Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
¿Qué es el cumplimiento de FISMA?

¿Qué es el cumplimiento de FISMA?

Mar 17, 2021

No debería sorprender que el gobierno federal de EE. UU. tome la ciberseguridad muy en serio. Después de todo, las agencias federales gestionan enormes cantidades de datos sensibles, incluida información relacionada con la seguridad nacional e internacional y la salud pública, así como la información personal de la mayoría de los residentes del país.

FISMA, que significa la Ley Federal de Gestión de la Seguridad de la Información, proporciona un marco integral y un conjunto de requisitos para ayudar a las agencias federales a establecer un enfoque sólido y basado en el riesgo para la ciberseguridad.

Ninguna agencia federal está exenta de las directrices establecidas en FISMA, por lo que si manejas datos para una agencia federal o proporcionas otros servicios sujetos al cumplimiento de FISMA, es importante obtener un sólido entendimiento de FISMA y su impacto en tus operaciones diarias.

Solicite una demostración individual:

Visión general del cumplimiento de FISMA

FISMA fue promulgada como parte de la E-Government Act of 2002 y actualizada en 2014 con algunos cambios importantes.

Alcance de FISMA

Los requisitos de FISMA se aplican a todas las agencias gubernamentales de EE. UU., así como a las agencias estatales que administran programas federales como el seguro de desempleo, préstamos estudiantiles, Medicare y Medicaid.

La ley también se aplica a empresas privadas que tienen relaciones contractuales con estas agencias estatales, apoyan un programa federal o reciben dinero de subvenciones federales. Las entidades privadas cuya única conexión con el gobierno federal es ser un beneficiario de subvención a menudo se ven sorprendidas, pero están obligadas a implementar los controles de seguridad de la información federal de FISMA.

Beneficios del cumplimiento de FISMA

Las agencias gubernamentales de todos los niveles han sido el objetivo de ciberdelincuentes con más frecuencia en los últimos años; documentos filtrados del Pentágono son uno de los últimos de varios violaciones de datos de alto perfil. La fuga de datos cuesta a las agencias cantidades significativas de dinero y puede causar daños a las personas cuya información privada se ve comprometida.

Para organizaciones no gubernamentales, el cumplimiento de FISMA les permite convertirse en contratistas de agencias federales. Además, seguir voluntariamente los requisitos de FISMA puede ayudar a las organizaciones a reducir los riesgos a sus datos sensibles, lo que a su vez les ayuda a evitar el daño financiero y de otro tipo asociado con data breaches.

Sanciones por incumplimientos de FISMA Compliance

El incumplimiento de FISMA puede resultar en una serie de repercusiones indeseadas, incluyendo:

  • Censura por el Congreso
  • Reducción en la financiación federal
  • Aumento de la supervisión gubernamental
  • Daño a la reputación

Descargue el eBook:

Directrices y estándares relacionados

FISMA y OMB Guidelines

La Oficina de Administración y Presupuesto (OMB) publicó directrices en abril de 2010 que exigen a las agencias proporcionar información del sistema en tiempo real a los auditores de FISMA para permitir el monitoreo continuo de los sistemas de información regulados por FISMA. Las directrices de la OMB incluyen varios requisitos detallados en los Estándares Federales de Procesamiento de Información (FIPS) del Instituto Nacional de Estándares y Tecnología (NIST).

Dos estándares de seguridad FIPS son requeridos por FISMA:

  • FIPS 199 (Estándares para la Categorización de Seguridad de la Información Federal y los Sistemas de Información) aborda el requisito de FISMA para desarrollar estándares para categorizar la información y los sistemas de información. FIPS 199 exige un “marco común y entendimiento” que promueva una gestión y supervisión efectivas de los programas de seguridad de la información, y reportes consistentes al OMB y al Congreso con respecto a la adecuación y efectividad de las políticas, procedimientos y prácticas de seguridad de la información.
  • FIPS 200 (Requisitos de seguridad mínimos para la información federal y los sistemas de información) establece los “niveles mínimos de diligencia debida para la seguridad de la información” para las agencias federales. El objetivo aquí es establecer un enfoque consistente, comparable y repetible para “seleccionar y especificar controles de seguridad para sistemas de información que cumplan con los requisitos de seguridad mínimos” establecidos por las directrices.

Estándares FISMA y NIST

Varios estándares de NIST se correlacionan directamente con el cumplimiento de FISMA, incluyendo:

  • NIST SP 800-39 (Guía para Aplicar el Risk Management Framework a los Sistemas de Información Federales) — Este documento proporciona orientación para implementar un programa integrado de gestión de riesgos de seguridad de la información con el fin de proteger los activos organizacionales, individuos, otras organizaciones y a los Estados Unidos en su conjunto de los riesgos resultantes de la operación y uso de sistemas de información federales. Describe un “enfoque estructurado pero flexible” para la gestión de riesgos de una manera intencionalmente amplia. Directrices específicas dirigidas a la implementación de estos programas se proporcionan dentro de los estándares y guías de apoyo del NIST.
  • NIST SP 800-37 (Guía para Aplicar el Risk Management Framework a Sistemas de Información Federales: Un Enfoque de Ciclo de Vida de Seguridad) — Este documento ofrece un “proceso disciplinado, estructurado y flexible para la gestión de riesgos de seguridad y privacidad.” Incluye información sobre la categorización de seguridad de la información, selección de controles, implementación, evaluación, autorizaciones de sistemas y controles comunes, y monitoreo continuo.
  • NIST SP 800-30 (Guía para Realizar Evaluaciones de Riesgo) — Este documento proporciona detalles sobre la asignación de categorías de gestión de riesgos y la determinación de cursos de acción apropiados en respuesta a esos riesgos. Ofrece un marco para llevar a cabo el proceso de evaluación de riesgos, incluyendo cómo prepararse, realizar y comunicar los resultados de una evaluación.
  • NIST SP 800-53 (Controles de seguridad y privacidad para sistemas de información federal y organizaciones) — Este documento cataloga controles de seguridad y privacidad para todos los sistemas de información federal excepto aquellos relacionados con la seguridad nacional. Describe los pasos del Marco de Gestión de Riesgos relacionados con la selección de controles de seguridad de acuerdo con los requisitos de seguridad en FIPS 200.
  • NIST SP 800-53A (Guía para Evaluar los Controles de Seguridad en Sistemas de Información Federal y Organizaciones) — Este documento enumera pautas para construir “planes de evaluación de seguridad y planes de evaluación de privacidad efectivos”. También proporciona procedimientos para evaluar la efectividad de los controles de seguridad y privacidad utilizados en sistemas de información.

FISMA y FedRAMP

El Federal Risk and Authorization Management Program (FedRAMP) es similar a FISMA ya que proporciona estándares para las agencias en lo que respecta a datos federales vulnerables. Sin embargo, FedRAMP se centra en datos basados en la nube y ofrece un camino para las agencias que necesitan validar servicios de computación en la nube para el cumplimiento de FISMA.

FedRAMP también proporciona orientación para la gestión de riesgos y la validación de servicios en la nube utilizados por las agencias federales. Dada la creciente dependencia de la nube en la actualidad, muchas soluciones de software modernas para el cumplimiento de FISMA incluyen características para la conformidad con FedRAMP.

Requisitos de FISMA

Los siguientes siete requisitos de FISMA representan algunos de los elementos más cruciales de la ley.

Maintain an Information System Inventory

Un inventario de sistema de información inventory debe incluir todos los sistemas o redes que pueden acceder a los datos de la agencia federal, incluyendo aquellos que no son operados por (o bajo el control de) la propia agencia, así como las interfaces entre sistemas. NIST SP 800-18, Revision 1 (Guía para Desarrollar Planes de Seguridad para Sistemas de Información Federales) proporciona orientación sobre cómo agrupar los sistemas de información y sus límites.

Categorizar sistemas de información

FISMA requiere categorizar los sistemas de información y los datos basándose en el impacto que podría tener su compromiso:

  • Bajo impacto — Una degradación en la capacidad de la misión hasta un punto y duración en que la organización todavía es capaz de realizar sus funciones primarias, pero con la efectividad de las funciones notablemente reducida. Ejemplos incluyen:
    • Daños menores a los activos de la organización
    • Pérdida financiera menor
    • Daño menor a los individuos
  • Impacto moderado— Degradación significativa en la capacidad de la misión hasta un punto y duración en que la organización todavía es capaz de realizar sus funciones primarias, pero con la efectividad de las funciones significativamente reducida. Ejemplos incluyen:
    • Daños significativos a los activos organizacionales
    • Pérdidas financieras significativas
    • Daños significativos a individuos que no involucran pérdida de vidas o lesiones graves que amenacen la vida
  • Alto impacto — Degradación severa o pérdida de la capacidad de la misión en tal medida y duración que la organización no es capaz de realizar una o más de sus funciones primarias. Ejemplos incluyen:
    • Daños importantes a los activos organizacionales
    • Pérdidas financieras importantes
    • Daños graves o catastróficos a individuos que involucren pérdida de vida o lesiones serias que amenacen la vida

FIPS 199 y SP 800-60 proporcionan información sobre la categorización de sistemas de información y datos.

Diseñe y mantenga un Plan de Seguridad del Sistema

NIST SP 800-18 proporciona pautas para el desarrollo e implementación de un plan de seguridad, y para establecer un plan de revisión que evalúe periódicamente la seguridad operacional.

Realizar evaluaciones de riesgo

NIST SP 800-37 y NIST SP 800-30 proporcionan información sobre cómo realizar evaluaciones de riesgo con el fin de analizar las amenazas actuales, anticipar nuevas y elegir controles de seguridad que reduzcan el riesgo a un nivel aceptable.

Utilice controles de seguridad apropiados

FIPS 200 proporciona detalles sobre la selección de controles de seguridad básicos y la aplicación de orientación personalizada y control suplementario según sea necesario, basado en la evaluación de riesgos.

NIST SP 800-53 enumera controles de seguridad para que las agencias consideren implementar. Estos controles se pueden aplicar de manera flexible para que se alineen con la misión y el entorno operativo de la agencia, siempre que la agencia documente los controles seleccionados en su plan de seguridad del sistema.

Realice un monitoreo continuo

NIST SP 800-37 y SP 800-53A establecen las pautas para la monitorización continua del sistema de seguridad. La monitorización en este contexto incluye las categorías de Integridad del Sistema (SI), Gestión de la Configuración (CM), Respuesta a Incidentes (IR) y Auditoría (AU).

Realizar revisiones anuales

Para mantener el cumplimiento con FISMA, las agencias deben realizar revisiones anuales de sus programas de seguridad de la información. Estas revisiones son llevadas a cabo por inspectores generales, directores de información (CIOs) y otros funcionarios de programas federales.

Una vez realizadas las revisiones, las agencias informan los resultados a la OMB, que prepara un informe oficial anual de cumplimiento de FISMA para el Congreso.

Logre la Certificación y Acreditación (C&A)

Las agencias necesitan lograr la FISMA Certification and Accreditation (C&A) a través de un proceso que incluye cuatro fases:

  1. Iniciación y planificación
  2. Certificación
  3. Acreditación
  4. Monitoreo continuo

C&A no es un evento único; OMB requiere recertificación y reacreditación periódicas para las agencias reguladas por FISMA.

Mejores prácticas de FISMA

Para ayudar a su organización a lograr y mantener el cumplimiento de FISMA, siga estas mejores prácticas:

  • Obtenga una visión de alto nivel de los datos sensibles que almacena y procesa.
  • Realice evaluaciones de riesgo periódicasrisk assessments para identificar, priorizar y remediar las brechas de seguridad de la información.
  • Evalúe regularmente qué tan bien funcionan sus controles y políticas de seguridad para proteger sus sistemas.
  • Mantenga evidencia de cómo está cumpliendo con FISMA.
  • Monitoree las actualizaciones de FISMA.
  • Realice capacitación continua para los empleados para mantener a su equipo actualizado tanto en los requisitos de FISMA como en las amenazas de ciberseguridad.

Cómo Netwrix puede ayudar

Simplemente saber la respuesta a la pregunta “¿Qué es el cumplimiento de FISMA?” no te proporciona las estrategias que necesitas para implementar cambios en tu negocio. Definitivamente no te proporciona el presupuesto que los cambios de OMB pueden requerir.

Netwrix ofrece soluciones de auditoría de cumplimiento fáciles y rentablescompliance audit solutions que le ayudan a asegurar su empresa y satisfacer a los auditores. Con plantillas listas para usar, estándares de construcción reforzados, password policies y más, puede iniciar su estrategia de cumplimiento de FISMA.

Si está listo para recuperar sus noches y fines de semana reduciendo el esfuerzo de preparación de auditorías hasta en un 85% mientras demuestra que su organización cumple con los requisitos de cumplimiento de FISMA, solicite una demostración gratuita con Netwrix hoy.

FAQ

1. ¿Qué es FISMA?

FISMA es el acrónimo de la Ley Federal de Gestión de la Seguridad de la Información. Es una ley federal de EE. UU. que proporciona un marco integral destinado a proteger la información sensible.

2. ¿Quién debe cumplir con FISMA?

Las reglas de FISMA se aplican a todas las agencias gubernamentales federales de EE. UU., así como a las agencias estatales que administran programas federales. También se aplica a las empresas privadas involucradas en relaciones contractuales con estas agencias estatales, incluyendo aquellas que proporcionan servicios, apoyan un programa federal o reciben dinero de subvenciones federales.

3. ¿Cuáles son las penalizaciones por incumplimiento de FISMA?

Las agencias gubernamentales y las empresas privadas relacionadas pueden enfrentar varias sanciones por no cumplir con FISMA, incluyendo:

  • Censura por el Congreso
  • Reducción en la financiación federal
  • Daño a la reputación
  • Aumento de la supervisión gubernamental

4. ¿Cuál es la relación entre NIST y FISMA?

NIST (el Instituto Nacional de Estándares y Tecnología) publica varias guías para ayudar a las organizaciones a lograr y mantener el cumplimiento con FISMA.

5. ¿Qué es la certificación FISMA?

No es suficiente que las organizaciones actúen conforme a FISMA. Una vez que hayas implementado los controles apropiados, necesitas demostrar que estás siguiendo los estándares de FISMA. OMB establece el proceso de certification and accreditation, el cual debe repetirse regularmente.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Mike Tierney

Exvicepresidente de Éxito del Cliente

Exvicepresidente de Éxito del Cliente en Netwrix. Cuenta con una trayectoria diversa construida a lo largo de 20 años en la industria del software, habiendo ocupado los cargos de CEO, COO y VP de Gestión de Productos en varias empresas enfocadas en seguridad, cumplimiento y en aumentar la productividad de los equipos de TI.

Aprende más sobre este tema

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad