La responsabilidad de asegurar información federal estadounidense altamente sensible —incluida la información de seguridad nacional— no es responsabilidad exclusiva del gobierno federal. Cualquiera que acceda a estos datos es responsable de su protección.
Contratistas, subcontratistas y otros terceros y proveedores que trabajan con agencias federales como la Departamento de Defensa de los Estados Unidos (DoD) Comúnmente manejan datos gubernamentales confidenciales, denominados información no clasificada controlada (CUI). Estos contratistas son responsables de adherirse a la Publicación Especial 800-171 del Instituto Nacional de Estándares y Tecnología (NIST SP 800-171).
¿Qué es NIST SP 800-171?
El Instituto Nacional de Estándares y Tecnología (NIST), que ha emitido numerosas normas, además de la 800-171, a lo largo de más de un siglo, es una agencia no reguladora del Departamento de Comercio de Estados Unidos. Su misión declarada es «promover la innovación y la competitividad industrial de Estados Unidos mediante el avance de la ciencia, los estándares y la tecnología de la medición, de manera que se mejore la seguridad económica y la calidad de vida».
El marco 800-171 define un conjunto de mejores prácticas para que las entidades no gubernamentales protejan la CUI y mantengan programas de ciberseguridad eficaces. Muchas leyes, regulaciones y requisitos de cumplimiento, como la Certificación del Modelo de Madurez de Ciberseguridad, o CMMC — alinearse estrechamente con el marco NIST SP 800.
¿A quién se aplica el NIST SP 800-171?
La mayoría de los contratistas y subcontratistas que trabajan en cualquier parte de la cadena de suministro federal comprenden su necesidad de cumplir con el NIST o, de lo contrario, desaparecer. El Departamento de Defensa trabaja con estas empresas externas en muchas funciones esenciales, y esa labor requiere compartir datos confidenciales. Los tipos comunes de contratistas gubernamentales incluyen:
- contratistas de defensa
- Organizaciones financieras
- Organizaciones de atención médica
- Colegios y universidades
- Institutos de ciencia e investigación
- Proveedores de web, comunicación y tecnología
Esta no es una lista exhaustiva. Implementar la norma NIST SP 800-171 es necesario para todas las empresas que gestionan CUI. Es el juego que debes seguir si quieres contratar con el gobierno federal.
¿Qué es CUI (Información No Clasificada Controlada)?
La CUI se define como “información que el gobierno crea o posee, o que una entidad crea o posee para o en nombre del gobierno, que una ley, reglamento o política gubernamental requiere o permite que una agencia maneje utilizando controles de protección o difusión”.
Más directamente, la CUI es información gubernamental que, si bien no está clasificada, sigue siendo sensible y, por lo tanto, requiere controles y salvaguardas de seguridad especiales.
Existen muchos tipos de CUI. La Administración Nacional de Archivos y Registros (NARA) ha definido 20 categorías y 124 subcategorías de CUI que deben protegerse. Estas categorías incluyen datos de infraestructura crítica, defensa, control de exportaciones, finanzas, asuntos internacionales, aplicación de la ley, patentes, transporte, políticas y procedimientos legales y nucleares, y muchos más.
¿Por qué es necesario salvaguardar la CUI?
Aunque el lema omnipresente en las películas de espionaje y suspenso “eso es clasificado” puede tener más peso en la cultura pop que su contraparte “no clasificado”, una gran cantidad de datos no clasificados siguen siendo altamente sensibles. Infracciones La difusión de datos no clasificados puede perturbar los programas y procedimientos económicos y de seguridad nacional, lo que puede tener consecuencias desastrosas para las operaciones organizacionales, los activos financieros y las personas.
Además, la pérdida o la protección inadecuada de la CUI puede tener un impacto directo en la seguridad nacional, y las amenazas a la ciberseguridad que enfrentan el gobierno federal y el Departamento de Defensa están en constante aumento, ya sea debido a filtraciones, espionaje o negligencia.
Las empresas que no cumplen con la norma NIST 800-171 para proteger eficazmente la CUI enfrentan las consecuencias de contratos cancelados rápidamente, demandas, multas y daños a la reputación.
¿Cuáles son los controles NIST 800-171?
Si usted es contratista y trabaja con el Departamento de Defensa de los Estados Unidos (DoD), es posible que deba cumplir con los controles de la norma NIST 800-171. Estos controles son un conjunto de directrices que garantizan la protección de la información no clasificada controlada (CUI) en sistemas y organizaciones de información no federales. Las directrices describen los requisitos mínimos de seguridad que deben cumplirse para salvaguardar la confidencialidad, integridad y disponibilidad de la CUI.
Los controles NIST 800-171 se dividen en 14 familias que abarcan temas como control de acceso, concientización y capacitación, respuesta a incidentes y protección de sistemas y comunicaciones. El cumplimiento de estos controles requiere que una organización realice evaluaciones de riesgos periódicas, desarrolle e implemente planes de seguridad y mantenga documentación que demuestre su cumplimiento. Al adherirse a estos controles, los contratistas pueden proteger mejor la información confidencial y mantener la confianza del Departamento de Defensa.
Normas y requisitos del NIST SP 800-171
1. Control de acceso
22 requisitos para salvaguardar el flujo de información confidencial dentro de redes y sistemas, y proteger el acceso a dichas redes y sistemas.
2. Concienciación y formación
3 requisitos para garantizar que los administradores de sistemas, los usuarios y los empleados conozcan los riesgos de ciberseguridad que enfrentan y estén capacitados en los procedimientos de seguridad.
3. Auditoría y rendición de cuentas
9 requisitos para auditar y analizar registros de sistemas y eventos, incluidos el registro, el almacenamiento y la revisión de registros.
4. Gestión de la configuración
9 requisitos para configurar hardware y software en sistemas y redes, evitar la instalación de software no autorizado y restringir programas no esenciales.
5. Identificación y autenticación
11 requisitos para identificar usuarios autorizados, supervisar procedimientos y políticas de contraseñas y hacer cumplir las distinciones entre acceso privilegiado y no privilegiado.
6. Respuesta a incidentes
3 requisitos para garantizar que existan capacidades para detectar, contener y recuperar datos para una variedad de incidentes de ciberseguridad, además de probar estas capacidades.
7. Mantenimiento
6 requisitos para determinar las mejores prácticas en torno a los procedimientos de mantenimiento de red y asegurarse de que se realicen periódicamente y por partes autorizadas.
8. Protección de los medios
9 requisitos para establecer las mejores prácticas para la gestión o eliminación de datos y medios sensibles, tanto físicos como digitales.
9. Seguridad del personal
2 requisitos para salvaguardar la CUI asociada al personal y los empleados: primero, examinar a las personas antes de que accedan a datos confidenciales y segundo, terminar o transferir la autorización.
10. Protección física
6 requisitos para controlar el acceso físico a la CUI, incluido el acceso de visitantes a los lugares de trabajo, hardware, dispositivos y equipos.
11. Evaluación de riesgos
2 requisitos para que las organizaciones analicen periódicamente sus sistemas en busca de vulnerabilidades, mantengan los dispositivos de red y el software actualizados y seguros y, de lo contrario, realicen evaluaciones de riesgos periódicamente.
12. Evaluación de seguridad
4 requisitos para garantizar que los planes para salvaguardar la CUI sigan siendo eficaces mediante el desarrollo, la supervisión, la renovación y la revisión de los controles del sistema y los planes y procedimientos de seguridad.
13. Protección del sistema y de las comunicaciones
16 requisitos para monitorear los sistemas que transmiten información, restringir la transferencia no autorizada de información y promulgar mejores prácticas en torno a políticas de cifrado.
14. Integridad del sistema y de la información
7 requisitos para supervisar la protección continua de los sistemas dentro de la organización, incluidos los procesos para identificar el uso no autorizado y el desempeño de las alertas de seguridad del sistema.
Lista de verificación de cumplimiento de NIST 800-171
Para cumplir con la norma NIST 800-171, debe aprobar una auditoría realizada por una entidad certificada o un socio de ciberseguridad. Antes de la auditoría, debe tomar algunas medidas iniciales que no sean demasiado complejas ni requieran mucho tiempo. Para ayudarle a prepararse para una auditoría NIST sin contratiempos, siga esta práctica lista de verificación:
1. Identifique el alcance de sus esfuerzos de cumplimiento: El primer paso es determinar el alcance de sus esfuerzos de cumplimiento. Esto implica examinar la norma NIST 800-171 e identificar los controles y requisitos aplicables a su organización. Es posible que necesite capacitación adicional, implementar controles de acceso físico más rigurosos y establecer un proceso de protección de medios.
También debe ajustar los límites de su sistema para garantizar que solo las partes necesarias de su organización se incluyan en el alcance del cumplimiento. Al identificar el alcance de sus esfuerzos de cumplimiento, puede enfocar sus recursos de forma más eficaz y garantizar el cumplimiento de todos los requisitos necesarios.
2. Reúna la documentación necesaria: Para aprobar una auditoría de cumplimiento de la norma NIST 800-171, necesita documentación que acredite el cumplimiento de todos los controles y requisitos. Deberá recopilar documentación sobre diversas áreas antes de la auditoría, incluyendo la arquitectura del sistema y la red, los límites del sistema, el flujo de datos, el personal, los procesos y procedimientos, y los cambios previstos.
Al reunir esta documentación, puede demostrar que tiene una comprensión integral de las necesidades de su organización. postura de seguridad y están tomando las medidas adecuadas para proteger la Información Controlada No Clasificada (CUI).
3. Realizar un análisis de brechas y revisar: Es importante comprender las brechas entre su estado actual y el cumplimiento total de la norma NIST 800-171. Céntrese en los requisitos principales de control de acceso y vaya avanzando gradualmente. Documente cualquier falla de diseño o brecha de control para poder realizar los cambios necesarios.
Un socio experimentado del NIST puede ayudarle a crear el análisis de brechas y la revisión del sistema más completos posibles. Al realizar un análisis y una revisión de brechas, podrá identificar áreas donde necesita mejorar su seguridad y tomar las medidas adecuadas para abordar cualquier deficiencia.
4. Desarrollar un plan de seguridad y un plan de remediación: Una vez completado el análisis de brechas, puede comenzar a planificar en diversos frentes. Primero, deberá formular y documentar un plan de seguridad general que cumpla con las normas del NIST. Este plan debe describir las metas, objetivos y procedimientos de seguridad de su organización.
También deberías crear un plan de remediación En caso de que la CUI se vea comprometida, esto debe cumplir con los requisitos del NIST para evitar sanciones. Finalmente, necesitará un Plan de Acción e Hitos (POAandM) para garantizar que todo el proyecto siga su curso. Al desarrollar un plan de seguridad y un plan de remediación, puede asegurarse de que su organización esté bien preparada para responder a cualquier incidente de seguridad y minimizar el impacto de cualquier brecha.
5. Recopilar evidencia del registro de auditoría: A medida que implemente cambios para el cumplimiento normativo, deberá generar evidencia de auditoría que demuestre sus acciones y garantice la rendición de cuentas. Esto incluye identificar los requisitos de auditoría que abordará según los 14 criterios NIST 800-171 mencionados anteriormente.
La evidencia del registro de auditoría puede incluir registros del sistema, informes de incidentes de seguridad y otra documentación que demuestre que cumple con los requisitos necesarios. Al recopilar evidencia del registro de auditoría, puede demostrar a los auditores que está tomando las medidas adecuadas para proteger la CUI y garantizar el cumplimiento de la norma NIST 800-171.
Cumplimiento de la norma NIST SP 800-171 en 2023
Muchos contratistas del Departamento de Defensa (DoD) necesitan no solo cumplir con el NIST, sino también con el CMMC. Según las actualizaciones y mejoras del CMMC 2.0 anunciadas en noviembre de 2021, los requisitos de certificación varían según la sensibilidad de la CUI que maneja una empresa.
Para comenzar, las organizaciones necesitan evaluar sus programas de seguridad en términos de controles de acceso, gestión de riesgos, un plan de respuesta a incidentes y más. 110 controles pueden parecer muchos, pero Capacidades de seguridad automatizadas basadas en ML de BigID tienen organizaciones cubiertas cuando se trata del cumplimiento de NIST SP 800-171 y CMMC 2.0.
Busque en BigID: profundidad y amplitud clasificación de datos funcionalidad que incluye PNL, clasificación difusa y tecnología gráfica; puntuación de riesgo automatizada que mide el riesgo en función de una variedad de tipos de datos; inteligencia de acceso a archivos que identifica datos sobreexpuestos y usuarios con privilegios excesivos; una aplicación de datos sobre violaciones que simplifica la respuesta a incidentes después de una violación; y mucho más.
Con lo más profundo Fundación para el descubrimiento de datos Allí afuera, BigID puede ayudar a cualquier empresa a encontrar y proteger todos sus CUI regulados y de alto riesgo; reducir de manera proactiva el riesgo en sus datos más sensibles; remediar, conservar o descartar información gubernamental confidencial; y, en última instancia, actualizar sus programas de seguridad. Cumplimiento del NIST normas.
Configure una demostración rápida para obtener más información sobre cómo proteger CUI con BigID — y conseguir más de esos grandes contratos gubernamentales.
Autor
