Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

¿Qué es la Ley Federal de Gestión de la Seguridad de la Información?

La Ley Federal de Gestión de Seguridad de la Información (FISMA) es una disposición ampliamente criticada en la Ley de Gobierno Electrónico …

de 2002, cuyo objetivo es mejorar la seguridad de la información del gobierno al exigir a las agencias federales que cumplan con los estándares e informen anualmente sobre sus sistemas de cumplimiento. Bajo FISMA, las agencias deben mantener un inventario de sus sistemas de información, implementar controles de seguridad, realizar evaluaciones de riesgo y certificar sus sistemas, entre otras cosas.

FISMA estableció un marco para la seguridad de la información y puso al Instituto Nacional de Estándares y Tecnología a cargo de elaborar estándares (Estándares Federales de Procesamiento de Información) para que los sigan las agencias. NIST también emite documentos de orientación y recomendaciones para la implementación de FISMA.

Desde el principio, el énfasis en FISMA ha estado en el desarrollo de una política basada en riesgos para brindar seguridad rentable para las agencias. En 2003, NIST estableció el Proyecto de Implementación de FISMA, que incluye el Marco de Gestión de Riesgos. El marco describe un proceso de certificación y acreditación, un conjunto de controles de seguridad y directrices para evaluar los controles. En uno de sus últimos documentos, publicado en junio, el NIST revisó sus pautas para evaluar los controles para poner un mayor énfasis en la gestión del riesgo en tiempo real.

La Oficina de Administración y Presupuesto emite los requisitos de informes de FISMA y envía un informe anual al Congreso sobre el cumplimiento de la agencia. Los legisladores suelen publicar un boletín de calificaciones anual de FISMA, comparando las calificaciones que reciben las agencias.

¿Quién está sujeto a FISMA y qué se requiere?

La Ley Federal de Administración de Seguridad de la Información se aplica a las agencias dentro del gobierno federal. Según la ley, estas agencias deben mantener un programa que brinde seguridad para la información y los sistemas de cumplimiento que respaldan sus operaciones. Los CIO, los funcionarios del programa y los inspectores generales de las agencias deben realizar una revisión anual del programa y enviar los resultados a la Oficina de Administración y Presupuesto (OMB).

Los jefes de las agencias son responsables de mantener un inventario de sus sistemas de información y cumplimiento. Las agencias tienen que determinar qué tipo de información tienen, clasificarla por el grado de daño que resultaría si estuviera comprometida y periódicamente realizar evaluaciones de riesgo. Deben reducir el riesgo a un nivel «aceptable» mediante la implementación de controles adecuados, que se certifican y prueban periódicamente. También deben tener planes establecidos para responder a los incidentes de seguridad y mantener la continuidad de las operaciones.

CONTENIDO RELACIONADO  Cómo prevenir ataques de desbordamiento de búfer

Los requisitos mínimos de seguridad y los controles detallados por NIST se consideran un punto de partida para que las agencias elijan los controles apropiados. Excepto donde la OMB diga lo contrario, las agencias tienen una flexibilidad considerable en la forma en que aplican las pautas del NIST. Esta flexibilidad ha llevado a regímenes de seguridad muy diferentes en diferentes agencias.

¿Cómo se han desempeñado las agencias federales con respecto a los requisitos de FISMA desde que se aprobó la ley?

En general, la calificación promedio que han recibido las agencias a lo largo de los años desde que se promulgó FISMA ha sido bastante baja, lo que ha dado pie a los críticos tanto de la ley como de las capacidades de seguridad de la información en el gobierno. En 2005, el Departamento de Defensa (DoD) y el Departamento de Seguridad Nacional se encontraban entre las ocho agencias que recibieron Fs. En 2007, la calificación promedio fue una C (con cinco agencias, incluido el Departamento del Tesoro y la Comisión Reguladora Nuclear, que fallaron rotundamente), frente a una C- el año anterior.

Como ha señalado el NIST, los criterios utilizados para evaluar la eficacia de los controles de seguridad han variado ampliamente, al igual que las expectativas y las medidas de éxito. Esta realidad se puso de relieve en 2008, cuando los informes de dos oficinas gubernamentales independientes utilizaron los mismos datos de FISMA para llegar a conclusiones muy diferentes sobre la efectividad de la ley.

En su informe FISMA de 2008 al Congreso, la OMB ofreció una perspectiva generalmente positiva, encontrando que la mayoría de las principales agencias federales habían logrado un «progreso incremental» en la reducción de la brecha entre el desempeño de seguridad y los criterios de desempeño establecidos.

Mientras tanto, la Oficina de Responsabilidad del Gobierno (GAO, por sus siglas en inglés), en un informe titulado «Seguridad de la información: se informan avances, pero persisten las debilidades en las agencias federales», denunció que aunque las agencias informaban mejoras, algunos de sus propios inspectores generales estaban cuestionando los procesos. usó. La GAO señaló que la mayoría de las agencias no habían implementado controles para monitorear adecuadamente el acceso; las agencias no siempre parcheaban los servidores principales de manera oportuna y algunas no mantenían planes completos de continuidad de operaciones.

CONTENIDO RELACIONADO  La nube, la consumerización y los wearables están de moda

¿Cómo GARP mejora la gobernanza de la información?

GARP crea una estructura para administrar todos los registros de una manera que respalde los requisitos reglamentarios, legales, de mitigación de riesgos, ambientales y operativos inmediatos y futuros de una organización.

Numerosos fallos judiciales han establecido una demanda legal de que los registros se mantengan de acuerdo con los requisitos, que esos registros sean precisos y que una organización establezca la responsabilidad para garantizar que los registros se mantengan correctamente. GARP proporciona una hoja de ruta que deben seguir las organizaciones para cumplir con este criterio.

El entorno actual tiene muchas regulaciones y es propenso a litigios. El grado de exposición de una organización al riesgo de sanciones legales y su capacidad para responder a auditorías o demandas depende en gran medida de qué tan bien se gestionen los registros y la seguridad de la información de la organización. Establecer GARP dentro de una organización demuestra un cumplimiento razonable de las mejores prácticas.

Los beneficios de implementar GARP en el programa de gestión de la información de una organización se materializan cuando los registros de la organización demuestran de manera precisa y eficiente lo que ha hecho y promueven la planificación para el futuro.

MÁS INFORMACIÓN:
ARMA.org
El sitio web oficial de ARMA International, una organización sin fines de lucro centrada en la gestión de información de registros.

¿Cuáles son las sanciones por no cumplir con los requisitos de FISMA?

Desde que el Congreso publica los resultados FISMA de las agencias cada año, el desprecio público ha sido una de las principales sanciones por incumplimiento. Los CIO federales también corren el riesgo de ser llamados al Capitolio para testificar si sus agencias reciben calificaciones bajas. Desde que se promulgó FISMA, los legisladores han amenazado con recortar los presupuestos de las agencias si no mejoran sus puntajes FISMA.

¿Cuáles ven los críticos de la ley como sus principales deficiencias y qué cambios al FISMA se están preparando?

La crítica que se escucha con más frecuencia sobre la Ley Federal de Administración de Seguridad de la Información es que ha llevado a una preocupación por el papeleo, un énfasis en cumplir con una lista de verificación de tareas, en lugar de mejoras de seguridad reales. Alan Paller, del SANS Institute, ha sido particularmente ruidoso en esta línea de crítica, acusando que la legislación ha ralentizado los procesos en las agencias, ha desviado recursos de las inversiones de seguridad necesarias y ha dado lugar a informes engañosos. Los críticos también están cada vez más preocupados de que la ley no promueva la conciencia de las amenazas y vulnerabilidades en tiempo real.

CONTENIDO RELACIONADO  Seguridad de contenedores frente a VM: ¿cuál es mejor?

Los legisladores han expresado su frustración por la forma en que se ha implementado la ley. En octubre de 2009, el Subcomité Senatorial de Gestión Financiera Federal, Información Gubernamental, Servicios Federales y Seguridad Internacional celebró una audiencia, durante la cual se reprendió a la OMB. El senador Thomas R. Carper (D-Del.), Presidente del subcomité, señaló que la OMB no rastrea cuánto gastan las agencias en seguridad de la información o si «realmente resultó en una seguridad mejorada».

A raíz del creciente coro de críticas, la OMB ha realizado algunos cambios en los requisitos de informes de las agencias. En su informe del año fiscal 2009 al Congreso sobre la implementación de FISMA, la OMB llamó a las métricas de cumplimiento originales “indicadores rezagados” que no se enfocaban en los resultados. En septiembre de 2009 se estableció un grupo de trabajo de la OMB para establecer nuevas métricas centradas en los resultados en lugar del cumplimiento, y se espera que las agencias las utilicen en sus informes de 2010. También se les pidió a las agencias que informaran la cantidad real que gastan en seguridad de la información. En abril, la OMB publicó nuevos requisitos de informes que enfatizan el monitoreo del sistema en tiempo real.

Las facturas de ciberseguridad, incluidas las actualizaciones de FISMA, se presentan con bastante regularidad, pero pocas llegan a buen término. En junio, el senador Carper se unió a dos de sus colegas para presentar la protección del ciberespacio como una ley de activos nacionales de 2010, que eliminaría el método de informe manual de FISMA y requeriría que las agencias avancen hacia un monitoreo automatizado continuo.

En mayo, la Cámara de Representantes aprobó la “Ley Federal de Administración de Seguridad de la Información de 2010 (denominada FISMA 2.0) como parte de un proyecto de ley de gastos del Departamento de Defensa. Entre otras cosas, la legislación requería que las agencias usaran herramientas de monitoreo y medición automatizadas para evaluar la vulnerabilidad y tomar en consideración la seguridad de la información al tomar decisiones sobre adquisiciones.

Háganos saber lo que piensa sobre las preguntas frecuentes; Email: [email protected].

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

Cómo funciona IaC y cómo usarlo

La infraestructura como código es una de las filosofías centrales de la cultura DevOps, que tiene como objetivo reducir la fricción y mejorar la colaboración entre diferentes organizaciones y equipos. IaC aplica las mejores prácticas

Utilidad de búsqueda barebones para Windows

La herramienta de línea de comandos grep de Unix es una forma de buscar iterativamente a través de archivos y carpetas una cadena en particular para que coincida con un nombre de archivo o el

¿Qué es Blade PC (o PC Blade)?

Una Blade PC, también llamada PC Blade, es una computadora que está completamente contenida en una tarjeta de circuito modular delgada colocada en una ubicación centralizada y segura, como un rack de servidores. Un cable

Premios a la innovación de acceso: reglas y criterios

Los premios Access Innovation Awards reconocerán proyectos informáticos de usuarios finales excepcionalmente innovadores y exitosos. Los proveedores nominan las iniciativas informáticas del usuario final de los clientes, destacando el uso de sus productos. Es elegible

El efecto Amazonas – SearchAWS

Los expertos plantean preocupaciones de privacidad sobre la vigilancia de la flota de Amazon Amazon dijo que su sistema de monitoreo de camionetas está diseñado únicamente para la seguridad del conductor. Pero muchos expertos de

¿Qué es el núcleo digital? – Definición de Krypton Solid

El núcleo digital son las plataformas y aplicaciones tecnológicas que permiten a las organizaciones transformarse en negocios digitales y satisfacer las nuevas necesidades de la economía digital. El núcleo digital incluye tecnologías de próxima generación

Amazon chatbots empleará redes neuronales para CX

Amazon está probando dos variaciones de chatbots de redes neuronales para su servicio al cliente, específicamente para manejar reembolsos y cancelaciones de pedidos. Un chatbot de Amazon ayuda a los clientes con el autoservicio; el

¿Qué es Colocación (Colo)?

Una instalación de colocación, o colo, es una instalación de centro de datos en la que una empresa puede alquilar espacio para servidores y otro hardware informático. Por lo general, un colo proporciona el edificio,

¿Qué es la API del proveedor en la nube?

Una API de proveedor de nube es una interfaz de programa de aplicación que permite al usuario final interactuar con el servicio de un proveedor de nube. Las API del proveedor de la nube admiten

Conceptos básicos de DB2

SearchDataManagement.com cubre regularmente los conceptos básicos, las noticias y las tendencias laborales de IBM DB2. Haga que esta guía básica de DB2 sea su recurso para aprender y mantenerse actualizado en todos los aspectos de

La nube es clave para canalizar el futuro

Ofrecer a los socios de canal una muestra de lo que vendrá en la Cumbre Ingram Micro Cloud, que se celebrará del 11 de abril al mes de abril. 13 pulg Phoenix, Arizona, el distribuidor

De diagramas de casos de uso a diagramas de contexto

Siempre que los profesionales reconozcan que los diagramas de casos de uso son opcionales e icónicos (a diferencia de los esquemáticos), no deberían tener problemas. Los diagramas son útiles, por ejemplo, en pizarras blancas como

Herramientas de administración de escritorio y mejores prácticas

Los cinco procesos clave de administración de inventario, monitoreo, implementación de software, parcheo y administración de seguridad pueden implementarse de diferentes maneras. Las organizaciones pequeñas tienen necesidades diferentes a las de las grandes empresas, y

Efectos de COVID-19 en los socios de canal

A medida que la pandemia de COVID-19 continúa propagándose, también lo hacen la incertidumbre y la agitación económica que la acompañan. Las infecciones en espiral y las tasas de mortalidad aleccionadoras han forzado cambios radicales

¿Qué es AMD-V (virtualización AMD)?

¿Qué es AMD-V? AMD-V (virtualización AMD) es un conjunto de extensiones de hardware para la arquitectura del procesador X86. Advanced Micro Dynamics (AMD) diseñó las extensiones para realizar tareas repetitivas normalmente realizadas por software y

Cambiar la fecha y la hora en SQL Server usando T-SQL

Cuidado, esta opción es extremadamente peligrosa. Evitará que se ejecuten todos sus trabajos programados. Ciertamente, no lo use usted mismo, pero puede ser útil verificar que nadie en su organización ya lo haya usado. ¡Es

Proteja su empresa contra la TI en la sombra en la nube

Una cantidad cada vez mayor de actividades empresariales tiene lugar en la nube, desde la nómina hasta los proyectos y desde las copias de seguridad hasta la planificación empresarial. Los beneficios de la computación basada

Organismos de estándares de diseño de centros de datos

Varias organizaciones producen normas, mejores prácticas y pautas de diseño de centros de datos. Este glosario le permite realizar un seguimiento de qué organismo produce qué estándares y qué significa cada acrónimo. Imprima o marque

Tres pasos para asegurar la función como servicio

La computación sin servidor, o la función como un servicio, puede resultar confusa para los profesionales que no están familiarizados con ella. Esto se debe en parte a que existen tantos tipos diferentes de funciones

Deja un comentario