FISMA

Revisado porFlorian AmetteCybersecurity entrepreneur & security researcher

¿Qué es FISMA?

FISMALey federal de EE. UU. que obliga a las agencias federales y a sus contratistas a implantar programas de seguridad de la información basados en riesgos para los sistemas que manejan datos del Gobierno.

La Federal Information Security Modernization Act (FISMA), promulgada originalmente en 2002 y actualizada en 2014, obliga a las agencias federales a desarrollar, documentar e implantar un programa de seguridad de la información a nivel de toda la agencia. Encarga al NIST la publicación de estándares (FIPS 199 para la categorización, FIPS 200 para controles mínimos) y de guías (catálogo SP 800-53, marco de gestión de riesgos SP 800-37). Las agencias deben inventariar sistemas, evaluar riesgos, otorgar la Autorización para Operar (ATO), supervisar controles de forma continua y reportar anualmente a la OMB y al Congreso. FISMA también alcanza a contratistas y proveedores cloud que operan sistemas federales. La supervisión corresponde a OMB y CISA; la GAO audita su efectividad.

● Ejemplos

01
Una agencia que concede una ATO a un nuevo sistema de RR. HH. tras evaluar controles según NIST SP 800-53.
02
Un contratista federal que mantiene monitorización continua y POA&Ms para conservar el cumplimiento de FISMA.

● Preguntas frecuentes

¿Qué es FISMA?

Ley federal de EE. UU. que obliga a las agencias federales y a sus contratistas a implantar programas de seguridad de la información basados en riesgos para los sistemas que manejan datos del Gobierno. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.

¿Qué significa FISMA?

¿Cómo defenderse de FISMA?

Las defensas contra FISMA combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

¿Cuáles son otros nombres para FISMA?

Nombres alternativos comunes: Ley de Modernización de la Seguridad de la Información Federal.

● Términos relacionados

● Véase también

FIPS 140 / FIPS 140-3