Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
NIST 800-53: Una guía para el cumplimiento

NIST 800-53: Una guía para el cumplimiento

Mar 3, 2021

La norma NIST 800-53 ofrece una guía sólida sobre cómo las organizaciones deben seleccionar y mantener controles de seguridad y privacidad personalizados para sus sistemas de información. NIST SP 800-53 Revisión 5 es uno de los muchos documentos de cumplimiento con los que debe familiarizarse si trabaja con tecnología de la información.

Esta publicación lo desglosa para usted en partes digeribles que enfatizan el significado práctico y la aplicación del estándar.

Contenido relacionado seleccionado:

¿Qué es NIST 800-53?

NIST 800-53 es un estándar de cumplimiento de seguridad creado por el Departamento de Comercio de EE. UU. y el Instituto Nacional de Estándares y Tecnología en respuesta a las capacidades tecnológicas en rápido desarrollo de los adversarios nacionales. Compila controles recomendados por el Laboratorio de Tecnología de la Información (ITL).

NIST 800-53 es obligatorio para todos los sistemas de información federales de EE. UU., excepto aquellos relacionados con la seguridad nacional, y es neutral en cuanto a la tecnología. Sin embargo, sus directrices pueden ser adoptadas por cualquier organización que opere un sistema de información con datos sensibles o regulados. Proporciona un catálogo de controles de privacidad y seguridad para proteger contra una variedad de amenazas, desde desastres naturales hasta ataques hostiles.

Contenido relacionado seleccionado:

La norma ha evolucionado para integrar controles de privacidad y seguridad y para promover la integración con otros enfoques de ciberseguridad y gestión de riesgos. En particular, se ajusta al ámbito de los Federal Information Processing Standards (FIPS); FIPS requiere que las organizaciones implementen una línea base mínima de controles de seguridad como se define en NIST 800-53. El estándar NIST también ayuda a las organizaciones a cumplir con la Federal Information Security Modernization Act (FISMA), que detalla pautas de seguridad y privacidad como parte de la administración de programas federales.

A medida que la infraestructura de información continúa expandiéndose e integrándose, la necesidad de incorporar privacidad y seguridad en cada aplicación también crece, independientemente de si se trata de un sistema federal o privado. Con el conjunto completo de controles y directrices en NIST 800-53, las organizaciones privadas no necesitan reinventar la rueda para mantener la ciberseguridad.

¿Cuál es el objetivo de NIST 800-53?

El objetivo del estándar de seguridad y privacidad es triple:

  • Para proporcionar un catálogo integral y flexible de controles para la protección actual y futura basada en la tecnología cambiante y las amenazas
  • Para desarrollar una base para evaluar técnicas y procesos para determinar la efectividad del control
  • Para mejorar la comunicación entre organizaciones mediante un léxico común para la discusión de conceptos de gestión de riesgos

Los controles establecidos por la Publicación Especial (SP) 800-53 de NIST están diseñados para mejorar la gestión de riesgos de cualquier organización o sistema que procese, almacene o transmita información.

Contenido relacionado seleccionado:

¿Quién debe cumplir con NIST 800-53?

El estándar es obligatorio para los sistemas de información federales, organizaciones y agencias. Cualquier organización que trabaje con el gobierno federal también debe cumplir con NIST 800-53 para mantener la relación.

Sin embargo, la norma proporciona un marco sólido para que cualquier organización desarrolle, mantenga y mejore sus prácticas de seguridad de la información, incluyendo gobiernos estatales, locales y tribales y empresas privadas, desde PYMES hasta grandes empresas.

¿Cuáles son los beneficios de NIST 800-53?

El beneficio más significativo del estándar es un sistema de información más seguro. Las organizaciones privadas cumplen voluntariamente con NIST 800-53 porque sus 18 familias de controles les ayudan a enfrentar el desafío de seleccionar los controles básicos de seguridad adecuados, políticas y procedimientos para proteger la seguridad de la información y la privacidad.

Además, le anima a analizar cada control de seguridad y privacidad que seleccione para asegurar su aplicabilidad a su infraestructura y entorno. Este proceso de personalización ayuda a garantizar no solo la seguridad y el cumplimiento, sino también el éxito empresarial. Promueve la aplicación consistente y rentable de controles en toda su infraestructura de tecnología de la información.

Finalmente, seguir las pautas de NIST 800-53 le ayuda a construir una base sólida para el cumplimiento de otras regulaciones y programas como HIPAA, DFARS, PCI DSS y GDPR.

¿Qué datos protege NIST SP 800-53?

Aunque la norma no proporciona una lista de tipos específicos de información, sí ofrece recomendaciones para clasificar los tipos de datos que su organización crea, almacena y transmite. Por ejemplo, una clasificación podría ser “protegida”; estos datos podrían incluir nombres de clientes, fechas de nacimiento y números de Seguridad Social.

Contenido relacionado seleccionado:

Controles de seguridad NIST 800-53

NIST 800-53 ofrece un catálogo de controles de seguridad y privacidad y orientación para su selección. Cada organización debe elegir controles basados en los requisitos de protección de sus distintos tipos de contenido. Esto requiere una cuidadosa evaluación de riesgos y análisis del impacto de los incidentes en diferentes datos y sistemas de información. FIPS 199 define tres niveles de impacto:

  • Bajo — La pérdida tendría un impacto adverso limitado.
  • Moderado — La pérdida tendría un impacto adverso grave.
  • Alto — La pérdida tendría un impacto catastrófico.

Familias de Seguridad y Control

Los controles NIST 800-53 se distribuyen en las siguientes 20 familias:

ID

Apellido

Ejemplos de controles

AC

Control de Acceso

Gestión y monitoreo de cuentas; privilegio mínimo; separación de funciones

AT

Concienciación y Formación

Capacitación de usuarios sobre amenazas de seguridad; formación técnica para usuarios privilegiados

AU

Auditoría y Responsabilidad

Contenido de los registros de auditoría; análisis y reportes; retención de registros

CA

Evaluación, Autorización y Monitoreo

Conexiones a redes públicas y sistemas externos; pruebas de penetración

CM

Gestión de Configuración

Políticas de software autorizado, control de cambio de configuración

CP

Planificación de contingencias

Sitios alternativos de procesamiento y almacenamiento; estrategias de continuidad del negocio; pruebas

IA

Identificación y Autenticación

Políticas de autenticación para usuarios, dispositivos y servicios; gestión de credenciales

IP

Participación individual

Autorización de consentimiento y privacidad

IR

Respuesta a Incidentes

Formación en respuesta a incidentes, monitoreo y reporte

MA

Mantenimiento

Mantenimiento de sistemas, personal y herramientas

MP

Protección de Medios

Acceso, almacenamiento, transporte, saneamiento y uso de medios

PA

Autorización de privacidad

Recolección, uso y compartición de información personal identificable (PII)

PE

Protección física y del entorno

Acceso físico; energía de emergencia; protección contra incendios; control de temperatura

PL

Planificación

Restricciones de redes sociales y networking; arquitectura de seguridad de defensa en profundidad

PM

Gestión de Programas

Estrategia de gestión de riesgos; insider threat program; arquitectura empresarial

PS

Seguridad del personal

Evaluación de personal, terminación y transferencia; personal externo; sanciones

RA

Evaluación de riesgos

Evaluación de riesgos; escaneo de vulnerabilidades; evaluación de impacto en la privacidad

SA

Adquisición de Sistemas y Servicios

Ciclo de vida del desarrollo de sistemas; proceso de adquisición; gestión de riesgos de la cadena de suministro

SC

Protección de Sistemas y Comunicaciones

Particionamiento de aplicaciones; protección de límites; gestión de claves criptográficas

SI

Integridad del Sistema e Información

Remediación de fallas; monitoreo del sistema y alertas

Consejos para el cumplimiento de NIST 800-53

Las siguientes mejores prácticas le ayudarán a seleccionar e implementar los controles de seguridad y privacidad adecuados para el cumplimiento de NIST SP 800-53.

  • Identifique sus datos sensibles. Descubra qué tipo de datos maneja su organización, dónde se almacenan y cómo se reciben, mantienen y transmiten. Los datos sensibles pueden estar distribuidos en múltiples sistemas y aplicaciones; no necesariamente están solo donde usted cree que están.
  • Clasifique los datos sensibles. Categorice y etiquete sus datos de acuerdo con su valor y sensibilidad. Asigne a cada tipo de información un valor de impacto (bajo, moderado o alto) para cada objetivo de seguridad (confidencialidad, integridad y disponibilidad), y categorícelo en el nivel de impacto más alto. Consulte FIPS 199 para obtener las categorías de seguridad apropiadas y los niveles de impacto que se relacionan con los objetivos organizacionales, la misión y el éxito empresarial. Automatice el descubrimiento y la clasificación para agilizar el proceso y asegurar resultados consistentes y fiables.
  • Evalúe su nivel actual de ciberseguridad con una evaluación de riesgos. A un alto nivel, risk assessment implica identificar riesgos, evaluar la probabilidad de su ocurrencia y su impacto potencial, tomar medidas para remediar los riesgos más graves y luego evaluar la efectividad de esas medidas.
  • Documente un plan para mejorar sus políticas y procedimientos. Seleccione controles basados en las necesidades específicas de su negocio. La extensión y el rigor del proceso de selección deben ser proporcionales al nivel de impacto del riesgo que se está mitigando. Documente su plan y la justificación de cada elección de control y política.
  • Proporcione formación continua a los empleados. Eduque a todos los empleados sobre la gobernanza de acceso y las mejores prácticas de ciberseguridad, como identificar y reportar malware.
  • Haga del cumplimiento un proceso continuo. Una vez que haya puesto su sistema en conformidad con NIST 800-53, mantenga y mejore su cumplimiento con auditorías regulares del sistema, especialmente después de un incidente de seguridad.

Contenido relacionado seleccionado:

Conclusión

Todas las agencias y organizaciones federales deben cumplir con NIST 800-53, y si tratas con ellas, también necesitarás estar en conformidad. El cumplimiento no es un requisito para las organizaciones que no hacen negocios con el gobierno federal, pero cumplir con el estándar te ayudará a establecer una base sólida para el cumplimiento de una amplia gama de otras regulaciones, como HIPAA y GDPR, así que no necesitarás reinventar la rueda cada vez.

FAQ

  1. ¿Qué es la serie NIST 800?

La serie NIST 800 es un conjunto de documentos que describen las políticas, procedimientos y directrices del gobierno federal de los Estados Unidos para la seguridad de los sistemas de información.

  1. ¿Qué es NIST 800-53?

NIST 800-53 es una norma regulatoria que define el mínimo de controles de seguridad para todos los sistemas de información federales de EE. UU. excepto aquellos relacionados con la seguridad nacional. Establece la base mínima de controles de seguridad requeridos por el Estándar Federal de Procesamiento de Información (FIPS).

  1. ¿Cuál es el propósito de NIST 800-53?

NIST 800-53 ayuda a organizaciones de todo tipo a diseñar y gestionar adecuadamente sus sistemas de seguridad de la información y cumplir con la Ley de Modernización de la Seguridad de la Información Federal (FISMA). Ofrece un extenso catálogo de controles para fortalecer la seguridad y la privacidad.

  1. ¿Cuántos controles se detallan en NIST 800-53?

NIST 800-53 tiene 20 familias de controles compuestas por más de 1,000 controles separados. Cada familia está relacionada con un tema específico, como el control de acceso.

  1. ¿Cuál es la versión actual de NIST 800-53?

NIST 800-53 Revisión 5 fue publicada en septiembre de 2020.

  1. ¿Quién debe cumplir con NIST 800-53?

NIST 800-53 es obligatorio solo para los sistemas de información federales en todas las agencias y organizaciones. Sin embargo, las directrices son muy útiles también para los gobiernos estatales, locales y tribales, así como para las empresas privadas.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Mike Tierney

Exvicepresidente de Éxito del Cliente

Exvicepresidente de Éxito del Cliente en Netwrix. Cuenta con una trayectoria diversa construida a lo largo de 20 años en la industria del software, habiendo ocupado los cargos de CEO, COO y VP de Gestión de Productos en varias empresas enfocadas en seguridad, cumplimiento y en aumentar la productividad de los equipos de TI.

Aprende más sobre este tema

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad