Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

Protegiendo CUI con NIST SP 800-171: Cómo Mantener el Cumplimiento

Inicio Glosario Protegiendo CUI con NIST SP 800-171: Cómo Mantenerse en Cumplimiento

En 2017, el Instituto Nacional de Estándares y Tecnología (NIST) publicó la guía para la Publicación Especial (SP) 800-171, que ayuda a las organizaciones a asegurar sus sistemas de información. Esta página de glosario tiene como objetivo ayudar a las empresas a entender lo que necesitan hacer para cumplir con NIST SP 800-171. Cubriremos los conceptos básicos de cumplimiento y lo que las empresas pueden hacer para comenzar.

Protegiendo CUI con NIST SP 800-171: Cómo Mantenerse en Cumplimiento

¿Qué es NIST SP 800-171?

La Publicación Especial 800-171 del Instituto Nacional de Estándares y Tecnología (NIST SP 800-171) es un conjunto de estándares de seguridad que las empresas deben implementar para proteger la información sensible del acceso no autorizado. NIST SP 800-171 se aplica a todas las organizaciones que manejan información no clasificada controlada (CUI), que incluye cualquier dato que podría potencialmente dañar la seguridad nacional si se compromete o es accedido por usuarios no autorizados. Aunque NIST SP 800-171 no es obligatorio para todas las empresas, muchas industrias están comenzando a adoptar estos estándares como mejores prácticas para la seguridad de datos.

Requisitos de Protección de NIST SP 800-171

NIST SP 800-171, “Protección de Información No Clasificada Controlada en Sistemas y Organizaciones No Federales”, es un conjunto de directrices establecidas por el Instituto Nacional de Estándares y Tecnología (NIST) para asegurar la seguridad y confidencialidad de la información no clasificada controlada (CUI) compartida por agencias federales con entidades no federales. Esto incluye instituciones académicas, gobiernos estatales y locales, y organizaciones del sector privado que manejan CUI en nombre del gobierno federal.

El documento describe 14 familias de requisitos de seguridad, incluyendo control de acceso, concienciación y formación, respuesta a incidentes, y evaluación de riesgos, entre otros. Estos requisitos protegen la confidencialidad, integridad y disponibilidad del CUI mientras minimizan el riesgo de acceso y divulgación no autorizados.

Se espera que las organizaciones que manejan CUI implementen las medidas de seguridad descritas en NIST SP 800-171 para demostrar cumplimiento con los requisitos federales. Al adherirse a estas directrices, las entidades no federales pueden asegurar una protección consistente para la información sensible, lo cual es crítico para mantener la confianza entre el gobierno federal y sus socios.

¿Qué es la Información No Clasificada Controlada (CUI)?

La información no clasificada controlada (CUI) es información no clasificada que requiere protección o controles de difusión según la ley, decreto presidencial o directiva. CUI incluye información que el gobierno crea o posee y comparte con contratistas, beneficiarios y otros fuera del gobierno. El propósito de CUI es proteger la información de la divulgación no autorizada mientras se asegura su disponibilidad para aquellos que tienen una necesidad legítima de ella.

¿Cuáles son los Objetivos de NIST SP 800-171?

Los objetivos de NIST SP 800-171 son facilitar la implementación de programas de seguridad de la información dentro de las agencias federales al proporcionarles un lenguaje estándar y requisitos para usar. Para ayudar a las organizaciones a gestionar mejor el riesgo, NIST SP 800-171 está diseñado para aumentar su concienciación sobre los riesgos de seguridad y enfocar su atención en prioridades. Estos estándares tienen como objetivo ayudar a las organizaciones a proteger sus datos, especialmente la información sensible. NIST SP 800-171 contiene guías sobre cómo gestionar adecuadamente el control de acceso, privilegios administrativos, seguridad física, y más. Siguiendo las recomendaciones en este estándar, las organizaciones pueden reducir significativamente su riesgo de violaciones de datos o robos.

¿A Quién se Aplica NIST SP 800-171?

NIST SP 800-171 se aplica a todas las agencias federales, contratistas y otras organizaciones que trabajan con el gobierno federal. Si tu organización maneja CUI, debes cumplir con NIST SP 800-171.

Las entidades cubiertas, es decir, organizaciones como contratistas y subcontratistas que hacen negocios con el gobierno federal, deben desarrollar, documentar e implementar un programa de seguridad para abordar los requisitos de seguridad descritos en NIST SP 800-171. Todas las entidades cubiertas deberían considerar contratar a un consultor externo calificado para ayudar a desarrollar e implementar un programa de seguridad para cumplir con este estándar.

¿Quién es Responsable de Implementar NIST SP 800-171?

Para las entidades cubiertas bajo NIST SP 800-171, el Director de Seguridad de la Información (CISO) de cada agencia es responsable de implementar NIST SP 800-171. El CISO es responsable de proporcionar supervisión para asegurar que los requisitos se implementen y gestionen efectivamente dentro de la agencia.

¿Cuáles son Algunos Requisitos Básicos de Cumplimiento con NIST SP 800-171?

NIST SP 800-171 consta de 14 requisitos básicos que proporcionan directrices para proteger el CUI almacenado y procesado en sistemas y organizaciones no federales. Estos requisitos tienen una estructura bien definida que consiste en requisitos de seguridad básicos y derivados. Los requisitos de seguridad básicos se adoptan de la Publicación FIPS 200. Los requisitos de seguridad derivados, en contraste, se adoptan de NIST SP 800-53 y complementan los requisitos de seguridad básicos. Las familias de control incluyen:

1. Control de Acceso

Esta familia de requisitos es la más grande bajo NIST SP 800-171. Contiene 22 controles. Bajo Control de Acceso, las organizaciones necesitan monitorear todos los eventos de acceso en el entorno de TI y limitar el acceso a sistemas y datos. Bajo Control de Acceso, NIST SP 800-171 recomienda:

  • Implementar el principio de menor privilegio
  • Controlar el flujo de CUI dentro de una organización y cifrarlo en dispositivos móviles
  • Monitorear y controlar el acceso remoto
  • Controlar y restringir el uso de dispositivos móviles
  • Separar las funciones de los individuos para ayudar a prevenir actividades irregulares
  • Autorizar y proteger el acceso inalámbrico mediante el uso de cifrado y autenticación

2. Concienciación y Formación

Esta familia de controles requiere que las empresas aseguren que los gerentes, administradores de sistemas y otros usuarios conozcan los riesgos de seguridad asociados con sus actividades. Deben estar familiarizados con las políticas de seguridad de la organización y las prácticas básicas de ciberseguridad para reconocer y responder a amenazas internas y externas.

3. Auditoría y Responsabilidad

Esta familia consta de nueve controles. Requiere que las organizaciones retengan registros de auditoría para usar en investigaciones de seguridad y para mantener a los usuarios responsables de sus acciones. Las organizaciones deben recopilar y analizar registros de auditoría para detectar cualquier actividad no autorizada y responder de inmediato. Varios pasos pueden ayudar a implementar estos controles:

  • Revisar y actualizar los eventos auditados
  • Informar sobre fallos en el proceso de auditoría
  • Proteger los sistemas de auditoría del acceso no autorizado
  • Generar informes que apoyen el análisis bajo demanda y proporcionen evidencia de cumplimiento

4. Gestión de Configuración

En esta familia de requisitos, las empresas deben establecer y mantener configuraciones base, lo que implica controlar y monitorear el software instalado por el usuario y cualquier cambio realizado en los sistemas de tu organización. Las organizaciones necesitarán enfocarse en:

  • Documentar todos los eventos donde el acceso fue restringido debido a cambios en los sistemas de TI
  • Emplear el principio de menor funcionalidad configurando sistemas para proporcionar solo capacidades esenciales
  • Restringir, deshabilitar o prevenir el uso de programas, funciones, protocolos y servicios que no sean esenciales
  • Incluir en lista negra el software no autorizado

5. Identificación y Autenticación

Esta familia de requisitos asegura que solo los usuarios autenticados puedan acceder a la red o sistemas de la organización. Tiene 11 requisitos que cubren procedimientos y políticas de contraseñas y autenticación. También cubre la identificación confiable de usuarios. Los requisitos para asegurar la distinción entre cuentas privilegiadas y no privilegiadas se reflejan en el acceso a la red.

6. Respuesta a Incidentes

Aquí, las organizaciones deben tener una estrategia de respuesta a incidentes que permita una respuesta rápida a cualquier incidente que pueda resultar en una violación de datos. Una organización puede implementar capacidades para detectar, analizar y responder a incidentes de seguridad e informar sobre estos incidentes a los funcionarios apropiados, y probar regularmente su plan de respuesta a incidentes.

7. Mantenimiento

El mantenimiento inadecuado del sistema puede resultar en la divulgación de CUI, por lo que representa una amenaza para la confidencialidad de la información. Se requiere que las empresas realicen mantenimiento regular siguiendo reglas como:

  • Vigilar de cerca a las personas y equipos que realizan actividades de mantenimiento
  • Asegurarse de que el equipo retirado para mantenimiento fuera del sitio no contenga datos sensibles
  • Asegurarse de que los medios que contienen programas de diagnóstico y prueba estén libres de código malicioso

8. Protección de Medios

La familia de control de Protección de Medios requiere que asegures la seguridad de los medios del sistema que contienen CUI, incluyendo tanto medios en papel como digitales.

9. Seguridad Física

La Seguridad Física incluye la protección de hardware, software, redes y datos contra daños o pérdidas debido a eventos físicos. El NIST SP 800-171 requiere que las organizaciones realicen varias actividades para mitigar el riesgo de daño físico, tales como:

  • Limitar el acceso físico a sistemas y equipos a usuarios autorizados
  • Mantener registros de auditoría de acceso físico
  • Controlar dispositivos de acceso físico

10. Protección Personal

Esta es una pequeña familia de controles que requiere que las empresas monitoreen las actividades de los usuarios y aseguren que todos los sistemas que contienen CUI estén protegidos durante y después de acciones de personal, como despidos y transferencias de empleados.

11. Evaluación de Riesgos

Hay dos requisitos que cubren el desempeño y análisis de evaluaciones de riesgos regulares. Se requiere que las organizaciones escaneen regularmente los sistemas para verificar vulnerabilidades, manteniendo los dispositivos de red y software actualizados y seguros. Resaltar y fortalecer regularmente las vulnerabilidades mejora la seguridad de todo el sistema.

12. Evaluación de Seguridad

Una organización debe monitorear y evaluar sus controles de seguridad para determinar si son lo suficientemente efectivos para ayudar a mantener los datos seguros. Las organizaciones necesitan tener un plan que describa los límites del sistema, las relaciones entre diferentes sistemas, y procedimientos para implementar requisitos de seguridad y actualizar ese plan periódicamente.

13. Protección de Sistemas y Comunicaciones

Esta es una familia bastante grande que comprende 16 controles para monitorear, controlar y proteger la información transmitida o recibida por sistemas de TI. Involucra varias actividades como:

  • Prevenir la transferencia no autorizada de información
  • Construir subredes para componentes del sistema accesibles públicamente que estén separados de las redes internas
  • Implementar mecanismos criptográficos para prevenir cualquier divulgación no autorizada de CUI
  • Denegar el tráfico de comunicaciones de red por defecto

14. Sistema e Información

Este grupo de controles requiere que las empresas identifiquen y corrijan rápidamente fallas del sistema y protejan activos críticos de código malicioso. Esto incluye tareas como:

  • Monitorear y actuar rápidamente sobre alertas de seguridad que indiquen uso no autorizado de sistemas de TI
  • Realizar escaneos periódicos de sistemas de TI y escanear archivos de fuentes externas cuando se descargan o se actúa sobre ellos
  • Actualizar mecanismos de protección contra código malicioso tan pronto como las nuevas versiones estén disponibles

¿Dónde Pueden las Empresas Buscar Ayuda para Entender y Cumplir con Este Estándar?

Hay muchos estándares con los que las empresas deben cumplir, y el Instituto Nacional de Estándares y Tecnología SP 800-171 es solo uno de ellos. Puede ser difícil mantenerse al día con todos los diferentes requisitos de cumplimiento, pero afortunadamente, hay recursos disponibles para ayudar a las empresas a entender y cumplir con este estándar. El sitio web del Instituto Nacional de Estándares y Tecnología proporciona información sobre el estándar 800-171 y cómo las empresas pueden cumplir con sus requisitos. Además, muchas empresas privadas ofrecen servicios de consultoría de cumplimiento para ayudar a las empresas a asegurarse de que están cumpliendo con todos los estándares aplicables.

¿Cuáles son los Pasos de Autoevaluación para el Cumplimiento Bajo NIST SP 800-171?

Paso 1:

Obtén asesoramiento de tu agencia federal o estatal. Si tu organización proporciona servicios a otras agencias del gobierno federal además del DoD, hay una buena posibilidad de que las agencias te pidan que demuestres tu cumplimiento con NIST SP 800-171.

Paso 2:

Define el CUI aplicable a tu organización. Identifica dónde se almacena, procesa o transmite en la red de la organización.

Paso 3:

Realiza un análisis de distancia. Evalúa tu postura de seguridad para determinar dónde estás actualmente en cumplimiento y dónde se necesita trabajo adicional.

Paso 4:

Prioriza los requisitos de NIST SP 800-171. Usa esto para planificar las acciones necesarias.

Paso 5:

Implementa cambios de acuerdo con los resultados del análisis de distancia y la priorización.

Paso 6:

Asegúrate de que los subcontratistas cumplan. Puede que hayas logrado el cumplimiento con NIST SP 800-171, pero tus subcontratistas no necesariamente cumplen. Necesitas asegurarte de que estén familiarizados con todos los requisitos y hayan implementado los controles necesarios.

Paso 7:

Designa a alguien que será responsable del cumplimiento. Esta persona será responsable de preparar la documentación y evidencia de cómo tu organización está protegiendo el CUI. Esta persona también será responsable de involucrar a tu equipo de TI y gestión en el proceso de cumplimiento. También puedes optar por contratar a un consultor que proporcione servicios de asesoría y evaluación para ayudarte a cumplir con tus necesidades de NIST SP 800-171.

Kiteworks, FedRAMP y NIST SP 800-171

Kiteworks es una plataforma de uso compartido seguro de archivos que facilita el cumplimiento de NIST SP 800-171. Es una solución autorizada por FedRAMP Moderate y asegura que los datos estén cifrados en tránsito y en reposo. Kiteworks cumple con todos los requisitos de seguridad especificados en NIST SP 800-171 y cumple con otras regulaciones, incluyendo ITAR, GDPR, SOC 2 (SSAE-16), FISMA, y FIPS 140-2.

Kiteworks proporciona una capa de seguridad y gobernanza sobre los usuarios y sistemas que mantienen y transfieren información sensible como el CUI. Las organizaciones pueden programar una demostración personalizada de Kiteworks para aprender más sobre cómo usarlo para cumplir con NIST SP 800-171, o contactar a sales@kiteworks.com para más información.

 

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks