Instituto Nacional de Normalización y Tecnología (NIST)

Información general

600x400_NIST_Logo

Los controles de seguridad 800-53 del Instituto Nacional de Normalización y Tecnología (NIST) pueden aplicarse de forma general a los sistemas de información federales de EE.UU. Normalmente, los sistemas de información federales deben someterse a un proceso de evaluación y autorización formal para garantizar un nivel de protección suficiente de la confidencialidad, integridad y disponibilidad de la información y de los sistemas de información.

El marco de ciberseguridad (CSF) del NIST recibió el apoyo de gobiernos e industrias a nivel mundial como una base de referencia recomendada para cualquier organización, independientemente del sector y del tamaño. Según Gartner, en 2015 el 30 por ciento de las organizaciones estadounidenses usó el CSF y se espera alcanzar un 50 por ciento para el año 2020. A partir del año fiscal 2016, las métricas de la Ley federal de modernización de seguridad de la información (FISMA) de la agencia federal se ha organizado en torno al CSF y, actualmente, las agencias tienen la obligación de implementar el CSF de acuerdo con la Orden ejecutiva ciberseguridad.

  • ¿AWS cumple el marco NIST 800-53?

    Sí, los servicios y la infraestructura de la nube de AWS fueron validados por pruebas de terceros realizadas en función de los controles NIST 800-53 revisión 4, además de los requisitos adicionales de FedRAMP. AWS ha recibido la autorización para operar (ATO) de FedRAMP por parte de diferentes agencias de autorización tanto para la región AWS GovCloud (EE.UU.) como para las regiones EE.UU. Este y EE.UU. Oeste de AWS. Si desea obtener más información, consulte la página web de conformidad con FedRAMP de AWS, o las siguientes páginas web de FedRAMP Marketplace:

  • ¿Cuáles son mis responsabilidades como cliente para alinear mis sistemas de AWS con marcos de NIST?

    Aunque algunos controles son propios de AWS, muchos otros se comparten entre usted como cliente y AWS. Bajo un acuerdo de confidencialidad, AWS proporciona una plantilla de AWS FedRAMP SSP basada en NIST 800-53 Rev. 4, que ya contiene la referencia de control bajo, moderado y alto de NIST 800-5 Rev. 4 aplicable. La responsabilidad del control es la siguiente:

    • Responsabilidad compartida: usted se encargará de la seguridad y de los parámetros de configuración de sus componentes de software, mientras que AWS se encargará de la seguridad de la infraestructura.
    • Responsabilidad exclusiva de los clientes: usted es el único responsable de los sistemas operativos invitados, de las aplicaciones implementadas y de una selección de recursos de red (por ejemplo, los firewalls). Concretamente, usted es el único responsable de configurar y administrar la seguridad en la nube.
    • Responsabilidad exclusiva de AWS: AWS administra la infraestructura de la nube, incluida la red, el almacenamiento de datos, los recursos del sistema, los centros de datos, la seguridad física, la fiabilidad y el hardware y software auxiliares. Las aplicaciones creadas en un sistema de AWS heredan las características y las opciones configurables que AWS proporciona. AWS es el único responsable de configurar y administrar la seguridad de la nube.

    A efectos de la autorización de la seguridad, la conformidad con los requisitos de FedRAMP (según la referencia de control bajo, moderado y alto de NIST 800-53 rev. 4) depende de que AWS implemente los controles propios de AWS así como los compartidos y de que usted implemente los controles propios del cliente y los compartidos. Una organización de evaluación externa (3PAO) con acreditación de FedRAMP evaluó y autorizó la implementación del control de responsabilidad de AWS. Usted debe evaluar y autorizar por separado el conjunto de controles compartidos que están bajo su responsabilidad y los controles relacionados con las aplicaciones que usted implementa en la infraestructura de AWS conforme a NIST 800-37 y sus políticas y procedimientos de autorización de la seguridad específicos.

  • ¿De qué manera AWS puede ayudarme a alinearme con los marcos de NIST?

    Los sistemas de AWS que se ajustan a FedRAMP han obtenido las autorizaciones correspondientes, han superado los controles de seguridad de FedRAMP (NIST SP 800-53), utilizan las plantillas obligatorias de FedRAMP en los paquetes de seguridad que se publican en el repositorio seguro de FedRAMP, han sido evaluados por una organización evaluadora externa independiente (3PAO) y conservan los requisitos de monitoreo continuo de FedRAMP.

    Según el modelo de responsabilidad compartida de AWS, AWS se encarga de administrar la seguridad de la nube, aunque usted es el responsable de la seguridad en la nube. A los fines de respaldar su implementación de las responsabilidades compartidas, AWS ha creado soluciones de Quick Start (con tecnología de AWS CloudFormation) que requieren un solo clic para automatizar su implementación de tecnologías importantes en la nube de AWS. Cada uno de estos Quick Start lanza, configura y ejecuta servicios informáticos, de redes, almacenamiento, entre otros de AWS, necesarios para implementar una carga de trabajo en AWS que cumpla los marcos y estándares de seguridad de los requisitos de conformidad, como PCI DSS y NIST 800-53.

    Los Quick Start optimizan, automatizan e implementan referencias seguras con un exhaustivo conjunto de reglas que se puede aplicar de forma sistemática. Por ejemplo, el Quick Start de Arquitectura estandarizada para los marcos de control basados en NIST en la nube de AWS contiene plantillas de AWS CloudFormation. Estas plantillas pueden integrarse con AWS Service Catalog para automatizar la creación de una carga de trabajo de arquitectura de referencia estandarizada que recaiga en el ámbito de NIST 800-53 Revisión 4 y NIST 800-171. Este Quick Start incluye también una referencia de los controles de seguridad, que asigna las decisiones de la arquitectura, las características y la configuración de referencia de dichos controles. Los Quick Start pueden utilizarse como ayuda para lograr ajustarse a los esfuerzos de conformidad de AWS de forma coherente con los objetivos de conformidad y seguridad de la nube de AWS de su organización.

  • ¿Cómo debo utilizar el CSF del NIST?

    Independientemente de si pertenece a una organización del sector comercial o público, puede usar el documento técnico Marco de ciberseguridad de NIST (CSF) para evaluar su entorno de AWS en relación con el CSF de NIST, y mejorar las medidas de seguridad que implementa y usa (su parte del modelo de responsabilidad compartida, también conocida como seguridad en la nube). Para facilitar su cumplimiento del CSF de NIST, suministramos una descripción detallada de los servicios en la nube de AWS y las responsabilidades asociadas del cliente y de AWS. El documento técnico también brinda un documento de un auditor externo que acredita la conformidad de los servicios de la nube de AWS con las prácticas de gestión de riesgo del CSF del NIST (nuestra parte del modelo de responsabilidad compartida, también conocido como seguridad en la nube), lo que le permite a las organizaciones proteger adecuadamente sus datos en AWS.

    Todo tipo de organizaciones, desde agencias estatales y federales a entidades reguladas y grandes empresas, pueden usar este documento técnico como una guía para la implementación de soluciones de AWS y lograr así los resultados de gestión de riesgos del CSF del NIST.

compliance-contactus-icon
¿Tiene preguntas? ¿Necesita ponerse en contacto con un representante empresarial de AWS?
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »