La Ley Federal de Gestión de la Seguridad de la Información (FISMA) es una ley federal estadounidense que establece un marco integral para la seguridad de los sistemas de información electrónica utilizados por el gobierno federal. La ley se promulgó en 2002 en respuesta a una serie de violaciones de la seguridad de la información de gran repercusión, incluidos los publicitados ataques al World Trade Center y al Pentágono el 11 de septiembre de 2001.
FISMA exige a todas las agencias federales que desarrollen, documenten y apliquen programas de seguridad de la información que protejan la confidencialidad, la integridad y la disponibilidad de su información y sus sistemas de información. La ley también establece un Jefe de Seguridad de la Información federal (CISO) para supervisar la seguridad de la información en todo el gobierno federal, y requiere que las agencias informen anualmente al Congreso de EE.UU. sobre su cumplimiento de FISMA.
La FISMA ha sido ampliamente criticada por su enfoque en el cumplimiento de la ley en lugar de la seguridad, y por su falta de flexibilidad para hacer frente a las amenazas que cambian rápidamente. Sin embargo, a la ley se le ha atribuido el mérito de concienciar sobre los riesgos para la seguridad de la información y de ayudar a mejorar la seguridad de los sistemas de información federales.
¿Qué sustituyó a la FISMA?
La Ley Federal de Gestión de la Seguridad de la Información (FISMA) fue sustituida por la Ley de Ciberseguridad de 2015, que actualizó y modernizó la ley para reflejar mejor el panorama actual de la ciberseguridad. La Ley de Ciberseguridad incluye disposiciones que refuerzan la postura de ciberseguridad del gobierno federal, mejoran el intercambio de información entre los sectores público y privado, y establecen un marco para la gestión de riesgos.
¿Cómo se obtiene la certificación FISMA?
No existe un programa oficial de certificación FISMA. Sin embargo, muchas organizaciones que deben cumplir con los requisitos de la FISMA optan por buscar la certificación de organizaciones de terceros, como el Centro Nacional de Ciberseguridad de Excelencia (NCCoE) o el Centro de Seguridad de Internet (CIS).
Para obtener la certificación del NCCoE, las organizaciones deben completar primero una autoevaluación para determinar si cumplen los requisitos para la certificación. Una vez completada la autoevaluación, las organizaciones deben presentar una solicitud al NCCoE. Si el NCCoE determina que la organización es elegible para la certificación, un equipo de evaluadores visitará la organización para verificar el cumplimiento.
Para obtener la certificación del CIS, las organizaciones deben crear primero una cuenta en el sitio web del CIS. Una vez creada la cuenta, las organizaciones pueden acceder a la Guía de Autoevaluación de Controles del CIS, que les guía a través del proceso de certificación. A continuación, las organizaciones deben presentar una autoevaluación completa al CIS para su revisión. Si el CIS determina que la organización es elegible para la certificación, un equipo de evaluadores visitará la organización para verificar el cumplimiento. ¿Qué sustituyó a la FISMA? La Ley de Mejora de la Ciberseguridad de 2014 sustituyó a la FISMA. La nueva ley requiere que las agencias federales implementen programas de ciberseguridad basados en el riesgo y establece un programa voluntario para compartir información sobre ciberamenazas con el sector privado. La ley también autoriza al Departamento de Seguridad Nacional a proporcionar asistencia técnica a las entidades del sector privado y a los gobiernos estatales y locales.
¿Dónde está codificada la FISMA?
La FISMA está codificada en el Código de los Estados Unidos en el Título 44 U.S.C.
La Ley Federal de Gestión de la Seguridad de la Información de 2002 (FISMA) es una ley federal de los Estados Unidos que establece un marco integral para garantizar la seguridad de la información y de los sistemas de información en todo el Gobierno Federal. La ley está codificada en el Título 44 del Código de los Estados Unidos.
La FISMA fue promulgada por el Presidente George W. Bush el 25 de octubre de 2002, como reacción a los ataques terroristas del 11 de septiembre de 2001. La ley fue elaborada por un comité del Congreso presidido por la representante Zoe Lofgren.
FISMA requiere que cada agencia federal desarrolle, documente e implemente un programa para toda la agencia que proporcione seguridad a la información y a los sistemas de información que apoyan las operaciones y los activos de la agencia. La ley también establece que el Instituto Nacional de Normas y Tecnología (NIST) es la principal entidad federal para desarrollar normas y directrices de seguridad de la información, que luego son adoptadas y utilizadas por las agencias federales en sus actividades relacionadas con la FISMA.
Además, la FISMA exige a la Oficina de Gestión y Presupuesto (OMB) de EE.UU. que emita directrices para las agencias federales sobre los programas y prácticas de seguridad de la información, y que supervise la aplicación de estos programas en todo el poder ejecutivo.
La ley también creó el Consejo Federal de Directores de Información (CIO), encargado de desarrollar y coordinar la política del gobierno federal en materia de tecnología y seguridad de la información.