Blog sobre la Gestión de TI

En este blog encontrarás información relevante acerca de temas relacionados con las soluciones de ManageEngine y TI. Es un medio importante para estar actualizado y encontrar respuestas a preguntas frecuentes.
Tamaño de fuente: +

10 Pasos para lograr una auditoria exitosa en FISMA

10 Pasos para lograr una auditoria exitosa en FISMA

La Ley de Gestión de la Información de Seguridad Federal, FISMA por sus siglas en inglés,  es erróneamente entendida como exclusiva de las organizaciones gubernamentales. La realidad es que en la actualidad se exige que los proveedores de servicios de seguridad que busquen cerrar contratos con este tipo de organizaciones sigan los mismos estándares.

Principales propósitos de FISMA

  1. Proporcionar un marco global para garantizar la eficacia de los controles de seguridad de información que soportan las operaciones e inventarios federales

  2. Establecer la relación, gestión y supervisión de los riesgos de seguridad de la información

  3. Proveer el desarrollo y mantenimiento de los controles mínimos necesarios para proteger la información de los sistemas federales

Cumplir estos objetivos suele implicar cierta dificultad ya que la regulación es confusa e incluso abrumadora si no se tiene el conocimiento adecuado para implementar estos estándares. Sumado a ello, puede ser muy costoso para las empresas contratar un especialista ya que son pocos los que cuentan con los conocimientos suficientes para lograr que la compañía logre una auditoría exitosa en FISMA.

Sin embargo, no es tan complejo como parece. Existen 10 pasos clave para cumplir con una auditoría FISMA sin la necesidad de invertir en consultores externos. 

¿Cómo cumplir con una auditoría FISMA? 

1. No permita que los detalles le abrumen

Cuando FISMA fue redactado, sus seis principios fueron revolucionarios.

En un periodo en que la seguridad de la información había sido una idea de último momento en las organizaciones gubernamentales, se implementó como un requisito indispensable.

Ahora se requiere construir un análisis sobre la seguridad de la información y la gestión de riesgo dentro de las organizaciones. Los prestadores de servicios al ser entidades privadas tienen la ventaja de que su información es confidencial y no pueden ser obligados a publicarla como lo es con las entidades de gobierno.

2. Proteger los datos

Un error común en FISMA es que se hace mayor énfasis en la protección de la información en lugar de los sistemas. Los sistemas de información que se utilizan dentro de la organización son los que tienen mayor valor, ya que estos nos proporcionaran la información adecuada para alinearnos a los reportes de auditoría de FISMA.

Por lo que es muy importante contar con un sistema de seguridad que nos proporcione información de valor sobre las vulnerabilidades y riesgos que se pueden presentar.

3. Aceptar un pequeño porcentaje de riesgo está bien

Cuando se presentan reportes de auditoria 100% limpios significa que la organización mintió porque no siempre se pueden cumplir a la perfección todos los estándares. Incluso, las organizaciones gubernamentales aceptan que FISMA indica que las empresas deben implementar políticas y procedimientos para “reducir el costo –eficacia de los riesgos a un nivel aceptable”.

4. Designar a un responsable que se encargue de la seguridad de la información

FISMA requiere que las organizaciones asignen a un responsable de seguridad de información y que brinde informes con datos exactos desde el auditor hasta el CIO.

5. Desarrollar un proyecto por escrito y considerar una parte del presupuesto para FISMA

Es indispensable contar con documentación y pruebas tangibles del control del  sistema de seguridad, de otra forma los auditores notaran una falta de planificación y previsión.

Al contar con un presupuesto de respaldo es posible  adquirir las herramientas necesarias para demostrar a clientes y auditores el compromiso que se tiene con el cumplimiento de la seguridad de la información.

6. Informes

En el área de TI, los reportes son el corazón de cualquier auditoría.

La clave para presentar informes reales es contar con un software que arroje información real y clara, además de automatizar las tareas complejas de recolección de información y la creación manual de dichos documentos.

En la actualidad existen aplicaciones para la gestión de información de eventos y seguridad, análisis de logs que ayudan a correlacionar los eventos y derivar métricas que nos brindaran los informes.

7. El seguimiento es obligatorio

FISMA requiere un seguimiento continuo de ciertos controles, tales como cambios en los sistemas, gestión de las configuraciones, las evaluaciones en curso de los controles de seguridad y actividades de información.

Es muy importante que el responsable de seguridad de la información realice un seguimiento continuo y trabaja en estos informes por periodos de tiempo establecidos para detectar nuevas vulnerabilidades y oportunidades de mejora.

8. Pruebas de control que sean capaces de demostrar lo que se hizo 

FISMA requiere que las organizaciones hagan evaluación de los controles que se tienen con regularidad, por lo menos anualmente para cumplir con estos objetivos:

  • Evaluar a fondo los controles
  • Realizar evaluaciones constantes
  • Implementar un proceso para remediar los hallazgos

9. “Follow the leader” 

Realice una investigación previa de los controles que los auditores estarán evaluando. En caso de no encontrar información, en Google se puede realizar la búsqueda de las políticas de seguridad y requisitos a cumplir con la compañía de auditoría que se estará contratando, en ocasiones existen blogs donde puede encontrar información valiosa o simplemente ir directamente con la compañía y solicitar orientación.

10. Si existen dudas, ¡pregunte!

No tenga miedo de preguntar a sus asesores o clientes para obtener recomendaciones sobre productos y servicios de seguridad.  Si esto no es posible, se puede contratar a un consultor familiarizado con FISMA para resolver las últimas dudas que se tengan e invertir en pocas horas de honorarios de consultoría. Esto puede ahorrarle un montón de problemas y costos durante el proceso de auditoría.

Resolviendo un caso de Cybercrimen como Sherlock H...
Detección de ataques DDoS usando NetFlow Analyzer

Artículos relacionados

Suscríbete al Blog