestión de riesgos cibernéticos, protegiendo la infraestructura crítica de los Estados Unidos y asegurando los sistemas de información que apoyan las operaciones y activos esenciales en el sector público y privado.

En este artículo de blog, exploraremos los matices del cumplimiento con NIST 800-53, discutiendo sus principios básicos, sus familias de controles, requisitos de contraseña, certificación, modelo de riesgo y mucho más.

¿Qué es el NIST 800-53?

El NIST 800-53 del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) es un estándar y marco de seguridad creado por el gobierno de los Estados Unidos que ayuda a las organizaciones a diseñar y administrar sus sistemas de seguridad de la información, y a cumplir con la Ley de Modernización de la Seguridad de la Información Federal (FISMA, por sus siglas en inglés).

Dado que el marco incluye controles básicos de seguridad y privacidad para los sistemas y organizaciones de información federales, el NIST 800-53 es obligatorio para las agencias federales. Además, cualquier organización que trabaje con el gobierno federal o transporte datos federales puede estar obligada a cumplir con el NIST 800-53 o el NIST CSF para mantener la relación. Sin embargo, el NIST 800-53 está diseñado para ser aplicable a una amplia gama de organizaciones en los sectores público y privado.

NIST 800-53 Rev 5

La NIST 800-53 Rev. 5, publicada en septiembre de 2020, es la versión principal más reciente del marco. Esta revisión fue diseñada para proporcionar la "nueva generación" de controles de seguridad y privacidad que 1) son aplicables a todo tipo de plataformas de TI, incluidas las basadas en la nube, dispositivos móviles, dispositivos del Internet de las cosas (IoT) y más, y 2) ayudar a que los sistemas de información federales sean más resilientes frente a intrusiones y ciber-resilientes, limitando los daños por ataques cuando ocurren y protegiendo la privacidad de las personas.

Aquí hay algunos de los cambios más significativos de la Revisión 5:

• Los controles se reformularon para ser más orientados a resultados.
• Los controles de seguridad de la información y protección de datos se consolidaron en un único catálogo de controles.
• Se estableció una nueva familia de controles para la gestión de riesgos de la cadena de suministro.
• Los procesos de selección de controles se separaron de los controles, permitiendo que distintos grupos, incluidos ingenieros de sistemas, desarrolladores de software, propietarios de negocios y más, pudieran utilizarlos.
• Los fundamentos de los controles y las directrices de ajuste se eliminaron y se trasladaron a un documento separado, el NIST SP 800-53B, Fundamentos de los controles para sistemas de información y organizaciones.
• Se añadieron nuevos controles basados en la información más reciente sobre amenazas y datos de ciberataques, incluyendo controles para respaldar la ciberresiliencia.

Familias de controles NIST 800-53

NIST 800-53 contiene más de 1000 controles. Estos están organizados en 20 familias, cada una de las cuales cubre un aspecto específico de la ciberseguridad y la protección de datos, con el fin de simplificar el proceso de selección y especificación de controles de seguridad y protección de datos.

Las 20 familias de controles NIST 800-53 se enumeran a continuación con su identificación de dos dígitos.

• Control de acceso (AC)
• Conciencia y capacitación (AT)
• Auditoría y responsabilidad (AU)
• Evaluación, autorización y monitoreo (CA)
• Gestión de configuración (CM)
• Planificación de continuidad (CP)
• Identificación y autenticación (IA)
• Respuesta a incidentes (IR)
• Mantenimiento (MA)
• Protección de medios (MP)
• Protección física y ambiental (PE)
• Planificación (PL)
• Gestión de programas (PM)
• Seguridad del personal (PS)
• Procesamiento y transparencia de datos (PT)
• Evaluación de riesgos (RA)
• Adquisición de sistemas y servicios (SA)
• Protección de sistemas y comunicaciones (SC)
• Integridad de sistemas e información (SI)
• Gestión de riesgos en la cadena de suministro (SR)

Tenga en cuenta que las familias están ordenadas alfabéticamente por sus identificadores y no por su importancia o el orden de implementación de los controles dentro de cada familia.

Controles NIST 800-53

Dentro de cada familia de controles, el NIST 800-53 describe controles específicos que están diseñados para gestionar los riesgos relacionados con la seguridad de la información y la privacidad, y cumplir con los requisitos de seguridad y privacidad que se imponen a una organización. Estos requisitos incluyen tanto requisitos legales y políticos como las necesidades de las partes interesadas de diversas fuentes, como leyes, órdenes ejecutivas, políticas, reglamentos, directrices, estándares, necesidades de misión y negocios o evaluaciones de riesgos.

Los controles son las medidas de protección que una organización implementa para cumplir con sus requisitos únicos de seguridad de la información y privacidad. Estos incluyen

• medidas técnicas como cifrado y segmentación de red;
• medidas administrativas como capacitación en concienciación de seguridad y planificación de respuesta a incidentes; y
• medidas físicas como controles de acceso, por ejemplo, áreas controladas, entradas aseguradas, personal de seguridad y cerraduras.

Existen más de 1,000 controles en el marco NIST 800-53. Las organizaciones se enfrentan al desafío de seleccionar los controles más adecuados que puedan proteger sus objetivos de misión y negocios y gestionar los riesgos de seguridad y privacidad. Para apoyarlas en su proceso de selección, el NIST 800-53 define líneas base o un conjunto generalizado de controles que una organización puede usar como punto de partida y ajustar para crear una solución más específica. Veamos más de cerca el concepto de líneas base.

Líneas base de control NIST 800-53

En general, el NIST 800-53 ofrece cuatro líneas base de control, tres para seguridad y una para privacidad.

Las tres líneas base de controles de seguridad son conjuntos mínimos de controles para los sistemas de información federales basados en su nivel de impacto: Bajo, Medio o Alto. Este nivel de impacto se determina por:

• la criticidad y sensibilidad de la información que estos sistemas procesan, almacenan o transmiten, y
• los posibles efectos adversos en las operaciones organizativas, los activos organizacionales, las personas, otras organizaciones o la nación en caso de una pérdida de confidencialidad, integridad o disponibilidad.

Todas las organizaciones deben implementar los controles que se asignan a su respectiva línea base de control de seguridad. El número de controles en cada línea base es proporcional a los riesgos resultantes de la pérdida de confidencialidad, integridad y disponibilidad. Los sistemas con impacto bajo, que representan un riesgo bajo, tienen el menor número de controles en la línea base Bajo y pueden considerarse los menos estrictos. Los sistemas con alto impacto, que representan el riesgo más grave, tienen el mayor número de controles en la línea base Alto y pueden considerarse los más estrictos. Sin embargo, no todos los controles que afectan la seguridad se asignan a esta línea base.

En el NIST 800-53 solo hay una línea base de privacidad. Esta se aplica a cualquier sistema que procese datos personales (PII), independientemente del nivel de impacto. Esto significa que, si un sistema procesa PII, la organización debe implementar los controles asignados a la línea base de privacidad. Al igual que con las líneas base de seguridad, no todos los controles que afectan los riesgos de privacidad se asignan a la línea base de privacidad.

Para entender cómo las líneas base afectan los controles que una organización puede implementar, veamos ejemplos de familias de controles específicas.

Tomemos, por ejemplo, la familia de controles de Control de Acceso (AC). Supongamos que una organización elige la línea base Bajo. Entonces debe implementar los siguientes controles:

• AC-1 Políticas y procedimientos
• AC-2 Administración de cuentas
• AC-3 Control de acceso a aplicaciones
• AC-7 Intentos fallidos de inicio de sesión
• AC-8 Notificación de uso del sistema
• AC-14 Acciones permitidas sin identificación y autenticación
• AC-17 Acceso remoto
• AC-18 Acceso inalámbrico
• AC-19 Control de acceso para dispositivos móviles
• AC-20 Uso de sistemas externos
• AC-22 Contenido de acceso público

Si una organización elige la base de seguridad Moderada, debe implementar los controles mencionados anteriormente, así como AC-4 Aplicación del flujo de información, AC-5 Separación de deberes, AC-6 Privilegio mínimo, AC-11 Bloqueo de dispositivos, AC-12 Terminación de la sesión y AC-21 Intercambio de información.

Si una organización elige la base de seguridad Alta, debe implementar todos los controles mencionados anteriormente, así como el control AC-10 Control de sesiones concurrentes.

Tomemos la familia de Respuesta a Incidentes como otro ejemplo. Supongamos que una organización elige la base de seguridad Baja. Entonces debe implementar los siguientes controles:

• IR-1 Políticas y procedimientos
• IR-2 Capacitación en respuesta a incidentes
• IR-4 Gestión de incidentes
• IR-5 Monitoreo de incidentes
• IR-6 Reporte de incidentes
• IR-7 Asistencia en respuesta a incidentes
• IR-8 Plan de respuesta a incidentes

Si una organización que elige la base de seguridad Baja también procesa PII, debe implementar adicionalmente el control IR-3 Pruebas de respuesta a incidentes, además de los controles mencionados anteriormente, para cumplir tanto con la base de seguridad Baja como con la base de confidencialidad.

El incumplimiento de la implementación de controles de acuerdo con los requisitos de NIST 800-53 puede resultar en la pérdida de un contrato federal, problemas reportados al Congreso y multas.

NIST 800-171 vs 800-53

Dado que NIST 800-53 se considera el estándar para la seguridad de los datos federales, se han desarrollado varias variantes para diferentes propósitos y audiencias, incluidas NIST 800-171, FedRAMP y CJIS.

NIST 800-171 fue desarrollado para contratistas, proveedores y prestadores de servicios federales, para ayudarlos a gestionar información controlada no clasificada (CUI) y proteger los sistemas de información del gobierno federal. NIST 800-53 fue desarrollado para agencias federales, contratistas y cualquier organización que transporte datos federales, para ayudarlos a construir sistemas de información seguros y resilientes para el gobierno federal.

Cómo lograr el cumplimiento de NIST 800-53

Los siguientes pasos pueden guiarlo a través de todo el proceso de cumplimiento de NIST 800-53.

1. Defina sus requisitos de seguridad de la información y privacidad.

Para informar el proceso de selección y especificación de los controles NIST 800-53, primero debe comprender y definir qué obligaciones de seguridad de la información y privacidad se imponen a su organización.

Estas pueden incluir requisitos legales y de políticas del FISMA, la Ley de Privacidad de 1974, las directrices de la OMB y los Estándares Federales de Procesamiento de Información designados (FIPS), así como las necesidades de las partes interesadas que surjan de leyes, órdenes ejecutivas, políticas, regulaciones, directrices, estándares, requisitos de misión y negocios o evaluaciones de riesgos.

2. Determine su base de controles de seguridad y si la base de controles de privacidad es aplicable.

A continuación, debe seleccionar una base de controles de seguridad basada en el nivel de impacto del sistema.

Para evaluar el nivel de impacto de su sistema de información, debe compilar un inventario de

• los tipos de información que se transmiten, almacenan o procesan y los componentes del sistema de información asociados, categorizados según su riesgo de seguridad
• todos los componentes del sistema de información con la información de seguimiento requerida
• todos los componentes del sistema de información dentro del límite de autorización, representados en un diagrama de arquitectura de red
• todos los flujos de datos entre los componentes del sistema de información, representados en un diagrama de flujo de datos

Una vez que se ha creado este inventario, puede categorizar el sistema de información en función del nivel de impacto potencial sobre la confidencialidad, integridad y disponibilidad de los sistemas e información (basado en FIPS 199). A partir de ahí, puede seleccionar la base de controles de seguridad correspondiente.

La tabla a continuación muestra las relaciones entre los niveles de impacto y las bases de control.

En este punto, también debe determinar si la base de controles de privacidad es aplicable a su organización. Por lo general, este es el caso si su organización procesa información de identificación personal (PII).

3. Ajuste su base de controles de seguridad (y, si corresponde, también la base de controles de privacidad).

Como se mencionó anteriormente, las bases de controles de seguridad y privacidad son solo un punto de partida. Las organizaciones pueden agregar controles para especializar o ajustar los controles básicos según diferentes factores, incluidas sus misiones y tareas comerciales específicas, los entornos en los que operan sus sistemas y las amenazas y vulnerabilidades que pueden afectar sus sistemas.

El proceso de ajuste incluye varias acciones, como:

• identificar y nombrar controles comunes, o controles cuya implementación da lugar a una capacidad de protección que puede ser heredada por varios sistemas o programas.
• complementar los controles básicos con controles de seguridad adicionales, basados en los riesgos identificados.
• selección de controles de seguridad compensatorios o controles que proporcionan una protección equivalente o comparable para un sistema u organización en comparación con los controles básicos.
• asignar valores específicos a los parámetros de control de seguridad establecidos por la organización
• Aplicación de consideraciones contextuales, como la escalabilidad o la infraestructura tecnológica, a la aplicabilidad e implementación de los controles básicos.
• Proporcione información adicional de especificaciones para la implementación de los controles.

4. Implemente los controles seleccionados o elabore un plan para ello.

Es ahora el momento de comenzar con la implementación de su base de control personalizada.

Primero, documente cómo se implementará cada control según la base de control correspondiente en un plan de seguridad y privacidad (referencia a NIST 800-18).

Este plan debe incluir lo siguiente:

• Todas las actividades de adecuación mencionadas anteriormente.
• Responsabilidades para el desarrollo, implementación, evaluación y monitoreo de los controles.
• Responsabilidades y normas de comportamiento de todas las personas que tienen acceso al sistema de información.
• La política y los procedimientos de la familia de controles.
• Toda la información específica del sistema, como la información procesada, los roles relevantes y/o cualquier política o procedimiento específico/relevante para los controles.
• Todas las demás políticas o procedimientos necesarios, como una política de monitoreo continuo, un plan de emergencia, un plan de mantenimiento, una política o plan para la gestión de riesgos de la cadena de suministro.

El propósito de este plan es describir suficientemente la aplicación prevista de cada control seleccionado en el contexto del sistema, de modo que el control pueda ser implementado correctamente y luego evaluado para asegurarse de su efectividad.

5. Realización de evaluaciones de riesgos.

La gestión de los riesgos de seguridad de la información y privacidad requiere diligencia debida. Por lo tanto, es esencial tener un programa integral de gestión de riesgos para cumplir con el NIST 800-53. Crear un programa de este tipo requiere:

• Establecer el modelo de riesgo, el enfoque de evaluación y el enfoque analítico que utilizará en el proceso de evaluación de riesgos (con referencia a NIST 800-30).
• Asignar los controles implementados a los riesgos identificados.
• Determinar si es necesario implementar procesos adicionales para cumplir con todos los controles básicos.
• Determinar si es necesario agregar controles personalizados para abordar los riesgos.

6. Evaluación de la efectividad de sus controles.

Es ahora el momento de probar sus sistemas de información con el conjunto personalizado de controles de seguridad básicos para evaluar su efectividad. Puede hacerlo internamente o, si es necesario, contratar a un auditor externo.

Las evaluaciones de control son esenciales y ayudan a garantizar que su organización

• Cumple con los requisitos de seguridad de la información y privacidad
• Identifica vulnerabilidades en el proceso de diseño y desarrollo del sistema
• Dispone de la información esencial necesaria para tomar decisiones basadas en riesgos en el marco de los procesos de autorización.
• Cumple con los procedimientos de mitigación de vulnerabilidades.

7. Establecimiento de un programa de monitoreo continuo.

El cumplimiento del NIST 800-53 requiere un compromiso continuo y vigilancia para mantener la efectividad de los controles de seguridad y adaptarse a las amenazas y regulaciones en evolución.

El monitoreo continuo es crucial para mantener la conformidad. Los programas más efectivos de monitoreo continuo deben incluir lo siguiente:

• Métricas que mejor comuniquen la postura de seguridad de su información, sus sistemas de información y su resiliencia organizacional y que se monitoreen a lo largo del tiempo.
• Un plan de acción y hitos (POAM) para el seguimiento de riesgos abiertos y cerrados, vulnerabilidades, resultados de auditorías y/u otros problemas
• Herramientas automatizadas para hacer el proceso de supervisión continua más rentable, consistente y efectivo (por ejemplo, los escáneres de conformidad a menudo pueden ayudar a asegurar que las configuraciones y ajustes de seguridad estén presentes de manera sistemática y funcionen de manera efectiva)

Lista de verificación NIST 800-53

Una lista de verificación de conformidad puede ser una herramienta valiosa para las organizaciones al evaluar su cumplimiento de los requisitos y controles de un marco específico. Utiliza esta lista de verificación NIST 800-53 como un enfoque estructurado para evaluar tu preparación para la conformidad y tu situación general de ciberseguridad.

Descárgalo aquí.

Cómo Secureframe puede ayudar a simplificar la conformidad con NIST 800-53

Secureframe puede simplificar el proceso de conformidad con NIST 800-53 al ayudar a las organizaciones a ahorrar tiempo, reducir costos y mejorar su situación de seguridad y conformidad.

Con Secureframe obtienes:

• Expertise en conformidad federal: Un equipo de soporte dedicado compuesto por ex-auditores y consultores de FISMA, FedRAMP y CMMC que pueden asistirte con la preparación federal, auditorías y actualizaciones de conformidad.
• Integraciones con nubes federales: Recopilación automática de evidencias de la infraestructura técnica existente, incluidas las variantes en la nube para el gobierno como AWS GovCloud.
• Políticas y plantillas predefinidas y personalizadas: Políticas personalizables, procedimientos y plantillas SSP para cumplir con los requisitos, así como plantillas adicionales, incluidas matrices de separación de responsabilidades, documentos POA&M, evaluaciones de impacto y listas de verificación de preparación
• Formación interna: Formación de empleados que cumple con los requisitos federales y que es revisada y actualizada anualmente por expertos en cumplimiento
• Controles de acceso basados en roles: Controles de acceso basados en roles y según la necesidad para datos
• Controles y pruebas personalizadas: Soporte para implementaciones definidas por la organización para NIST 800-53 y otros marcos
• Red de socios de confianza: Relaciones con organizaciones de terceros certificadas de evaluación (3PAO) y CMMC 3PAOs (C3PAO), que apoyan diversas auditorías federales
• Mapeo entre marcos: Mapeo automatizado de esfuerzos de cumplimiento a través de múltiples marcos para una eficiencia que asegura que nunca comiences desde cero
• Monitoreo continuo: Monitoreo 24/7 que le informa sobre no conformidades, y soporte para el registro de riesgos y escaneo de vulnerabilidades para monitoreo continuo y mantenimiento de POA&M

Aprenda más sobre cómo Secureframe puede ayudarle a mantenerse conforme con NIST 800-53 solicitando una demostración.