Definición y propósito

El propósito de NIST 800-137 es ayudar a las agencias y organizaciones federales a definir una estrategia de monitoreo continuo y establecer e implementar un programa de monitoreo continuo que brinde visibilidad de los activos organizacionales, conciencia de amenazas y vulnerabilidades, y garantía continua de la efectividad de los controles de seguridad desplegados.

Basándose en los conceptos de monitoreo introducidos en NIST SP 800-37, esta publicación se enfoca en evaluar y analizar la efectividad de los controles de seguridad y el estado de seguridad organizacional de acuerdo con la tolerancia al riesgo organizacional para apoyar mejor las decisiones de gestión de riesgos organizacionales.

Órgano de gobierno

El Instituto Nacional de Estándares y Tecnología (NIST) es el órgano de gobierno responsable de la serie 800 de publicaciones, incluyendo NIST 800-137.

Última actualización

NIST 800-137 fue publicada en 2011 y no ha tenido actualizaciones importantes.

Aplicable a

NIST 800-137 se aplica principalmente a organizaciones que gestionan y operan sistemas de información federales. Sin embargo, aunque está diseñada para el sector federal, sus principios y conceptos pueden adaptarse para su uso en otras industrias u organizaciones.

Controles y requisitos

NIST 800-137 no presenta un conjunto de controles o requisitos de la misma manera que un estándar de cumplimiento. En cambio, cubre los fundamentos y el proceso para desarrollar una estrategia de monitoreo continuo de la seguridad de la información (ISCM) e implementar un

programa ISCM. Este proceso incluye pasos clave, incluyendo:

• Definir la estrategia ISCM
• Establecer un programa ISCM
• Implementar el programa ISCM
• Analizar y reportar hallazgos
• Responder a los hallazgos
• Revisar y actualizar la estrategia y el programa ISCM

Por favor, consulte la publicación oficial NIST SP 800-137 para más detalles.

Tipo de auditoría, frecuencia y duración

Dado que NIST 800-137 es una guía para desarrollar e implementar una estrategia y un programa de monitoreo continuo y no un estándar de cumplimiento, no dicta tipos específicos de auditorías, frecuencias o duraciones.

Se espera que las organizaciones revisen la estrategia y el programa de monitoreo regularmente para asegurar que la organización esté operando dentro de niveles de tolerancia de riesgo aceptables, que las métricas sigan siendo relevantes y que los datos sean actuales y completos. Cada organización puede establecer su propio procedimiento para revisar y actualizar esta estrategia según sus necesidades y madurez en seguridad de la información.