Listado de Controles de la NIST-800-53

¿Por cuáles Controles esta estructurada la NIST-800-53?

La NIST 800-53 está estructurada en torno a un conjunto de controles de seguridad y privacidad organizados en familias y clases, lo que facilita su selección e implementación. Esta estructura jerárquica permite abordar diferentes aspectos de la seguridad de la información de manera sistemática y completa.

La publicación NIST 800-53, Rev. 5, organiza los controles de seguridad en 20 familias, cada una de las cuales aborda un área específica de la seguridad de la información:

1. Gestión de acceso (AC): Controla el acceso a los sistemas y recursos de información.
2. Conciencia y capacitación (AT): Garantiza que el personal esté informado y capacitado sobre seguridad.
3. Auditoría y responsabilidad (AU): Establece mecanismos para registrar y monitorear actividades.
4. Evaluación, autorización y monitoreo de seguridad (CA): Evalúa y autoriza sistemas antes de su implementación.
5. Gestión de la configuración (CM): Establece y mantiene la configuración segura de los sistemas.
6. Planificación de la continuidad (CP): Garantiza la continuidad de las operaciones en caso de interrupciones.
7. Controles de contingencia (CO): Establece procedimientos para responder a incidentes.
8. Identificación y autenticación (IA): Verifica la identidad de los usuarios y dispositivos.
9. Mantenimiento (MA): Garantiza que los sistemas se mantengan en buen estado.
10. Protección de medios (MP): Protege los medios físicos y electrónicos que contienen información.
11. Gestión de riesgos (RA): Identifica, evalúa y gestiona los riesgos de seguridad.
12. Seguridad física y ambiental (PE): Protege los sistemas y la información de amenazas físicas.
13. Planificación (PL): Desarrolla planes para implementar y mantener la seguridad.
14. Programa de gestión (PM): Establece un marco para gestionar el programa de seguridad.
15. Protección de la privacidad (PS): Protege la privacidad de la información personal.
16. Seguridad de las comunicaciones y operaciones (SC): Protege las comunicaciones y las operaciones del sistema.
17. Seguridad del sistema y la información (SI): Protege los sistemas y la información de ataques.
18. Gestión de suministros (SA): Garantiza la seguridad de los productos y servicios adquiridos.
19. Evaluación de sistemas y comunicaciones (SA): Evalúa la seguridad de los sistemas y comunicaciones.
20. Control de acceso basado en atributos (AB): Controla el acceso a los sistemas en función de los atributos.

Aunado a lo anterior, dentro de cada familia, los controles se clasifican en tres clases:

• Controles técnicos: Salvaguardas implementadas en hardware, software o firmware.
• Controles operativos: Procedimientos y prácticas llevadas a cabo por el personal.
• Controles de gestión: Políticas, estándares y directrices que rigen el programa de seguridad.

Las ventajas de esta estructura son:

• Organización: Facilita la búsqueda y selección de controles relevantes.
• Completitud: Cubre una amplia gama de áreas de seguridad.
• Flexibilidad: Permite adaptar los controles a las necesidades específicas de cada organización.

Para concluir, la estructura de NIST 800-53 proporciona un marco sólido para construir un programa de seguridad de la información eficaz y completo. Al comprender esta estructura, las organizaciones pueden seleccionar e implementar los controles más adecuados para proteger sus sistemas y datos.

Te envitamos a conocer el siguiente articulo relacionado: Que es la NIST-800-53

¡¡¡Para conocer más de este tema y otros te invitamos a adquirir tu Membresía Anual Audit Shop!!! La Membresía Anual Audit Shop te da acceso total a todos los archivos digitales premium del sitio además de las nuevas herramientas que vamos subiendo de forma periódica.

Si tienes dudas o requieres ayuda mándanos tus comentarios a: info@auditshop.com.mx. ¡¡ Con gusto te atenderemos!!