Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

Historia y Requisitos del Cumplimiento FISMA

Inicio Glosario Historia y Requisitos de Cumplimiento de FISMA

FISMA es necesario para las agencias federales, pero también puede afectar los estándares de cumplimiento requeridos por tu negocio si trabajas para una agencia federal.

¿Qué significa FISMA? FISMA significa la Ley de Gestión de Seguridad de la Información Federal, que fue aprobada por el Congreso en 2002 y enmendada en 2014. Esta ley requiere que las agencias federales cumplan con ciertos estándares de seguridad para proteger los datos privados de los ciudadanos.

Historia y Requisitos de Cumplimiento de FISMA

¿Qué es FISMA?

En 2002, el Congreso aprobó la Ley de Gobierno Electrónico, una ley amplia y de gran alcance, para mejorar cómo las agencias gubernamentales manejan, almacenan y transmiten su información en una era digital. Específicamente, la ley se centró en promover la gestión electrónica de la información gubernamental, utilizando internet para abrir vías de participación ciudadana y mejorar cómo estas agencias pueden usar la tecnología digital para colaborar con otras agencias.

Quizás la parte más importante de esta ley (o, al menos, la porción más conocida) es la Ley de Gestión de Seguridad de la Información Federal (FISMA). Bajo FISMA, se requiere que las agencias federales “desarrollen, documenten e implementen un programa a nivel de agencia para proporcionar seguridad de la información para la información y los sistemas que apoyan las operaciones y activos de la agencia, incluidos aquellos proporcionados o gestionados por otra agencia, contratista u otras fuentes.”

Esta definición puede parecer un poco amplia—y lo es. Pero su importancia radica en el hecho de que fue la primera ley federal en declarar expresamente que se esperaba que las agencias no solo aprovecharan la tecnología digital como parte de su operación, sino que también debían cumplir con estándares bastante estrictos para construir sus propios sistemas de seguridad de la información e implementar medidas de seguridad para proteger datos sensibles.

La ley original, aprobada en 2002, implementó la supervisión de los esfuerzos federales oficiales para modernizar la TI. La jurisdicción sobre la infraestructura técnica se colocó directamente bajo la Oficina de Gestión y Presupuesto (OMB). Bajo FISMA, las regulaciones de ciberseguridad son establecidas por el Instituto Nacional de Estándares y Tecnología (NIST), que publica especificaciones y actualizaciones que guían a las agencias gubernamentales y contratistas. Estas especificaciones informan marcos de seguridad de amplio alcance como FedRAMP, CMMC, y el Marco de Gestión de Riesgos.

En 2014, el Congreso enmendó la ley para modernizarla a la luz de amenazas y tecnologías más avanzadas. La actualización de 2014 agregó algunas nuevas directrices:

  • Codificar el papel del Departamento de Seguridad Nacional en la gobernanza de políticas de seguridad para sistemas federales de la Rama Ejecutiva no relacionados con la seguridad nacional
  • Aclarar la autoridad de la OMB con respecto a la supervisión de las agencias de seguridad federales y sus prácticas de seguridad de TI
  • Cambios en una sección de la ley sobre informes ineficientes

¿Qué es el Cumplimiento de FISMA?

Hay algunos pasos específicos que una organización puede tomar para cumplir con FISMA:

  • Usar Controles Listados en Publicaciones Especiales del Instituto Nacional de Estándares y Tecnología: FISMA asume la implementación de controles de seguridad dentro de la infraestructura de una agencia o la de contratistas asociados. Documentos clave incluyen NIST SP 800-53 (controles de seguridad para agencias federales), NIST SP 800-171 (protección de Información No Clasificada Controlada), NIST SP 800-37 (el Marco de Gestión de Riesgos), FIPS 199 (estándares para categorizar sistemas federales), y FIPS 200 (requisitos mínimos de seguridad para sistemas federales).
  • Inventariar Sistemas de TI: El núcleo del cumplimiento de FISMA es crear un catálogo de todos los sistemas de TI utilizados por una agencia o contratista. Esto incluye tecnología integrada y tecnología de proveedores.
  • Clasificar el Riesgo para los Sistemas: Siguiendo FIPS 199, se espera que las agencias y empresas clasifiquen sus sistemas junto con las categorías de FIPS 199, que clasifican los requisitos de seguridad del sistema en una escala de bajo, moderado y alto impacto. Cada nivel generalmente tendrá diferentes requisitos para la agencia.
  • Crear un Plan de Seguridad del Sistema: Un plan de seguridad es un plan integral para trazar controles de seguridad y enfoques para mantenimiento, actualizaciones y evaluaciones. Marcos como CMMC y FedRAMP incluyen un requisito de plan de seguridad para cumplir con las regulaciones de FISMA.
  • Certificación y Acreditación: Buscar el cumplimiento de FISMA a través de un proceso de acreditación gestionado por la OMB. La OMB requiere nuevas evaluaciones de certificación cada tres años.

Junto a estos requisitos, NIST sugiere que las organizaciones que buscan el cumplimiento sigan el proceso de siete pasos descrito en el Marco de Gestión de Riesgos. Estos pasos son los siguientes:

  • Preparar para la gestión de riesgos alineando los recursos y prioridades organizacionales en torno a la evaluación y documentación del riesgo, preparando planes de gestión de riesgos y diseñando un programa de gestión de riesgos.
  • Clasificar todos los sistemas de TI en la organización según las categorías definidas en FIPS 199 (bajo, moderado y alto).
  • Seleccionar los controles necesarios de NIST 800-53 basados en evaluaciones de riesgo (incluyendo cualquier control requerido más allá del cumplimiento de FISMA).
  • Implementar esos controles y documentar la implementación para monitoreo y optimización futuros.
  • Evaluar los controles y la implementación para determinar la funcionalidad adecuada y medir los resultados de dicha implementación.
  • Autorizar la operación del sistema a través de ejecutivos de alto nivel y gerentes de TI que entiendan el perfil de riesgo de la organización y su postura de ciberseguridad.
  • Monitorear continuamente todos los controles para cambios en la operación o riesgo o en preparación para actualizaciones.

Beneficios de Cumplir con FISMA

El cumplimiento de FISMA es imprescindible para las agencias gubernamentales, y los beneficios de cumplir con FISMA son abundantes. Al implementar y mantener los controles de seguridad recomendados por FISMA, las organizaciones pueden proteger sus sistemas de información y los datos almacenados en ellos contra el acceso no autorizado, modificación o destrucción.

Con medidas de seguridad adecuadas en su lugar, las organizaciones que cumplen con FISMA pueden tener mayor confianza en que sus datos están seguros, permitiéndoles centrarse en sus operaciones y misión principales en lugar de preocuparse por la seguridad. FISMA ayuda a que las organizaciones sean más eficientes al simplificar el proceso de seguridad, proporcionando procesos más estructurados y repetibles, y controles de seguridad más consistentes en todos los sistemas. Finalmente, el proceso de cumplimiento en sí mismo es relativamente sencillo y rentable, lo que significa que las organizaciones a menudo pueden cumplir rápidamente y con facilidad con FISMA.

¿Cuáles son las Diferencias entre FISMA y FedRAMP?

El Programa de Gestión de Riesgos y Autorización Federal (FedRAMP) es un marco de cumplimiento de ciberseguridad federal dirigido a proveedores de servicios en la nube que ofrecen productos o servicios a agencias gubernamentales.

Al igual que FISMA, FedRAMP se basa en NIST 800-53 para definir los controles de seguridad necesarios para el cumplimiento. También aprovecha FIPS 199 y FIPS 200 para definir niveles de seguridad y tecnologías de seguridad apropiadas como cifrado y criptografía. A veces se refiere a FedRAMP como “FISMA para la nube.”

Sin embargo, FedRAMP introduce varios requisitos diferentes por encima y más allá de FISMA, incluyendo los siguientes:

  • Patrocinio de la Agencia: En su núcleo, FedRAMP aplica estándares de cumplimiento similares a FISMA a los proveedores de la nube (vendedores) que trabajan con agencias en lugar de a las propias agencias. Como tal, estos requisitos se aplican a los productos en la nube utilizados por las agencias, y estas agencias federales deben patrocinar a los proveedores de servicios en la nube para la Autorización de Operación de FedRAMP según sus necesidades tecnológicas.
  • Evaluaciones de Terceros: FedRAMP, a diferencia de FISMA, requiere que los Proveedores de Soluciones en la Nube (CSPs) se sometan a auditorías regulares a través de organizaciones de evaluación de terceros. Estas firmas de seguridad certificadas proporcionan evaluaciones de seguridad objetivas e imparciales de los CSPs para asegurar la adherencia a las regulaciones.
  • Gobernanza: Tanto FedRAMP como FISMA caen bajo la jurisdicción de la OMB. Sin embargo, FedRAMP incluye más organizaciones como parte de su estructura de gobernanza. La Oficina de Gestión de Proyectos de FedRAMP y la Junta de Autorización Conjunta incluyen representantes de varias agencias, incluyendo OMB, el Departamento de Seguridad Nacional (DHS), NIST y el Departamento de Defensa.

Por lo tanto, FedRAMP desempeña un papel significativo en asegurar que los productos y servicios en la nube, cuyo uso está expandiéndose rápidamente en el mercado gubernamental, cumplan con los requisitos de FISMA.

Integrando FISMA con el Marco de Ciberseguridad del NIST

Las organizaciones pueden integrar FISMA con el Marco de Ciberseguridad del NIST utilizando cada componente del Marco para determinar sus necesidades de seguridad. FISMA proporciona a las agencias federales orientación sobre cómo establecer, implementar y gestionar un programa integral de ciberseguridad. Al incorporar los componentes esenciales de FISMA—gestión de riesgos, seguridad de la información, pruebas y evaluación de seguridad, y requisitos de informes—las organizaciones pueden desarrollar un programa integral de ciberseguridad que cumpla con sus requisitos comerciales únicos y esté adaptado a su entorno específico.

El Marco de Ciberseguridad del NIST puede luego ser utilizado para proporcionar a las organizaciones un conjunto estandarizado de objetivos de rendimiento para cada componente, permitiéndoles evaluar su postura de seguridad y seguir su progreso. Finalmente, las organizaciones pueden monitorear su adherencia a los requisitos de FISMA utilizando el Marco de Ciberseguridad del NIST como punto de referencia. Este enfoque integrado asegurará que las organizaciones cumplan con los requisitos necesarios para proteger sus sistemas y datos de actividades maliciosas.

Penalidades por Violaciones de Cumplimiento de FISMA

Las violaciones de cumplimiento de FISMA pueden resultar en severas penalidades y consecuencias como multas, sanciones o enjuiciamiento criminal. Las violaciones de los estándares se consideran un delito federal, y las agencias federales pueden imponer una variedad de sanciones, incluyendo multas civiles, penalidades criminales y otras acciones administrativas de ejecución.

Las penalidades potenciales pueden variar desde reprimendas formales y penalidades financieras hasta encarcelamiento, dependiendo de la gravedad de la violación. Las organizaciones deben asegurarse de cumplir con las regulaciones de FISMA para evitar las fuertes penalidades asociadas con el incumplimiento. Además, las organizaciones pueden enfrentar acciones legales adicionales por negligencia al abordar problemas que conducen a una violación de cumplimiento de FISMA.

Cumpliendo con los Estándares de FISMA y Contribuyendo al Servicio Nacional

La parte más importante de estándares como FISMA (e incluso FedRAMP) es que proporciona un alto nivel de seguridad para las agencias que manejan información operativa crítica para agencias gubernamentales, así como información personal relacionada con ciudadanos de EE. UU. Por lo tanto, trabajar con agencias gubernamentales significa que los contratistas pueden manejar dicha información, y es su obligación protegerla.

La plataforma Kiteworks es un sistema de gestión y gobernanza de contenido basado en la nube que permite a las organizaciones cumplir con los estándares de cumplimiento sin comprometer la funcionalidad a nivel empresarial. Esto incluye la adherencia a regulaciones complejas como FISMA y FedRAMP.

Para obtener más información sobre Kiteworks, contáctanos para una demostración gratuita adaptada a tus operaciones.

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks