Instituto Nacional de Normalización y Tecnología (NIST)

Información general

Los controles de seguridad 800-53 del Instituto Nacional de Normalización y Tecnología (NIST) pueden aplicarse de forma general a los sistemas de información federales de EE. UU. Normalmente, los sistemas de información federales deben someterse a un proceso de evaluación y autorización formal para garantizar un nivel de protección suficiente de la confidencialidad, integridad y disponibilidad de la información y de los sistemas de información.

El marco de ciberseguridad (CSF) del NIST recibió el apoyo de gobiernos e industrias a nivel mundial como una base de referencia recomendada para cualquier organización, independientemente del sector y del tamaño. Según Gartner, en 2015 el 30 por ciento de las organizaciones estadounidenses usó el CSF y se espera alcanzar un 50 por ciento para el año 2020. A partir del año fiscal 2016, las métricas de la Ley federal de modernización de seguridad de la información (FISMA) de la agencia federal se ha organizado en torno al CSF y, actualmente, las agencias tienen la obligación de implementar el CSF de acuerdo con la Orden ejecutiva ciberseguridad.

  • Sí, los servicios y la infraestructura de la nube de AWS fueron validados por pruebas de terceros realizadas en función de los controles NIST 800-53 revisión 4, además de los requisitos adicionales de FedRAMP. AWS ha recibido la autorización para operar (ATO) de FedRAMP por parte de diferentes agencias de autorización tanto para AWS GovCloud (EE.UU.) como para las regiones EE.UU. Este y EE.UU. Oeste de AWS. Si desea obtener más información, consulte la página web de conformidad con FedRAMP de AWS, o las siguientes páginas web de FedRAMP Marketplace:

  • Aunque algunos controles son propios de AWS, muchos otros se comparten entre usted como cliente y AWS. La responsabilidad del control es la siguiente:

    • Responsabilidad compartida: usted se encargará de la seguridad y de los parámetros de configuración de sus componentes de software, mientras que AWS se encargará de la seguridad de la infraestructura.
    • Responsabilidad exclusiva de los clientes: usted es el único responsable de los sistemas operativos invitados, de las aplicaciones implementadas y de una selección de recursos de red (por ejemplo, los firewalls). Concretamente, usted es el único responsable de configurar y administrar la seguridad en la nube.
    • Responsabilidad exclusiva de AWS: AWS administra la infraestructura de la nube, incluida la red, el almacenamiento de datos, los recursos del sistema, los centros de datos, la seguridad física, la fiabilidad y el hardware y software auxiliares. Las aplicaciones creadas en un sistema de AWS heredan las características y las opciones configurables que AWS proporciona. AWS es el único responsable de configurar y administrar la seguridad de la nube.

    A efectos de la autorización de la seguridad, la conformidad con los requisitos de FedRAMP (según la referencia de control bajo, moderado y alto de NIST 800-53 rev. 4) depende de que AWS implemente los controles propios de AWS así como los compartidos y de que usted implemente los controles propios del cliente y los compartidos. Una organización de evaluación externa (3PAO) con acreditación de FedRAMP evaluó y autorizó la implementación del control de responsabilidad de AWS. Usted debe evaluar y autorizar por separado el conjunto de controles compartidos que están bajo su responsabilidad y los controles relacionados con las aplicaciones que usted implementa en la infraestructura de AWS conforme a NIST 800-37 y sus políticas y procedimientos de autorización de la seguridad específicos.

  • Los sistemas de AWS que se ajustan a FedRAMP han obtenido las autorizaciones correspondientes, han superado los controles de seguridad de FedRAMP (NIST SP 800-53), utilizan las plantillas obligatorias de FedRAMP en los paquetes de seguridad que se publican en el repositorio seguro de FedRAMP, han sido evaluados por una organización evaluadora externa independiente (3PAO) y conservan los requisitos de monitoreo continuo de FedRAMP.

    Según el modelo de responsabilidad compartida de AWS, AWS se encarga de administrar la seguridad de la nube, aunque usted es el responsable de su seguridad en la nube. Para facilitar la implementación de responsabilidades compartidas, AWS creó la solución Acelerador de zonas de aterrizaje en AWS (con tecnología de AWS CloudFormation). La solución del Acelerador de zonas de aterrizaje en AWS implementa una base para la nube diseñada para seguir las prácticas recomendadas de AWS y cumplir con diferentes marcos de cumplimiento globales, incluidos los marcos basados en NIST. Gracias a esta solución, los clientes con cargas de trabajo altamente reguladas y con complejos requisitos de cumplimiento pueden administrar y gobernar con mayor eficacia sus entornos de varias cuentas. Al usarse en coordinación con otros servicios de AWS, brinda una solución integral con poco código en más de 35 servicios de AWS. La solución Acelerador de zonas de aterrizaje en AWS le ayuda a implementar rápidamente una infraestructura en la nube segura, resistente, escalable y completamente automatizada que acelera su preparación para el programa de conformidad en la nube. Nota: Esta solución por sí misma no hará que cumpla los requisitos. La solución proporciona la infraestructura base a partir de la cual se pueden integrar soluciones complementarias adicionales.

  • Independientemente de si pertenece a una organización del sector comercial o público, puede usar el documento técnico Marco de ciberseguridad de NIST (CSF) para evaluar su entorno de AWS en relación con el CSF de NIST, y mejorar las medidas de seguridad que implementa y usa (su parte del modelo de responsabilidad compartida, también conocida como seguridad en la nube). Para facilitar su cumplimiento del CSF de NIST, suministramos una descripción detallada de los servicios en la nube de AWS y las responsabilidades asociadas del cliente y de AWS. El documento técnico también brinda un documento de un auditor externo que acredita la conformidad de los servicios de la nube de AWS con las prácticas de gestión de riesgo del CSF del NIST (nuestra parte del modelo de responsabilidad compartida, también conocido como seguridad de la nube), lo que le permite a las organizaciones proteger adecuadamente sus datos en AWS.

    Todo tipo de organizaciones, desde agencias estatales y federales a entidades reguladas y grandes empresas, pueden usar este documento técnico como una guía para la implementación de soluciones de AWS y lograr así los resultados de gestión de riesgos del CSF del NIST.

Recursos para NIST

Marco de ciberseguridad de NIST (CSF)
Matriz de responsabilidades del cliente y de los servicios de AWS para alineación con el CSF [Descargar]
Socios del marco de ciberseguridad (CSF) de NIST
Academia de auditoría en la nube para cargas de trabajo federales y del DoD en AWS
Automatice el cumplimiento con el NIST en AWS GovCloud (EE. UU.) a través de las herramientas de AWS Quick Start (Video)
¿Tiene preguntas? Pónganse en contacto con un representante empresarial de AWS
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »