Resumen- Podemos decir con toda seguridad de no equivocarnos que somos el pilar de los cimientos de otra revolución técnica. El aumento de las máquinas y los objetos conectados conocidos como la automatización nos ha llevado a tener procesos más estrictos que ayuda a salvaguardar la información y seguridad técnica, seguridad de procesos, seguridad física y virtual. Desde un proceso, industria, tendencia todos por la era en la que vivimos con más conectividad cibernética nos pide con mayor urgencia mejores estándares de seguridad más actualizados a las tendencias del momento y futuras.

Palabras Claves

NIST, Estándar, Seguridad, 800-17, cumplimiento, regulación, CUI.

Abstract— We can say with complete certainty that we are not mistaken that we are the pillar of the foundations of another technical revolution. The increase of machines and connected objects known as automation has led us to have more stringent processes that help to safeguard information and technical security, process security, physical and virtual security. From a process, industry, all trend for the era in which we live with more cybernetic connectivity urges us with greater

Recibido 18/set/2019

Aprobado 11/nov/2019

urgency better security standards more up to date and future trends.

Keywords

NIST, Standard, Security, 800-17, compliance, regulation, CUI.

I.Introducción

La Publicación Especial NIST 800-171 (National Institute of Standards and Technology) es un conjunto de requisitos de seguridad que pueden agregarse o referenciarse en contratos federales con el objetivo de mejorar la protección de la Información Controlada no Clasificada (CUI).

(Executive Order 13556, Controlled Unclassified Information, 2010)

Define políticas y prácticas uniformes en todo el gobierno federal y en todas las empresas principales y subcontratistas que llevan a cabo negocios con el Gobierno Federal de los Estados Unidos. Generalmente, los requisitos del NIST SP 800-171 son referenciados y agregados a los contratos de Departamento de defensa (DoD) usando la regulación DFARS 252.204-7012(Defense Federal Acquisition Regulation Supplement). (Federal Information Security Modernization Act of 2014 (P.L. 113- 283), 2014)

Los requisitos recomendados para su uso en esta publicación se derivan de la publicación 200 de FIPS (Federal Information Processing

Standards) y de la línea de base moderada de control de seguridad en la publicación especial NIST 800-53 y están basados en la regulación CUI (32 CFR Part 2002, Controlled Unclassified Information) (Executive Order 13556, Controlled Unclassified Information, 2010)

Figure 1(The NIST SP 800-171 Deadline -

We've Got You Covered , 2018)

II.Agencia de sistemas de informacion de

defensa (DISA)

La Agencia de Sistemas de Información de Defensa (DISA) es una agencia de apoyo al combate del Departamento de Defensa (DoD) de Estados Unidos. Se encarga de proporcionar

una infraestructura de información empresarial, ayuda en las comunicaciones y un entorno en la nube empresarial segura y duradera para el Departamento de Defensa, la Casa Blanca y cualquier otra organización que participe en la defensa de los Estados Unidos. Para implementar su normativa, DISA desarrolló la Guía de requisitos de seguridad de informática en la nube (SRG). En la SRG se establecen los requisitos de seguridad básicos para los proveedores de servicios en la nube (CSP) que hospedan información, sistemas y aplicaciones del Departamento de Defensa y para el uso de los servicios en la nube por parte de dicho departamento. (Federal Information

27

Security Modernization Act of 2014 (P.L. 113- 283), 2014)

III.Desafíos

Actualmente, sólo los contratistas de DoD están obligados a evaluar su cumplimiento y completar cualquier falta de cumplimiento antes del 31 de diciembre de 2017. (NIST 800- 171 Compliance Criteria , 2018)

Sin embargo, la intención declarada por el gobierno federal de los EEUU es que todos los contratos de FARS incluirán el requisito de ser conforme con NIST SP 800-171 durante los años próximos. Algunas regulaciones ya se han puesto en marcha, con más venidas.

A partir de diciembre de 2016, el NIST anunció la publicación de la(National Institute of Standards and Technology Framework for

Improving Critical Infrastructure Cybersecurity (as amended), 2018), Revisión 1, Protección de información no clasificada controlada en sistemas y organizaciones de información no federales. Esta publicación especial ha sido aprobada como final.

Figure 2(complianceforge, 2018)

IV. Requisitos de Seguridad

La publicación más reciente de NIST incluye numerosos requisitos de seguridad, en el presente artículo se hará mención de algunos puntos más relevantes en cada categoría.

Tecnología Vital Enero - Junio 2020

Figure 3(The NIST SP 800-171 Deadline -

We've Got You Covered, 2018)

A.Control de acceso

•Limitar el acceso al sistema de información a usuarios autorizados, procesos que actúan en nombre de Usuarios o dispositivos (incluyendo otros sistemas de información).

•Limitar el acceso al sistema de información a los tipos de transacciones y funciones que los usuarios autorizados Se les permite ejecutar.

•Separar los deberes de los individuos para reducir el riesgo de actividad malévola sin colusión.

•Emplear el principio de los privilegios mínimos, incluso para funciones de seguridad específicas y Cuentas

B.Concienciación y formación

•Asegurar que los administradores y usuarios de sistemas de información estén conscientes de los riesgos de seguridad asociados a sus actividades y de las políticas aplicables, Normas y procedimientos relacionados con la seguridad de esos sistemas de información organizacional.

•Asegurar que el personal de la organización esté adecuadamente capacitado para llevar a cabo su Deberes y responsabilidades relacionados con la seguridad.

•Proporcionar capacitación de sensibilización sobre la seguridad para reconocer y reportar

posibles indicadores de información privilegiada amenaza.

C.Auditoría y rendición de cuentas

•Crear, proteger y retener los registros de auditoría del sistema de información en la

28

medida necesaria para Monitoreo, análisis, investigación e información de actividades ilegales, no autorizadas o inapropiadas. Actividad del sistema de información.

•Asegúrese de que las acciones de los usuarios individuales del sistema de información se pueden rastrear para que los mismos puedan ser responsables de sus acciones.

•Revise y actualice los eventos auditados

D.Gestión de la configuración

•Establecer y mantener configuraciones de referencia e inventarios de información

organizacional (Incluyendo hardware, software, firmware y documentación) a lo largo de los respectivos ciclos de vida del desarrollo del sistema.

•Establecer y hacer cumplir los ajustes de configuración de seguridad para los productos de tecnología de la información empleados en sistemas de información organizacional.

•Seguimiento, revisión, aprobación / desaprobación y auditoría de cambios en los sistemas de información organizacional

E.Identificación y autenticación

•Identificar usuarios de sistemas de información, procesos que actúan en nombre de usuarios o dispositivos.

•Autenticar (o verificar) las identidades de esos usuarios, procesos o dispositivos, como requisito previo para el acceso a los sistemas de información organizacional.

•Autenticación multifactor para acceso local y de red a cuentas privilegiadas y Acceso a redes a cuentas no privilegiadas (The NIST SP 800-171 Deadline - We've Got You Covered , 2018)

F.Respuesta del incidente

•Establecer una capacidad operacional de manejo de incidentes para los sistemas de información Incluye preparación, detección, análisis, contención, recuperación y respuesta del usuario adecuados ocupaciones. (National Institute of Standards and Technology

Tecnología Vital Enero - Junio 2020

Framework for Improving Critical Infrastructure Cybersecurity (as amended), 2018)

G.Mantenimiento

•Realizar mantenimiento en los sistemas de información de la organización.

•Proporcionar controles efectivos sobre las herramientas, técnicas, mecanismos y personal utilizados para Mantenimiento del sistema de información.

•Asegúrese de que el equipo retirado para el mantenimiento fuera del sitio esté desinfectado de cualquier CUI (National Institute of Standards and Technology Special Publication 800-60 (as amended), Guide for Mapping Types of Information and Information Systems to Security Categories, Volume 1., 2008)

•Proteger (es decir, controlar físicamente y almacenar de manera segura) los medios del sistema de información que contienen CUI, ambos Papel y digital.

•Limitar el acceso a CUI en los medios del sistema de información a los usuarios autorizados.

•Desinfecte o destruya los medios del sistema de información que contengan CUI antes de su eliminación o liberación para su reutilización.

•Marque los medios con las marcas CUI necesarias y las limitaciones de distribución. (National Institute of Standards and Technology Special Publication 800-60 (as amended), Guide for Mapping Types of Information and Information Systems to Security Categories, Volume 1., 2008)

H.Seguridad del personal

•Examinar a los individuos antes de autorizar el acceso a los sistemas de información CUI.

•Asegurarse de que los CUI y los sistemas de información organizacional que contengan CUI estén protegidos durante y después de acciones de personal tales como terminaciones y transferencias. (National Institute of Standards and Technology Special Publication 800-53 (as amended), Security and Privacy

29

Controls for Federal Information Systems and Organizations., 2013)

I.Evaluación de riesgos

•Evaluar periódicamente el riesgo para las operaciones de la organización (incluyendo misión, funciones, imagen o Reputación), los activos de organización y los individuos, resultantes de la operación de la organización Sistemas de información y el procesamiento, almacenamiento o transmisión asociados de CUI.

•Analizar periódicamente las vulnerabilidades de los sistemas y aplicaciones de información organizativos. (National Institute of Standards and Technology Framework for Improving Critical Infrastructure Cybersecurity (as amended), 2018)

J.Protección del sistema y de las comunicaciones

• Supervisar, controlar y proteger las comunicaciones organizacionales (es decir, información transmitida o Recibidos por los sistemas de información de la organización) en los límites externos y Fronteras de los sistemas de información organizacional.

• Emplear diseños arquitectónicos, técnicas de desarrollo de software e ingeniería de sistemas Principios que promueven la seguridad de la información efectiva dentro de los sistemas de información organizacional.

• Separar la funcionalidad del usuario de la funcionalidad de administración del sistema de información.

• Evitar la transferencia de información no autorizada y no deseada a través de recursos compartidos del sistema. (National Institute of Standards and Technology Framework for

Improving Critical Infrastructure Cybersecurity (as amended), 2018)

Tecnología Vital Enero - Junio 2020

K.Integridad del sistema y de la información

Identificar, reportar y corregir las fallas del sistema de información e información de manera oportuna.

• Proporcionar protección contra códigos maliciosos en ubicaciones apropiadas dentro de la información de la organización Sistemas.

• Vigilar las alertas y avisos de seguridad del sistema de información y tomar las medidas.

• Actualizar los mecanismos de protección de códigos maliciosos cuando estén disponibles nuevas versiones. (National Institute of Standards and Technology Special Publication 800-60 (as amended), Guide for Mapping Types of Information and Information Systems to Security Categories, Volume 1., 2008)

Figure 4(NIST 800-171 Compliance Criteria,

2018)

V.Conclusión

•Muchos proveedores de servicios en la nube; como Amazon y Microsoft están optando por implementar los requisitos indicados en el NIST. Han obtenido la certificación NIST 800- 171.

•Las recomendaciones de seguridad brindadas en esta publicación son de libre aplicación para otras empresas que no participen en la defensa de los Estados Unidos.

30

•Cerca del 50% de los requerimientos de seguridad impuestos en el NIST se aplican en las empresas que manejan información sensible.

Cerramos con una frase de impacto de la pagina de Cybersecurity framework “This voluntary Framework consists of standards, guidelines, and best practices to manage cybersecurity-related risk. The Cybersecurity Framework’s prioritized, flexible, and cost- effective approach helps to promote the protection and resilience of critical infrastructure and other sectors important to the economy and national security.” (Cybersecurity Framework, 2018).

Traduccion: Este Marco voluntario consiste en estándares, directrices y mejores prácticas para gestionar el riesgo relacionado con la ciberseguridad. El enfoque prioritario, flexible y rentable del Marco de Ciberseguridad ayuda a promover la protección y la resiliencia de infraestructuras críticas y otros sectores importantes para la economía y la seguridad nacional

Referencias

complianceforge. (2018). Recuperado de complianceforge: https://www.complianceforge.com/rea sons-to-buy/nist-800-171-compliance/

Cybersecurity Framework. (2018). Recuperado de www.nist.gov: https://www.nist.gov/cyberframework

Executive Order 13556, Controlled Unclassified Information. (2010, November). Recuperado de .gpo.gov: http://www.gpo.gov/fdsys/pkg/FR- 2010-11-09/pdf/2010-28360.pdf

Executive Order 13636, Improving Critical Infrastructure Cybersecurity. (2013, February). Recuperado de Improving Critical Infrastructure Cybersecurity: http://www.gpo.gov/fdsys/pkg/FR- 2013-02-19/pdf/2013-03915.pdf

Tecnología Vital Enero - Junio 2020

Federal Information Security Modernization Act of 2014 (P.L. 113-283). (2014, December). Recuperado de gpo.gov: http://www.gpo.gov/fdsys/pkg/PLAW -113publ283/pdf/PLAW- 113publ283.pdf

National Institute of Standards and Technology Federal Information Processing Standards Publication 199 (as amended), Standards for Security Categorization of Federal. (2004, Febrero). Recuperado de Standards for Security Categorization of Federal: http://csrc.nist.gov/publications/fips/fi ps199/FIPS-PUB-199-final.pdf

National Institute of Standards and Technology Federal Information Processing Standards Publication 200 (as amended), Minimum Security Requirements for Federal Information. (2006, Marzo). Recuperado de csrc.nist.gov: http://csrc.nist.gov/publications/fips/fi ps200/FIPS-200-final-march.pdf

National Institute of Standards and Technology Framework for Improving Critical Infrastructure Cybersecurity (as amended). (2018). Recuperado de Cybersecurity Framework: https://www.nist.gov/cyberframework

National Institute of Standards and Technology Special Publication 800- 53 (as amended), Security and Privacy Controls for Federal Information Systems and Organizations. (2013,

Abril). Recuperado de doi.org: https://doi.org/10.6028/NIST.SP.800- 53r4

National Institute of Standards and Technology Special Publication 800- 60 (as amended), Guide for Mapping Types of Information and Information Systems to Security Categories, Volume 1. (2008, Agosto). Recuperado de doi.org: https://doi.org/10.6028/NIST.SP.800- 60v1r1

National Institute of Standards and Technology Special Publication 800- 60 (as amended), Guide for Mapping Types of Information and Information Systems to Security Categories, Volume 2. (2008, Agosto). Recuperado de doi.org: https://doi.org/10.6028/NIST.SP.800- 60v2r1

NIST 800-171 Compliance Criteria . (2018). Recuperado de complianceforge: https://www.complianceforge.com/pro duct/nist-800-171-compliance-criteria- ncc/

The NIST SP 800-171 Deadline - We've Got You Covered . (2018). Recuperado de cavirin: http://www.cavirin.com/blog/18- seccompplat/134-the-nist-sp-800-171- deadline-we-ve-got-you-covered.html