El NIST propone requisitos de seguridad mejorados para determinados contratistas gubernamentales.

El Instituto Nacional de Estándares y Tecnología (NIST) ha anunciado cambios propuestos a la Publicación Especial (SP) 800-171 del NIST, Protección de información controlada no clasificada en sistemas y organizaciones no federales. Los cambios propuestos son dos: (1) realizar pequeños cambios editoriales y aclaraciones a la SP 800-171 existente, y (2) proponer requisitos de seguridad mejorados para programas críticos y activos de alto valor con el fin de protegerlos contra las amenazas persistentes avanzadas (APT) en una nueva publicación, la SP 800-171B. Estas propuestas no solo afectarán a los contratistas del gobierno que están directamente sujetos a los requisitos a través de sus acuerdos con el gobierno, sino que también pueden extenderse al sector privado. Estas propuestas están abiertas a comentarios públicos hasta el 2 de agosto de 2019*.

Publicados originalmente en 2015, los controles NIST SP 800-171 están diseñados para establecer estándares mínimos de seguridad para los contratistas gubernamentales que procesan, almacenan o transmiten información controlada no clasificada (CUI). Los tipos de información que se consideran CUI se enumeran en el Registro CUI e incluyen una amplia gama de información, desde información sobre contribuyentes federales hasta información crítica de defensa. Las revisiones propuestas para la norma SP 800-171, Revisión 2, son cambios editoriales menores; no se han propuesto cambios en los requisitos de seguridad básicos o derivados. El NIST ha declarado que en la Revisión 3 se incluirá una actualización completa de la norma SP 800-171.

Sin embargo, el NIST ha propuesto nuevas normas de seguridad rigurosas para los sistemas y organizaciones no federales que apoyan programas críticos o forman parte de activos de alto valor, como los sistemas de armas, en su nueva publicación, SP 800-171B. La norma SP 800-171B del NIST se basa en los requisitos de seguridad establecidos en la norma SP 800-171. Dado que los controles del NIST SP 800-171 se citan con frecuencia en los acuerdos del sector privado como requisitos mínimos para los proveedores que procesan, almacenan o transmiten los datos de una organización, es probable que los controles propuestos se extiendan a otras industrias y afecten a los proveedores, independientemente de si tienen contratos con el gobierno.

¿Qué implican los nuevos requisitos de la norma SP 800-171B?

Los nuevos requisitos de la norma NIST 800-171B tienen por objeto complementar (en lugar de sustituir) la norma SP 800-171 y establecer un nivel sustancialmente más alto para las prácticas mínimas de seguridad en las organizaciones aplicables, en comparación con la norma SP 800-171 en general. En concreto, la norma SP 800-171B añade 32 requisitos de seguridad mejorados a los 110 controles de seguridad enumerados en la norma SP 800-171, centrándose en tres componentes principales: (1) una arquitectura resistente a la penetración; (2) operaciones de limitación de daños; y (3) diseño de sistemas para la ciberresiliencia y la supervivencia. Por ejemplo, la norma NIST 800-171B añade los tres requisitos siguientes a los controles existentes relacionados con el acceso a la CUI (lo que limita aún más los derechos de acceso): (1) emplear una doble autorización para ejecutar operaciones críticas o sensibles del sistema y de la organización; (2) restringir el acceso a los sistemas y componentes del sistema únicamente a aquellos recursos de información que sean propiedad de la organización, o que hayan sido proporcionados o emitidos por ella; y (3) emplear soluciones de transferencia de información seguras para controlar los flujos de información entre los dominios de seguridad de los sistemas conectados.

Para la mayoría de las empresas, es probable que los requisitos mejorados sean más costosos que los requisitos generales de la norma NIST SP 800-171. Un ejemplo costoso de un nuevo requisito es que las organizaciones deben establecer y mantener un centro de operaciones de seguridad a tiempo completo y un equipo de respuesta a incidentes que pueda desplegarse en cualquier lugar en un plazo de 24 horas. La propuesta establece que el NIST permitirá a las organizaciones contratar a terceros para cumplir estas nuevas normas, en lugar de exigirles que tengan la capacidad de cumplirlas internamente.

¿Cómo afectará la norma SP 800-171B a las organizaciones?

Según la norma SP 800-171B, las organizaciones solo tendrán que cumplir con la norma SP 800-171B «cuando así lo exija una agencia federal en un contrato, subvención u otro acuerdo». Por lo tanto, una vez que se haya finalizado la norma SP 800-171B, las organizaciones deberán revisar sus acuerdos para determinar si es necesario cumplirla. Como se ha mencionado anteriormente, es probable que las organizaciones del sector privado exijan cada vez más a los proveedores que cumplan los requisitos más estrictos para los datos propios de la organización que esta considere altamente sensibles, especialmente las organizaciones con grandes volúmenes de datos sensibles. En consecuencia, e independientemente de cuándo se publique la versión definitiva de la norma NIST SP 800-171B, las organizaciones que sepan que probablemente estarán sujetas a estos nuevos requisitos deben empezar a pensar en cómo implementarlos. Algunos de estos requisitos exigirán nuevas tecnologías, formación y personal, por lo que cuanto antes cree cada organización un plan y una estrategia de implementación, más fluida y rentable será la implementación.

¿Cómo puede opinar sobre estas propuestas?

Los comentarios deben enviarse por correo electrónico a [email protected] o a https://www.regulations.gov, expediente NIST-2019-0002.

Para obtener más información sobre las propuestas o para recibir ayuda a la hora de enviar un comentario, póngase en contacto con cualquiera de los autores.

*Nota del editor: Fecha actualizada el 10 de julio de 2019.