Definición y propósito

FISMA fue promulgada como parte de la Ley de Gobierno Electrónico de 2002. Su propósito principal es garantizar la efectividad de los controles de seguridad de la información sobre los recursos que apoyan las operaciones y activos federales. FISMA ordena el desarrollo e implementación de estándares y directrices obligatorias para los sistemas de información federales.

Órgano de Gobierno

El Instituto Nacional de Estándares y Tecnología (NIST) es responsable de establecer los estándares y directrices, mientras que la Oficina de Gestión y Presupuesto (OMB) supervisa la implementación de la ley. El Departamento de Seguridad Nacional (DHS) también juega un papel en ayudar a las agencias con la implementación de FISMA.

Última Actualización

FISMA se aprobó originalmente en 2002, pero sufrió actualizaciones y reformas significativas con la aprobación de la Ley Federal de Modernización de la Seguridad de la Información (Reforma FISMA) en 2014. La Ley de Ciberseguridad de 2023 actualizaría FISMA para requerir que las agencias federales informen de todos los incidentes de ciberseguridad y lleven a cabo procedimientos de ciberseguridad estandarizados de manera regular.

Se aplica a

FISMA se aplica a todas las agencias federales, sus contratistas y otras organizaciones que procesan, almacenan o transmiten información federal. No se aplica directamente al sector privado, gobiernos estatales/locales o entidades tribales a menos que manejen datos federales o proporcionen servicios en nombre de una agencia federal.

Controles y requisitos

El cumplimiento de FISMA se basa en los estándares y directrices establecidos por NIST, principalmente:

• NIST SP 800-53: Esta publicación enumera los controles de seguridad que las agencias federales deben aplicar. Los controles se organizan en familias, como Control de Acceso, Auditoría y Responsabilidad, Respuesta a Incidentes, Evaluación de Seguridad, Protección de Sistemas y Comunicaciones, etc.
• NIST SP 800-37: Proporciona directrices para el Marco de Gestión de Riesgos, que las agencias utilizan para certificar y acreditar sus sistemas de información.

Estos estándares detallan los procesos y controles requeridos para el cumplimiento de FISMA, que incluyen evaluaciones periódicas de riesgos, políticas y procedimientos, capacitación en concienciación de seguridad, monitoreo continuo y capacidades de respuesta a incidentes.

Consulte la documentación oficial de FISMA 2014 para obtener una lista detallada de controles y requisitos.

Tipo, frecuencia y duración de la auditoría

FISMA requiere que las agencias federales realicen revisiones anuales de sus programas de seguridad de la información. Esto puede incluir autoevaluaciones, evaluaciones de terceros y evaluaciones del Inspector General (IG). Las prácticas de monitoreo continuo pueden llevar a evaluaciones más frecuentes de ciertos sistemas o controles.

La duración de una auditoría FISMA varía según el tamaño y la complejidad de la agencia o del sistema que se esté revisando. Una evaluación integral de toda la agencia podría tomar varios meses, mientras que las evaluaciones de sistemas o controles específicos podrían completarse en un tiempo más corto.