Uso Compartido de Archivos Cumpliente con NIST 800-171—Lo Que Necesitas Saber
En respuesta a las crecientes amenazas de seguridad por parte de estados nacionales, hacktivistas y otras partes maliciosas, el Departamento de Defensa de los EE. UU. (DoD) ha estado elevando sus estándares de ciberseguridad.
Una enmienda a DFARS 252.204-7012, una regulación que aborda la “Protección de Información de Defensa Cubierta y Reporte de Incidentes Cibernéticos”, requiere que los contratistas y subcontratistas del DoD implementen todos los requisitos de seguridad listados en la Publicación Especial (SP)800-171 del Instituto Nacional de Estándares y Tecnología (NIST), “Protección de Información No Clasificada Controlada en Sistemas y Organizaciones No Federales”.
NIST SP 800-171 es un conjunto de directrices creado por el Instituto Nacional de Estándares y Tecnología (NIST) para proteger la confidencialidad de la información no clasificada controlada (CUI) en sistemas y organizaciones no federales. Este conjunto de estándares destaca la necesidad de proteger la CUI de la mayoría de las amenazas, descritas en el documento, incluyendo el acceso no autorizado, la divulgación o la modificación.
NIST 800-171 enumera más de 100 diferentes requisitos de seguridad, cubriendo 14 áreas diferentes de ciberseguridad. Se requería que los contratistas y subcontratistas implementaran todos estos requisitos en sus “sistemas cubiertos” para el 31 de diciembre de 2017. El incumplimiento puede llevar al DoD a terminar contratos.
Cumplimiento de la Serie 800 de NIST
La serie 800 de NIST es un conjunto de publicaciones de NIST que establecen los estándares para proteger los sistemas de información en los Estados Unidos. Los estándares son especialmente importantes para las organizaciones que trabajan con el gobierno federal, ya que se utilizan para asegurar que la información se gestione y proteja adecuadamente.
La serie 800 cubre áreas como la gestión de riesgos, la criptografía, el control de acceso y la supervisión. La serie 800 se actualiza regularmente para asegurar que todos los estándares sigan siendo relevantes y estén actualizados. Además, la serie 800 proporciona orientación sobre la selección de los controles de seguridad apropiados para cada sistema. Esto ayuda a las organizaciones a entender qué pasos deben tomar para asegurar que el sistema permanezca seguro.
Las organizaciones que deseen cumplir con la serie 800 de NIST deben tomar varios pasos. Primero, deben revisar los estándares y asegurarse de que su sistema cumpla con todos los requisitos. Luego, deben hacer que su sistema sea auditado por una tercera parte independiente para asegurar que los controles de seguridad cumplan con los estándares de la serie 800 de NIST. Finalmente, las organizaciones deben implementar cualquier cambio necesario para asegurar el cumplimiento.
El cumplimiento de la serie 800 de NIST es esencial para cualquier organización que maneje datos sensibles o procese transacciones en nombre del gobierno federal. Cumplir con la serie 800 de estándares demuestra que una organización está tomando los pasos necesarios para proteger su información y mantenerla segura. Esto ayuda a las organizaciones a ganar la confianza de sus clientes y socios, y les permite tener mayor confianza al tratar con datos sensibles.
Las 14 Familias de Requisitos de NIST 800-171
La Publicación Especial 800-171 de NIST establece directrices integrales para proteger la confidencialidad de la CUI dentro de los sistemas de información no federales. Estas directrices consisten en 14 familias de requisitos que las organizaciones deben abordar para mejorar la seguridad de la CUI.
Al implementar eficazmente estos requisitos, las organizaciones pueden fortalecer sus defensas y proteger la información sensible del acceso o divulgación no autorizados, asegurando la protección de datos críticos.
Familias de Requisitos de NIST 800-171
| Sección | Requisitos Clave |
|---|---|
| Control de Acceso | Implementar controles de acceso para proteger contenido y sistemas sensibles. |
| Conciencia y Capacitación | Proporcionar capacitación en conciencia de seguridad a los empleados para asegurar la comprensión de las políticas y procedimientos de seguridad. |
| Auditoría y Responsabilidad | Establecer medidas de auditoría y responsabilidad para rastrear y monitorear el acceso a contenido sensible. |
| Gestión de Configuración | Gestionar y controlar configuraciones de sistemas y dispositivos para prevenir el acceso o cambios no autorizados. |
| Identificación y Autenticación | Implementar mecanismos de autenticación fuertes para verificar la identidad de los usuarios que acceden a contenido sensible. |
| Respuesta a Incidentes | Desarrollar e implementar un plan de respuesta a incidentes para responder eficazmente a incidentes de seguridad. |
| Mantenimiento | Mantener regularmente el sistema para mantenerlo seguro y actualizado. |
| Protección de Medios | Proteger y controlar medios físicos y digitales que contengan contenido sensible. |
| Seguridad del Personal | Establecer políticas y procedimientos de seguridad del personal para proteger contenido sensible. |
| Protección Física | Implementar medidas de seguridad física para proteger contenido y sistemas sensibles. |
| Evaluación de Riesgos | Realizar evaluaciones de riesgos regulares para identificar y minimizar riesgos de seguridad. |
| Evaluación de Seguridad | Realizar evaluaciones de seguridad para asegurar el cumplimiento con los requisitos de seguridad. |
| Protección de Sistemas y Comunicaciones | Implementar controles de seguridad para proteger sistemas y canales de comunicación utilizados para contenido sensible. |
| Integridad del Sistema e Información | Implementar medidas para asegurar la integridad de sistemas e información que contengan contenido sensible. |
Cómo Implementar NIST SP 800-171
El primer paso que las organizaciones deben tomar al implementar NIST SP 800-171 es identificar la CUI en su ecosistema, así como su nivel de sensibilidad y las medidas de protección existentes. Una vez identificada la CUI, deben evaluar sus controles de seguridad actuales para determinar si alguna de las medidas de seguridad descritas en SP 800-171 ya está en su lugar.
A continuación, las organizaciones deben desarrollar los protocolos de seguridad necesarios para la CUI, como limitar el acceso físico, crear medidas de control de acceso e implementar cifrado. Además, las organizaciones deben evaluar el riesgo de amenazas potenciales y desarrollar un plan de respuesta a incidentes para abordar cualquier incidente de seguridad que pueda ocurrir.
Las organizaciones también necesitan asegurar que todos los usuarios de sus sistemas o redes entiendan sus roles y responsabilidades para proteger la CUI. Esto incluye proporcionar capacitación sobre protocolos de seguridad adecuados y realizar auditorías de seguridad regulares para asegurarse de que las medidas se estén implementando correctamente.
Las organizaciones deben también monitorear sus sistemas regularmente, verificando cualquier acceso no autorizado o actividad sospechosa. También deben proporcionar capacitación adicional en ciberseguridad al personal y actualizar los protocolos de seguridad según sea necesario.
Finalmente, las organizaciones deben documentar sus métodos preferidos de protección de la CUI y enviar la documentación a NIST para su revisión. Esto ayudará a asegurar que se cumplan los requisitos de NIST SP 800-171 y que la organización cumpla con los estándares.
Kiteworks Empodera a las Organizaciones para Cumplir con NIST 800-171
Kiteworks ayuda a las organizaciones a demostrar el cumplimiento con NIST 800-171, asegurando la protección de la CUI. Con capacidades robustas de seguridad y gobernanza, Kiteworks aborda los requisitos específicos descritos en NIST 800-171, permitiendo así a las organizaciones cumplir con este riguroso estándar de seguridad.
La Red de Contenido Privado de Kiteworks proporciona a las organizaciones seguridad, gobernanza y cumplimiento sobre el contenido sensible que comparten con terceros de confianza a través de correo electrónico, uso compartido de archivos, transferencia de archivos y otros canales.
Kiteworks cuenta con un dispositivo virtual reforzado, que minimiza la superficie de ataque de los canales de comunicación de terceros vulnerables. Las medidas de seguridad como cifrado automático de extremo a extremo, autenticación multifactor (MFA), controles de acceso granulares e integraciones con tecnologías de protección de datos como prevención de pérdida de datos (DLP), protección avanzada contra amenazas (ATP), desarmado y reconstrucción de contenido (CDR) y gestión de información y eventos de seguridad (SIEM) protegen el contenido más sensible de una organización contra ciberataques y accesos no autorizados. Kiteworks asegura que la información sensible permanezca segura, cumpliendo con los requisitos de cifrado establecidos por NIST 800-171.
Controles de Acceso Granulares: Kiteworks ofrece control de acceso granular, permitiendo a las organizaciones definir y gestionar permisos de usuario, asegurando que solo las personas autorizadas puedan acceder a CUI sensible. Con mecanismos de control de acceso afinados, las organizaciones pueden implementar un entorno seguro que se alinee con las directrices de NIST 800-171.
Auditoría y Responsabilidad: Kiteworks genera registros de auditoría completos, capturando la actividad de los usuarios y eventos del sistema. Estos registros proporcionan a las organizaciones la información necesaria para monitorear y revisar la actividad del sistema, cumpliendo con los requisitos de auditoría y responsabilidad de NIST 800-171.
Identificación y Autenticación: Kiteworks implementa mecanismos fuertes de identificación y autenticación de usuarios, como MFA, para verificar la identidad de los usuarios que acceden a la CUI. Al adherirse a los requisitos de identificación y autenticación de NIST 800-171, Kiteworks proporciona una capa adicional de seguridad para prevenir el acceso no autorizado.
Para obtener más información sobre la plataforma de uso compartido seguro de archivos autorizada por FedRAMP de Kiteworks y cómo cumple con los rigurosos requisitos de FedRAMP y ayuda a las organizaciones a lograr el cumplimiento de NIST 800-171, programa una programa una demostración personalizada hoy.