Introducing G2.ai, the future of software buying.Try now

¿Qué es el cumplimiento de FISMA y a quién afecta?

10 de Enero de 2022
Lauren Pope
LP
por Lauren Pope

En esta publicación

En esta publicación

El Gran Hermano siempre está vigilando... para asegurarse de que estás cumpliendo.

Hemos hablado en detalle sobre el cumplimiento y las diversas formas en que las empresas deben mantenerse en conformidad. También hemos discutido cómo el cumplimiento afecta a cada industria de manera diferente. En este artículo, continuaremos esa tendencia enfocándonos en el cumplimiento de FISMA y el impacto que tiene en nuestro gobierno.

¿Buscas un tema específico sobre cumplimiento normativo? Usa los enlaces a continuación para avanzar:

¿Qué es el cumplimiento de FISMA?

Para entender el alcance completo del cumplimiento de FISMA, primero necesitas aprender la historia y el significado detrás de FISMA. La primera encarnación de FISMA se conocía como la Ley de Gestión de Seguridad de la Información Federal de 2002 y es parte de la Ley de Gobierno Electrónico.

En 2014, FISMA fue reescrita y firmada como ley por el presidente Obama. Con la reescritura vino un cambio de nombre y se incluyeron disposiciones adicionales para construir un programa de protección de datos más robusto.

Hoy en día, la última versión de FISMA se llama la Ley de Modernización de la Seguridad de la Información Federal de 2014. La gente a menudo usa el término FISMA como abreviatura de la última versión de la legislación, pero también se le conoce a menudo como Reforma de FISMA.

Definición de cumplimiento de FISMA

El cumplimiento de FISMA es el acto de seguir las directrices de FISMA para asegurar un marco integral para proteger la información, operaciones y activos del gobierno contra amenazas.

El cumplimiento de FISMA se aplica a todas las agencias gubernamentales sin excepciones. Requiere que todas las agencias federales aseguren la seguridad y protección de toda la información de la agencia. También se aplica a los contratistas del gobierno y a cualquier proveedor externo que se utilice para apoyar las operaciones de la agencia.

¿Quién supervisa el cumplimiento de FISMA?

FISMA toma muchas de sus directrices regulatorias de los Estándares Federales de Procesamiento de Información (FIPS). FIPS fue desarrollado por el gobierno de EE. UU. y ayuda a guiar el objetivo general de asegurar la confidencialidad, transparencia y disponibilidad de la información federalmente mantenida.

Hay dos organismos reguladores que trabajan con FISMA:

El Instituto Nacional de Estándares y Tecnología (NIST) que tiene la autoridad para crear programas que refuercen la seguridad de TI y las prácticas de gestión de riesgos.

El Departamento de Seguridad Nacional que es responsable de administrar la implementación de programas creados por NIST para asegurar la seguridad del sistema de información federal.

La revisión de FISMA de 2014 también requiere que cualquier agencia que experimente una violación de FISMA informe el incidente al Congreso dentro de los siete días posteriores al descubrimiento.

¿Por qué es importante el cumplimiento de FISMA?

El gobierno controla mucha información, y dejar que esa información caiga en las manos equivocadas podría llevar a consecuencias desastrosas. Debido a que el riesgo de catástrofe es tan alto para una posible violación de datos del gobierno, el estándar para proteger esos datos debe ser igualmente alto.

Los controles implementados para proteger la información del gobierno deben coincidir con el riesgo y la escala potencial de daño que podría ocurrir si esos datos fueran accedidos, distribuidos o manipulados por una fuente maliciosa.

Las posibles consecuencias por no seguir el cumplimiento de FISMA pueden ser enormes. Cualquier agencia federal que no cumpla con FISMA corre el riesgo de perder financiamiento federal. Si eres un contratista del gobierno, podrías perder todo tu negocio o perder futuras licitaciones para proyectos financiados por el gobierno.

¿Qué se requiere para el cumplimiento de FISMA?

En lugar de cubrir cada uno de los requisitos y protocolos específicos requeridos por FISMA, hemos extraído algunos de los temas principales para que tú y tu director de cumplimiento los revisen.

Requisitos de FISMA
 

Estos deben actuar como una guía de alto nivel y servir como un punto de partida para tu propia investigación. Puedes encontrar más información sobre cada uno de los requisitos listados arriba leyendo más.

1. Certificación y acreditación

FISMA requiere que cualquier oficial de programa, oficial de cumplimiento y jefes de agencia supervisen revisiones de seguridad anuales. Estas revisiones se utilizan para revisar estrategias de gestión de riesgos y mantener los riesgos de cumplimiento potenciales al mínimo. Algunas agencias eligen adquirir una certificación y acreditación de FISMA (C&A) para ayudar en este proceso.

2. Inventario del sistema de información

Todas las agencias federales y contratistas del gobierno deben mantener un inventario de cada sistema de TI utilizado dentro de su organización. También están obligados a rastrear e identificar las diferentes integraciones entre estos sistemas y cualquier otro sistema dentro de la misma red.

3. Evaluación y categorización de riesgos

Una evaluación de riesgos es una revisión interna del programa de cumplimiento de una agencia en la que se identificarán los riesgos potenciales. Luego se establece un plan para revisar, resolver y monitorear los riesgos. NIST recomienda que todas las evaluaciones de riesgos cubran una revisión a nivel organizacional, a nivel de proceso de negocio y a nivel de sistema de TI.

Una vez que se evalúa un riesgo, las agencias federales deben categorizar cada riesgo en orden de importancia. El nivel más alto de riesgo de seguridad se da entonces la primera prioridad. FIPS describe el rango de niveles de riesgo dentro de una organización para actuar como guía para la categorización de riesgos.

Relacionado: ¡Aprende más sobre los cinco tipos de auditorías de cumplimiento y por qué podrías necesitarlas!

4. Controles de seguridad

NIST SP 800-53 describe una lista exhaustiva de controles de seguridad sugeridos que pueden usarse para el cumplimiento de FISMA. FISMA no requiere que las agencias implementen cada control. Más bien, se les anima a revisar los materiales y solo aplicar los controles que sean relevantes para su agencia.

Por ejemplo, la EPA, que regula las protecciones ambientales, no usaría los mismos controles que la FCC, que monitorea la transmisión, televisión y radio.

Necesitas tener controles de seguridad elegidos y puestos en marcha antes de pasar al siguiente paso, que es crear un plan de seguridad del sistema.

5. Plan de seguridad del sistema

FISMA requiere que todas las agencias federales tengan un plan de seguridad en caso de que haya una violación de cumplimiento. Se espera que este plan se mantenga regularmente y se actualice anualmente para proporcionar las mejores soluciones de seguridad. Los planes de seguridad deben incluir políticas de seguridad, mejores prácticas y un cronograma para tratar con posibles riesgos de seguridad.

Cómo crear un programa de cumplimiento de FISMA

Lo hemos dicho antes en artículos sobre este tema, pero lo diremos de nuevo: la tecnología está cambiando la forma en que trabajamos. Incluso las agencias gubernamentales, que durante mucho tiempo han tenido el estereotipo de estar atrasadas en cuanto a tecnología, se están poniendo al día rápidamente.

Por eso es importante considerar soluciones de software de cumplimiento al crear un programa de cumplimiento de FISMA. Querrás una herramienta que pueda proporcionar múltiples capacidades e incluir a los diferentes interesados requeridos para el cumplimiento.

Productos como G2 Track han ganado popularidad en los últimos años porque son soluciones simples para la gestión de cumplimiento. Y con FISMA colocando tanta importancia en la gestión de información y acuerdos con proveedores, G2 Track ofrece la solución perfecta de una sola parada para tus necesidades de cumplimiento de FISMA.

Puedes visitar el sitio web de G2 Track para obtener más información sobre cada una de nuestras ofertas de soluciones, opciones de integración de software y para registrarte en el plan gratuito para siempre. Incluso si G2 Track no es el producto adecuado para tu empresa, puedes usarlo como una forma de explorar las capacidades ofrecidas por las soluciones de software de cumplimiento sin ningún costo inicial.

Usa la burocracia como tu modelo

El cumplimiento de FISMA puede aplicarse solo a los afiliados del gobierno, pero considerando que la mayoría del cumplimiento es manejado por agencias gubernamentales, hay lecciones valiosas que puedes aprender del cumplimiento de FISMA.

¿Interesado en aprender más? Consulta nuestros artículos sobre GRC y gobernanza corporativa.

Lauren Pope
LP

Lauren Pope

Lauren Pope is a former content marketer at G2. You can find her work featured on CNBC, Yahoo! Finance, the G2 Learning Hub, and other sites. In her free time, Lauren enjoys watching true crime shows and singing karaoke. (she/her/hers)

Explora más artículos de G2

El mejor software de gestión de riesgos operativos que has utilizado
Las mejores plataformas de IA para generar pruebas unitarias y mejorar la cobertura de código automáticamente
Software de contabilidad fácil de usar con capacidades de nómina
El mejor software de inteligencia conversacional