¿Qué es el marco de gestión de riesgos del NIST?
El Marco de Gestión de Riesgos (RMF) del Instituto Nacional de Estándares y Tecnología (NIST) es un proceso voluntario de siete pasos creado para "mejorar la seguridad de la información, fortalecer los procesos de gestión de riesgos y fomentar la reciprocidad entre las agencias federales". En particular, combina la gestión de riesgos y la seguridad de TI en el ciclo de vida del desarrollo de sistemas, lo que requiere que las empresas implementen sistemas de gobierno de datos y modelado de amenazas para reducir el riesgo.
La historia de NIST RMF
El NIST y el Departamento de Defensa de los Estados Unidos (DoD) trabajaron juntos para establecer un marco unificado de ciberseguridad para el gobierno federal. Esto es lo que se convirtió en el NIST RMF. El RMF fue diseñado para ayudar a las agencias federales a cumplir con las estrictas demandas de políticas como la Ley de Privacidad de 1974 y la Ley Federal de Modernización de la Seguridad de la Información de 2014 (FISMA), aunque su amplia aplicación y su base de seguridad integral también lo han hecho popular entre las empresas privadas.
Cumplimiento de NIST RMF: ¿Quién debe cumplir?
Todas las agencias federales deben cumplir con el Marco de Gestión de Riesgos del NIST. Si bien se desarrolló originalmente en asociación con el Departamento de Defensa, fue adoptado por todos los sistemas de información federales del gobierno de los EE. UU. en 2010 y sigue en uso en la actualidad.
NIST RMF en el sector privado
Si bien no es un requisito más allá de las agencias federales, debe tenerse en cuenta que el sector privado y las organizaciones sin fines de lucro han encontrado que NIST RMF es útil para mejorar su postura de seguridad y lograr el cumplimiento. El uso de RMF refuerza el cumplimiento de estándares como GDPR y el Marco de Ciberseguridad (CSF) del NIST y ayuda a las empresas a identificar y responder más rápidamente a nuevas amenazas y vulnerabilidades.
Los siete pasos del NIST RMF: Lista de verificación de cumplimiento
El NIST enumera siete componentes principales del RMF. Estos pasos son secuenciales y están diseñados para ser flexibles, repetibles, integrales y medibles para que las agencias de todo tipo puedan integrarlos sin problemas en sus procesos.
Paso 1: Prepárate
Nuevo paso agregado en la Revisión 2 del RMF para reducir la complejidad y respaldar los otros pasos.
Consulte la guía de inicio rápido de RMF sobre Preparación para obtener más detalles.
Referencias: Publicaciones especiales del NIST 800-30, 800-39, 800-18, 800-160 Volumen 1, NISTIR 8062
Nuevo paso agregado en la Revisión 2 del RMF para reducir la complejidad y respaldar los otros pasos.
Consulte la guía de inicio rápido de RMF sobre Preparación para obtener más detalles.
Referencias: Publicaciones especiales del NIST 800-30, 800-39, 800-18, 800-160 Volumen 1, NISTIR 8062
Paso 2: Categorizar el sistema de información
Clasifique y etiquete los datos y los sistemas para obtener una evaluación de riesgos precisa.
Esto informará el nivel de controles que deben aplicarse.
Guía de inicio rápido de Categorize Step
Referencias: Publicación FIPS 199; NIST Publicaciones especiales 800-30, 800-39, 800-59, 800-60 Volumen 1 y Volumen 2; Instrucción CNSS 1253.
Clasifique y etiquete los datos y los sistemas para obtener una evaluación de riesgos precisa.
Esto informará el nivel de controles que deben aplicarse.
Guía de inicio rápido de Categorize Step
Referencias: Publicación FIPS 199; NIST Publicaciones especiales 800-30, 800-39, 800-59, 800-60 Volumen 1 y Volumen 2; Instrucción CNSS 1253.
Paso 3: Seleccione los controles de seguridad
Revise la categorización para seleccionar los controles de seguridad adecuados.
Revise y ajuste los controles en función del perfil de riesgo cambiante.
Guía de inicio rápido de Select Step
Referencias: Publicaciones FIPS 199, 200; Publicaciones especiales del NIST 800-30, 800-53, 800-53B; Instrucción CNSS 1253.
Revise la categorización para seleccionar los controles de seguridad adecuados.
Revise y ajuste los controles en función del perfil de riesgo cambiante.
Guía de inicio rápido de Select Step
Referencias: Publicaciones FIPS 199, 200; Publicaciones especiales del NIST 800-30, 800-53, 800-53B; Instrucción CNSS 1253.
Paso 4: Implementar controles de seguridad
Asegúrese de que los controles de seguridad se hayan implementado correctamente con políticas y gestión adecuadas por parte de personal calificado.
Guía de inicio rápido de pasos de implementación
Referencias: Publicación FIPS 200; Publicaciones especiales del NIST 800-34, 800-61, 800-128; Instrucción CNSS 1253; Web: SCAP. NIST.GOV.
Asegúrese de que los controles de seguridad se hayan implementado correctamente con políticas y gestión adecuadas por parte de personal calificado.
Guía de inicio rápido de pasos de implementación
Referencias: Publicación FIPS 200; Publicaciones especiales del NIST 800-34, 800-61, 800-128; Instrucción CNSS 1253; Web: SCAP. NIST.GOV.
Paso 5: Evaluar los controles de seguridad
Los controles de validación se han implementado con éxito y producen los resultados deseados.
Guía de inicio rápido de Assess Step
Referencias: Publicación especial del NIST 800-53A, NISTIR 8011.
Los controles de validación se han implementado con éxito y producen los resultados deseados.
Guía de inicio rápido de Assess Step
Referencias: Publicación especial del NIST 800-53A, NISTIR 8011.
Paso 6: Autorizar el sistema de información
Cree un proceso de aprobación formal con funcionarios de autorización designados.
Esto proporciona seguimiento y estado para todos los controles.
Guía de inicio rápido de Authorize Step
Referencias: Memorando OMB 02-01; Publicaciones especiales del NIST 800-30, 800-39, 800-53A
Cree un proceso de aprobación formal con funcionarios de autorización designados.
Esto proporciona seguimiento y estado para todos los controles.
Guía de inicio rápido de Authorize Step
Referencias: Memorando OMB 02-01; Publicaciones especiales del NIST 800-30, 800-39, 800-53A
Paso 7: Supervisar los controles de seguridad
Supervise continuamente la eficacia de los controles de seguridad y realice los cambios necesarios para garantizar la eficacia.
Guía de inicio rápido de Monitor Step
Referencias: Publicaciones especiales del NIST 800-53A, 800-53, 800-137; NISTIR 8011, NISTIR 8212.
Supervise continuamente la eficacia de los controles de seguridad y realice los cambios necesarios para garantizar la eficacia.
Guía de inicio rápido de Monitor Step
Referencias: Publicaciones especiales del NIST 800-53A, 800-53, 800-137; NISTIR 8011, NISTIR 8212.
Fortra y el marco RMF del NIST
Seguridad ofensiva
Vulnerability Management
Email Security y Anti-Phishing
Protección de datos
Gestión de la integridad
Capacitación en concientización sobre seguridad
Componentes clave de NIST RMF
Delimitación clara de roles y responsabilidades
Integración entre NIST RMF y otros procesos de gestión de riesgos
Herramientas y tecnologías clave de ciberseguridad
Beneficios de implementar NIST RMF
Mejorar la seguridad general y fomentar una cultura de conciencia de riesgos con una postura proactiva y siguiendo un enfoque estructurado de gestión de riesgos.
Postura de seguridad
Mejore la posición de seguridad de su organización cuando:
- Identificar vulnerabilidades
- Evaluar amenazas
- Implementar controles efectivos
Cumplimiento simplificado
El cumplimiento de las regulaciones y estándares federales simplifica:
- Cumplir de forma proactiva con los mandatos de ciberseguridad
- Calificar para contratos comerciales con agencias federales
Mejora continua
La mejora continua permite a su organización:
- Adáptese al panorama de amenazas en constante evolución
- Mantener controles efectivos y relevantes
- Promover prácticas organizacionales resilientes
Más información sobre Fortra para el gobierno
Confíe en la experiencia cuando se trata de proteger su agencia gubernamental. Descubra las muchas formas en que la cartera de soluciones de Fortra protege al sector público.