El Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos ha publicado Assessing Security and Privacy Controls in Information Systems and Organizations, una guía para realizar evaluaciones de los controles de seguridad y privacidad utilizados en los sistemas y organizaciones dentro de un marco de gestión de riesgos eficaz.
La actualización de la Publicación Especial (SP) 800-53A Revisión 5, proporciona una metodología y un conjunto de procedimientos de evaluación, ejecutados en varias fases del ciclo de vida del desarrollo de sistemas, para verificar que los controles sean implementados, los objetivos de control establecidos sean cumplidos, y lograr los resultados de seguridad y privacidad deseados.
Los procedimientos de evaluación de SP 800-53A proporcionan un marco y un punto de partida para las evaluaciones de control y se pueden adaptar a las necesidades de las organizaciones y los evaluadores. Facilita las evaluaciones de control de seguridad y privacidad realizadas dentro de un marco de gestión de riesgos efectivo.
Los procedimientos son personalizables y se pueden adaptar fácilmente para brindar a las organizaciones la flexibilidad necesaria para realizar evaluaciones de control de seguridad y privacidad que respalden los procesos de gestión de riesgos organizacionales y estén alineados con la tolerancia al riesgo declarada de la organización. Incluye nuevos procedimientos de evaluación que abordan los controles de administración de riesgos de la cadena de suministro y la privacidad. También introduce una nueva estructura para los procedimientos de evaluación para respaldar mejor el uso de herramientas automatizadas, mejorar la eficiencia de las evaluaciones de control para evaluadores y organizaciones, y respaldar el monitoreo continuo y los programas de autorización en curso.
La guía está en inglés y está catalogada por el NIST como Publicación Especial 800-53A, Revisión 5.
Para mayor información, consulte NIST Special Publication (SP) 800-53A, Rev. 5, Assessing Security and Privacy Controls in Information Systems and Organizations.