¿Por cuáles Controles esta estructurada la NIST-800-53?
La NIST 800-53 está estructurada en torno a un conjunto de controles de seguridad y privacidad organizados en familias y clases, lo que facilita su selección e implementación. Esta estructura jerárquica permite abordar diferentes aspectos de la seguridad de la información de manera sistemática y completa.
La publicación NIST 800-53, Rev. 5, organiza los controles de seguridad en 20 familias, cada una de las cuales aborda un área específica de la seguridad de la información:
- Gestión de acceso (AC): Controla el acceso a los sistemas y recursos de información.
- Conciencia y capacitación (AT): Garantiza que el personal esté informado y capacitado sobre seguridad.
- Auditoría y responsabilidad (AU): Establece mecanismos para registrar y monitorear actividades.
- Evaluación, autorización y monitoreo de seguridad (CA): Evalúa y autoriza sistemas antes de su implementación.
- Gestión de la configuración (CM): Establece y mantiene la configuración segura de los sistemas.
- Planificación de la continuidad (CP): Garantiza la continuidad de las operaciones en caso de interrupciones.
- Controles de contingencia (CO): Establece procedimientos para responder a incidentes.
- Identificación y autenticación (IA): Verifica la identidad de los usuarios y dispositivos.
- Mantenimiento (MA): Garantiza que los sistemas se mantengan en buen estado.
- Protección de medios (MP): Protege los medios físicos y electrónicos que contienen información.
- Gestión de riesgos (RA): Identifica, evalúa y gestiona los riesgos de seguridad.
- Seguridad física y ambiental (PE): Protege los sistemas y la información de amenazas físicas.
- Planificación (PL): Desarrolla planes para implementar y mantener la seguridad.
- Programa de gestión (PM): Establece un marco para gestionar el programa de seguridad.
- Protección de la privacidad (PS): Protege la privacidad de la información personal.
- Seguridad de las comunicaciones y operaciones (SC): Protege las comunicaciones y las operaciones del sistema.
- Seguridad del sistema y la información (SI): Protege los sistemas y la información de ataques.
- Gestión de suministros (SA): Garantiza la seguridad de los productos y servicios adquiridos.
- Evaluación de sistemas y comunicaciones (SA): Evalúa la seguridad de los sistemas y comunicaciones.
- Control de acceso basado en atributos (AB): Controla el acceso a los sistemas en función de los atributos.
Aunado a lo anterior, dentro de cada familia, los controles se clasifican en tres clases:
- Controles técnicos: Salvaguardas implementadas en hardware, software o firmware.
- Controles operativos: Procedimientos y prácticas llevadas a cabo por el personal.
- Controles de gestión: Políticas, estándares y directrices que rigen el programa de seguridad.
Las ventajas de esta estructura son:
- Organización: Facilita la búsqueda y selección de controles relevantes.
- Completitud: Cubre una amplia gama de áreas de seguridad.
- Flexibilidad: Permite adaptar los controles a las necesidades específicas de cada organización.
Para concluir, la estructura de NIST 800-53 proporciona un marco sólido para construir un programa de seguridad de la información eficaz y completo. Al comprender esta estructura, las organizaciones pueden seleccionar e implementar los controles más adecuados para proteger sus sistemas y datos.
Te envitamos a conocer el siguiente articulo relacionado: Que es la NIST-800-53
¡¡¡Para conocer más de este tema y otros te invitamos a adquirir tu Membresía Anual Audit Shop!!! La Membresía Anual Audit Shop te da acceso total a todos los archivos digitales premium del sitio además de las nuevas herramientas que vamos subiendo de forma periódica.
Si tienes dudas o requieres ayuda mándanos tus comentarios a: info@auditshop.com.mx. ¡¡ Con gusto te atenderemos!!
Te invitamos a suscribirte!!