La Ley de Reforma de la Seguridad de la Información Gubernamental (GISRA, por sus siglas en inglés) es una ley federal de Estados Unidos que obliga a todos los organismos del poder ejecutivo a desarrollar y aplicar programas de seguridad de la información. La ley fue aprobada en el año 2000 en respuesta a una serie de violaciones de seguridad de alto perfil, incluyendo el robo de más de un millón de dólares del Departamento de Defensa de Estados Unidos.
La GISRA exige a los organismos que designen a un funcionario de alto nivel como Director de Seguridad de la Información (CISO), responsable de desarrollar y supervisar el programa de seguridad de la información del organismo. El CISO también debe desarrollar e implementar programas de concienciación y formación en seguridad para todos los empleados y contratistas.
Además, la GISRA exige a los organismos que realicen auditorías de seguridad anuales e informen de los resultados a la Oficina de Gestión y Presupuesto (OMB). La OMB es responsable de supervisar la aplicación de la GISRA y de emitir orientaciones a las agencias sobre cómo cumplir la ley.
¿Quién está sujeto al cumplimiento de la FISMA?
La Ley Federal de Gestión de la Seguridad de la Información (FISMA) es una ley federal de Estados Unidos promulgada en 2002 como parte de la Ley de Gobierno Electrónico de 2002. La ley establece un marco integral para garantizar la seguridad de la información y de los sistemas de información utilizados u operados por el gobierno federal.
En virtud de la FISMA, todas las agencias federales deben desarrollar, documentar e implementar un programa de seguridad de la información para toda la agencia. El programa debe incluir medidas de seguridad para proteger la confidencialidad, integridad y disponibilidad de la información y los sistemas de información de la agencia. La ley también requiere que las agencias lleven a cabo evaluaciones de riesgo periódicas e impartan formación sobre seguridad de la información a todos los empleados y contratistas.
Además, la FISMA exige a las agencias que informen anualmente a la Oficina de Gestión y Presupuesto (OMB) sobre sus programas de seguridad de la información y la eficacia de sus controles de seguridad. La OMB, a su vez, debe informar al Congreso sobre el estado general de la seguridad de la información federal.
Por lo tanto, el cumplimiento de la FISMA es un requisito para todas las agencias federales.
¿Qué son los controles NIST 800 53?
El Instituto Nacional de Estándares y Tecnología (NIST) 800-53 es un documento que proporciona orientación para los controles de seguridad y privacidad para los sistemas de información federales y organizaciones. El documento se divide en 17 familias, cada una de las cuales aborda un aspecto diferente de la seguridad. Las familias son:
Control de acceso
Concienciación y formación
Auditoría y rendición de cuentas
Gestión de la configuración
Planificación de contingencias
Identificación y autenticación
Respuesta a incidentes
Mantenimiento
Protección de los medios de comunicación
Protección física y ambiental
Planificación
Gestión de programas
Seguridad del personal
Gestión de riesgos
Evaluación y autorización de la seguridad
Protección del sistema y de las comunicaciones
Integridad del sistema y de la información
El NIST 800-53 también incluye un catálogo de más de 800 controles de seguridad y privacidad, que se dividen en tres categorías:
Controles Fundamentales: Estos son los controles de seguridad que deben ser implementados en todos los sistemas de información federales.
Controles organizativos: Son los controles de seguridad que deben adaptarse a las necesidades específicas de cada organización.
Controles complementarios: Estos son los controles de seguridad que pueden ser apropiados para algunas organizaciones, dependiendo de sus necesidades específicas.
¿Quién está sujeto al cumplimiento de la FISMA?
Todas las agencias federales de Estados Unidos están sujetas al cumplimiento de la FISMA. Esta ley requiere que todas las agencias ejecutivas federales creen, documenten e implementen un plan de seguridad de la información que incluya controles de seguridad y evaluación de riesgos. El objetivo de la FISMA es proteger la información gubernamental contra el acceso no autorizado, el uso indebido, la divulgación, la destrucción o la modificación.