El Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos ha publicado la quinta revisión de la Publicación Especial 800-53 Controles de Seguridad y Privacidad para Organizaciones y Sistemas de Información, que data del 2005.
NIST Special Publication (SP) 800-53, Revision 5, Security and Privacy Controls for Information Systems and Organizations proporciona un catálogo de controles de seguridad y privacidad para proteger las operaciones y los activos de la organización, las personas, otras organizaciones y a los Estados Unidos de Norteamérica de un conjunto diverso de amenazas y riesgos, incluidos ataques hostiles, errores humanos, desastres naturales, fallas estructurales, entidades de inteligencia extranjeras y riesgos de privacidad.
Los controles son flexibles y personalizables y se implementan como parte de un proceso de toda la organización para administrar el riesgo. Aborda la seguridad y la privacidad desde una perspectiva de funcionalidad (es decir, la solidez de las funciones y los mecanismos proporcionados por los controles) y desde una perspectiva de aseguramiento (es decir, la medida de confianza en la capacidad de seguridad o privacidad proporcionada por los controles). Abordar la funcionalidad y el aseguramiento ayuda a garantizar que los productos de tecnología de la información y los sistemas que dependen de esos productos sean lo suficientemente confiables.
Los cambios más importantes en SP 800-53, revisión 5 incluyen:
- Consolidación del catálogo de control: los controles de seguridad y privacidad de la información ahora se integran en un catálogo de control consolidado y transparente para los sistemas de información y las organizaciones.
- Integración de la gestión de riesgos de la cadena de suministro: establece una nueva familia de control de gestión de riesgos de la cadena de suministro (SCRM) e integra aspectos de SCRM en todo el catálogo.
- Adición de nuevos controles de vanguardia: se basan en la información más reciente sobre amenazas y ciberataques (p. ej., controles para respaldar la resiliencia cibernética, el diseño de sistemas seguros, el gobierno de la seguridad y privacidad, y la rendición de cuentas).
- Hacer que los controles se basen en resultados: elimina la entidad responsable de satisfacer el control (es decir, sistema de información, organización) de la declaración de control.
- Mejora de las descripciones de las relaciones de contenido: aclara la relación entre requisitos y controles, así como la relación entre controles de seguridad y privacidad.
- Separación de los procesos de selección de control de los controles: permite que los controles sean utilizados por diferentes comunidades de interés, incluidos ingenieros de sistemas, arquitectos de seguridad, desarrolladores de software, arquitectos empresariales, ingenieros de seguridad y privacidad de sistemas, y propietarios de empresas o misiones.
- Transferencia de líneas de base de control y adaptación de la guía a NIST SP 800-53B: el contenido se ha trasladado al nuevo (borrador) Control Baselines for Information Systems and Organizations.
La nueva versión de la Publicación Especial 800-53 Controles de Seguridad y Privacidad para Organizaciones y Sistemas de Información puede ser obtenida aquí.