Definición: ¿Qué significa NIST 800-53?
Un proyecto del Instituto Nacional de Estándares y Tecnología (NIST), NIST 800-53 es un conjunto completo de controles de datos para oficinas gubernamentales.
El estándar NIST 800-53 se aplica a todos los datos federales, excepto a los datos federales que afectan la seguridad nacional. En otras palabras, es el estándar "no sensible a la seguridad" para el gobierno.
Es fundamental para la construcción del NIST 800-53 un conjunto de controles de tres partes para tres categorías de datos:
- Bajo impacto
- Impacto medio
- Alto impacto
Dentro de esas tres categorías, NIST 800-53 incluye muchas docenas de componentes de control individuales. Algunos de ellos se relacionan con los requisitos y procesos de monitoreo, como la auditoría, mientras que otros involucran información sobre la planificación de contingencias y el monitoreo de incidentes y más.
El conjunto completo de controles trata todo tipo de aspectos de la seguridad cibernética y la higiene de los datos, desde el análisis de amenazas hasta estrategias preventivas como el cifrado.
NIST 800-53 también se conoce como Publicación especial NIST 800-53.
Techinfo explica NIST 800-53
NIST 800-53 también incluye preocupaciones de seguridad ambiental, como controles de protección contra incendios, aunque la gran mayoría de los controles tienen que ver con la protección de datos digitales y el uso de mejores prácticas y protocolos universales para evitar fugas de datos digitales.
Otra cosa clave que está escrita en NIST 800-53 es un conjunto de controles para acceso remoto e inalámbrico. Este tipo de pauta será de vital importancia en la era de la pandemia del coronavirus, ya que las operaciones de la fuerza laboral se mueven rápidamente en línea y las empresas navegan hacia sistemas de redes virtuales.
Algunos de los controles en NIST 800-53, por ejemplo, serán altamente aplicables a situaciones de Traiga su propio dispositivo (BYOD) donde el dispositivo personal de un trabajador del gobierno puede almacenar datos gubernamentales confidenciales o contener puertas de enlace a esos datos gubernamentales confidenciales. Algunos de los controles también ayudarán a mantener los estándares de ciberseguridad a medida que los dispositivos conectados a Internet proliferen rápidamente en la era de la “Internet de las cosas” (IoT).
Otra forma de entender NIST 800-53 es contrastarlo con un desarrollo más reciente llamado NIST Cybersecurity Framework o NIST-CSF.
Las pautas federales muestran que NIST-CSF no reemplaza a NIST 800-53, sino que proporciona una cobertura adicional de seguridad de datos integral. Por ejemplo, cinco funciones centrales que componen el marco NIST-CSF (identificar, detectar, proteger, responder y recuperar) son una forma semántica de agrupar muchos de los estándares inherentes en NIST 800-53, para revelar más de las aves- vista de por qué existen estos conjuntos de reglas y protocolos.
Las categorías y subcategorías de los estándares NIST-CSF y NIST 800-53 adoptan un enfoque de "personas, procesos y activos" para los controles y análisis de ciberseguridad, analizando elementos como la gestión de activos, el trabajo de las partes interesadas colaboradoras y más.
El NIST-CSF también proporciona cuatro "niveles" de éxito en ciberseguridad:
- Parcial
- Informado sobre riesgos
- Repetible
- Adaptable
Estos cuatro niveles pueden ayudar a evaluar aún más los niveles de éxito de los marcos aplicados.
"Puede utilizar el NIST CSF para comparar su postura de seguridad actual", escribe un analista de Cipher, que describe el uso relacionado del marco. "Revisar cada categoría y subcategorías en la función principal puede ayudarlo a determinar su posición en la escala de NIST CSF Tier".
En resumen, NIST 800-53 ayuda a los usuarios a documentar y evaluar su cumplimiento de ciberseguridad y puede ser útil en los procedimientos legales. El NIST-CSF se basa en esta utilidad en combinación con las especificaciones originales del recurso aún relevante NIST 800-53.