Marco de gestión de riesgos

Directriz del gobierno federal de EE. UU.

Proceso de 7 pasos de RMF

El Marco de Gestión de Riesgos (RMF, por sus siglas en inglés) es una directriz, norma y proceso del gobierno federal de los Estados Unidos para gestionar el riesgo con el fin de ayudar a proteger los sistemas de información (computadoras y redes), desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés). El RMF proporciona un proceso estructurado que integra las actividades de seguridad de la información , privacidad y gestión de riesgos en el ciclo de vida del desarrollo del sistema . ^{[1] [2]}

Descripción general

El documento principal que describe el RMF es la Publicación Especial 800-37 del NIST . ^{[1] [3]} Los pasos del RMF se vinculan con varios otros estándares y pautas del NIST, incluida la Publicación Especial 800-53 del NIST .

El proceso RMF incluye los siguientes pasos:

• Prepárese para ejecutar el RMF estableciendo un contexto y fijando prioridades para gestionar el riesgo de seguridad y privacidad tanto a nivel organizacional como de sistema. ^{[4] [5]}
• Categorizar el sistema de información y los datos que procesa, almacena y transmite, con base en un análisis de impacto. ^{[6] [7] [8]}
• Seleccionar un conjunto básico de controles de seguridad para el sistema de información en función de su clasificación de seguridad. Adaptar y complementar los controles básicos según sea necesario, en función de una evaluación de riesgos organizacional y de las condiciones locales específicas. Si corresponde, se agregan superposiciones en este paso. ^{[2] [9]}
• Implementar los controles de seguridad identificados en el paso anterior. ^[2]
• Evaluar : Un evaluador externo evalúa si los controles se implementan correctamente y son efectivos. ^[10]
• Autorización : en función de los resultados de la evaluación, se concede o deniega al sistema una autorización para operar (ATO). Si quedan algunos problemas sin resolver, la ATO puede posponerse. Normalmente, las ATO se conceden por un máximo de tres años, después de los cuales se debe repetir el proceso. ^[1]
• Supervisar continuamente los controles de seguridad para garantizar la eficacia continua como se describió anteriormente en el proceso. ^[5]

Historia

La Ley Federal de Gestión de Seguridad de la Información de 2002 (FISMA 2002) se promulgó para salvaguardar la seguridad económica y nacional de los EE. UU. mediante una mejor seguridad de la información . ^[11]

Posteriormente, el Congreso aprobó la Ley de Modernización de la Seguridad de la Información Federal de 2014 (FISMA 2014) para mejorar la legislación original otorgando al Departamento de Seguridad Nacional (DHS) mayor autoridad sobre la seguridad de la información federal y definiendo los deberes de la Oficina de Administración y Presupuesto (OMB) en la gestión de las prácticas de seguridad de la información de las agencias federales. ^[12]

La FISMA exige la protección de la información y los sistemas de información contra el acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados, garantizando la confidencialidad, integridad y disponibilidad. ^[13] El Título III de la FISMA de 2002 encargó al NIST desarrollar normas, directrices y requisitos de seguridad de la información y gestión de riesgos. ^{[6] [7] [8] [9]}

El RMF, descrito en la Publicación Especial 800-37 del NIST, está diseñado para ayudar a las organizaciones a gestionar los riesgos de ciberseguridad y cumplir con varias leyes y regulaciones estadounidenses, incluida la Ley Federal de Modernización de la Seguridad de la Información de 2014 , la Ley de Privacidad de 1974 y los Estándares Federales de Procesamiento de Información , entre otros. ^[1]

Riesgos

A lo largo de su ciclo de vida, un sistema de información se enfrentará a diversos tipos de riesgos que pueden afectar su postura de seguridad. El proceso RMF ayuda a la identificación y resolución temprana de estos riesgos. En términos generales, los riesgos se pueden clasificar como riesgos de infraestructura, de proyecto, de aplicación, de activos de información, de continuidad del negocio, de subcontratación, externos y estratégicos. Los riesgos de infraestructura se relacionan con la confiabilidad de las computadoras y las redes, mientras que los riesgos de proyecto involucran presupuestos, cronogramas y calidad del sistema. Los riesgos de aplicación se relacionan con el rendimiento y la capacidad del sistema. Los riesgos de activos de información se relacionan con la posible pérdida o divulgación no autorizada de datos. Los riesgos de continuidad del negocio se enfocan en mantener la confiabilidad y el tiempo de funcionamiento del sistema. Los riesgos de subcontratación involucran el impacto de proveedores de servicios externos en el sistema. ^[14]

Los riesgos externos son factores que están fuera del control del sistema de información y que pueden afectar la seguridad del mismo. Los riesgos estratégicos están asociados con la necesidad de que las funciones del sistema de información se alineen con la estrategia de negocios que el sistema respalda. ^[15]

Actualizaciones de la revisión 2

Los objetivos clave para la actualización de la Revisión 2 del RMF incluyeron los siguientes: ^[16]

• Mejorar la comunicación entre las actividades de gestión de riesgos a nivel ejecutivo (C-suite) y aquellas a nivel de sistema y operativo;
• Institucionalizar actividades preparatorias de gestión de riesgos críticos en todos los niveles para facilitar una ejecución más eficaz y rentable del MGR;
• Demostrar cómo el Marco de Ciberseguridad del NIST puede alinearse con el RMF e implementarse a través de procesos de gestión de riesgos establecidos por el NIST;
• Integrar la gestión de riesgos de privacidad en el RMF para abordar mejor las responsabilidades de protección de la privacidad;
• Promover el desarrollo de software y sistemas confiables y seguros alineando los procesos de ingeniería de sistemas en NIST SP 800-160 Volumen 1, ^[17] con las tareas relevantes en el RMF;
• Incorporar conceptos de gestión de riesgos de la cadena de suministro (SCRM) relacionados con la seguridad en el RMF, abordando riesgos como componentes falsificados, manipulación, inserción de códigos maliciosos y malas prácticas de fabricación a lo largo del ciclo de vida del desarrollo del sistema (SDLC); y
• Permitir un enfoque de selección de control generado por la organización para complementar el enfoque de selección de control de referencia tradicional, apoyando el uso del catálogo de control consolidado en NIST SP 800-53 Revisión 5. ^[2]

La Revisión 2 también introdujo un nuevo paso de “Preparación” (paso 0) para mejorar la eficacia, eficiencia y relación coste-beneficio de los procesos de gestión de riesgos de seguridad y privacidad. ^[16]

Véase también

• Proceso de acreditación y certificación de garantía de la información del Departamento de Defensa (DIACAP): predecesor del RMF
• Arquitectura de confianza cero
• Marco de ciberseguridad del NIST
• Cuantificación del riesgo cibernético
• Esquema de seguridad informática

Referencias

1. Joint Task Force (diciembre de 2018), SP 800-37 Rev. 2 - Marco de gestión de riesgos para sistemas de información y organizaciones: un enfoque del ciclo de vida del sistema para la seguridad y la privacidad , NIST , doi :10.6028/NIST.SP.800-37r2
2. Joint Task Force (septiembre de 2020), SP 800-53 Rev. 5 - Controles de seguridad y privacidad para sistemas de información y organizaciones , NIST , doi :10.6028/NIST.SP.800-53r5
3. Joint Task Force (febrero de 2010), SP 800-37 Rev. 1 - Guía para la aplicación del marco de gestión de riesgos a los sistemas de información federales: un enfoque de ciclo de vida de seguridad , NIST , doi :10.6028/NIST.SP.800-37r1
4. Iniciativa de transformación del grupo de trabajo conjunto (septiembre de 2012), SP 800-30 Rev. 1 - Guía para la realización de evaluaciones de riesgos , NIST , doi :10.6028/NIST.SP.800-30r1
5. Dempsey, Kelley; Chawla, Nirali; Johnson, L.; Johnston, Ronald; Jones, Alicia; Orebaugh, Angela; Scholl, Matthew; Stine, Kevin (septiembre de 2011), SP 800-137 - Monitoreo continuo de seguridad de la información (ISCM) para sistemas y organizaciones de información federales , NIST , doi :10.6028/NIST.SP.800-137
6. Stine, Kevin; Kissel, Richard; Barker, William; Fahlsing, Jim; Gulick, Jessica (agosto de 2008), SP 800-60 Vol. 1 Rev. 1 - Guía para la asignación de tipos de información y sistemas de información a categorías de seguridad , NIST , doi :10.6028/NIST.SP.800-60v1r1
7. Stine, Kevin; Kissel, Richard; Barker, William; Lee, Annabelle; Fahlsing, Jim (agosto de 2008), SP 800-60 Vol. 2 Rev. 1 - Guía para la asignación de tipos de información y sistemas de información a categorías de seguridad: Apéndices , NIST , doi :10.6028/NIST.SP.800-60v2r1
8. NIST (febrero de 2004), FIPS 199 - Estándares para la categorización de seguridad de la información federal y los sistemas de información , doi :10.6028/NIST.FIPS.199
9. NIST (marzo de 2006), FIPS 200 - Requisitos mínimos de seguridad para información federal y sistemas de información , doi :10.6028/NIST.FIPS.200
10. Grupo de trabajo conjunto (enero de 2022), SP 800-53A Rev. 5 - Evaluación de controles de seguridad y privacidad en sistemas de información y organizaciones , NIST , doi :10.6028/NIST.SP.800-53Ar5
11. Publicación L.Tooltip Derecho público (Estados Unidos) 107–347 (texto) (PDF)
12. "Ley de Modernización de la Seguridad de la Información Federal". CISA . Consultado el 26 de julio de 2024 .
13. Publicación L.Tooltip Derecho público (Estados Unidos) 113–283 (texto) (PDF)
14. Samejima, M.; Yajima, H. (2012). Marco de gestión de riesgos de TI para la continuidad del negocio mediante el análisis de cambios en el sistema de información . IEEE International Conference on Systems, Man and Cybernetics (SMC). págs. 1670–1674. doi :10.1109/ICSMC.2012.6377977.
15. Ji, Zhigang (2009). Un estudio empírico sobre el marco de riesgo basado en el sistema de información empresarial . Conferencia internacional de 2009 sobre ingeniería de información biomédica del futuro (FBIE). págs. 187–190. doi :10.1109/FBIE.2009.5405879.
16. División de Seguridad Informática, Laboratorio de Tecnología de la Información (18 de diciembre de 2018). "Actualización de RMF: NIST publica SP 800-37 Rev. 2 | CSRC". CSRC | NIST . Consultado el 26 de julio de 2021 .
17. Ross, Ron; McEvilley, Michael; Winstead, Mark (noviembre de 2022), SP 800-160 Vol. 1 Rev. 1 - Ingeniería de sistemas seguros y confiables , doi :10.6028/NIST.SP.800-160v1r1

Enlaces externos

• Descripción general del marco de gestión de riesgos
• Indexador de control RMF
• Marco de ciberseguridad del NIST (CSF)
• Norma de análisis de riesgos del deber de cuidado (DoCRA): prácticas para definir niveles aceptables de riesgo y establecer una seguridad razonable.