NIST 800-53B

REV 5 LOW
Grupo 3:
Arellano Juan
Enríquez Adriana
Posso Juan
Rivera Willian
Vallejo Valery
Verduga Cristian

Profesor: Ing. Juan Herrera

Fecha: 20/02/2024
 TEMA TEMA
GESTIÓN DE TICS Y UNIDADES
Causas INFORMÁTICAS
Proyectos
Mapeo SCF-NISTde800-53B(SIC-826)
Software Fallidos
REV5 (LOW)

2
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS
Mapeo SCF-NIST (SIC-826)
800-53B REV5 (LOW)

Dominio SCF Control SCF Descripción NIST 800-53B

Inventario de activos
Rev5 (Low)
Se trata de establecer mecanismos para llevar a (Configuration Management)
cabo inventarios precisos de activos tecnológicos, CM-8: Inventario de
incluyendo sistemas, software autorizado y detalles componentes del sistema
de justificación, con el fin de garantizar una
adecuada responsabilidad patrimonial y
disponibilidad para revisión y auditoría.

Diagramas de red y Mantener diagramas detallados de la arquitectura de (Planning)

diagramas de flujo de datos red para evaluar su seguridad, reflejar su estado PL-2: Planes de seguridad y
(DFD) actual y documentar los flujos de datos sensibles o privacidad del sistema
regulados.
GESTIÓN DE
ACTIVOS Clasificación del alcance Establecer mecanismos para determinar qué (System and Services
de los activos controles de ciberseguridad y privacidad de datos Acquisition)
son aplicables, identificando y documentando la SA-5: Documentación del
categorización de alcance adecuada para todos los sistema
sistemas, aplicaciones, servicios y personal, tanto
interno como de terceros.

Eliminación, destrucción o
reutilización seguras de
equipos
Existen mecanismos para eliminar, destruir o (Supply chain risk
reutilizar de forma segura los componentes del management)
sistema utilizando técnicas y métodos definidos por SR-12: Eliminación de
la organización para evitar que se recupere componentes
información de estos componentes.

3
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS
Mapeo SCF-NIST (SIC-826)
800-53B REV5 (LOW)

Dominio SCF Control SCF Descripción NIST 800-53B

Rev5 (Low)
Programa de gestión de la Existen mecanismos para facilitar la aplicación de (Configuration Management)
configuración los controles de gestión de la configuración. CM-1: Política y
procedimientos.
Refuerzo del sistema Mecanismos para desarrollar, documentar y (Configuration Management)
mediante configuraciones mantener configuraciones de base seguras para CM-2: Configuración base.
de referencia plataformas tecnológicas que sean coherentes con CM-6: Ajustes de
las normas de refuerzo de sistemas aceptadas por la configuración.
industria.
(System and Services
Acquisition)
SA-8:
GESTIÓN DE LA
CONFIGURACIÓN (Planning)
PL-10: Selección Base de un
control.

Reseñas y actualizaciones Mecanismos para revisar y actualizar las (Configuration Management)

configuraciones de referencia, anualmente, cuando CM-2: Configuración base.
se requiera.
Desviaciones de Existen mecanismos para documentar, evaluar los (Configuration Management)
configuración aprobadas riesgos y aprobar o denegar las desviaciones de las CM-6: Ajustes de
configuraciones normalizadas. configuración.

4
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS
Mapeo SCF-NIST (SIC-826)
800-53B REV5 (LOW)

Dominio SCF Control SCF Descripción NIST 800-53B

Rev5 (Low)
Adaptación básica Se trata de mecanismos que permiten personalizar (Planning)
los controles básicos mediante acciones específicas PL-11: Adaptación básica
para adaptarse a las funciones de misión/negocio,
entorno operativo, amenazas específicas u otras
condiciones que podrían afectar el éxito de la
misión/negocio.

Funcionalidad mínima Existen mecanismos para configurar los sistemas de (Configuration management)
modo que sólo proporcionen capacidades CM-7: Funcionalidad mínima
GESTIÓN DE LA esenciales, prohibiendo o restringiendo
CONFIGURACIÓN específicamente el uso de puertos, protocolos y/o
servicios.

Restricciones de uso del Existen mecanismos para hacer cumplir las (Configuration management)
software restricciones de uso de software para cumplir con CM-10: Restricciones de uso
los acuerdos contractuales aplicables y las leyes de del software
derechos de autor.

Software instalado por el Existen mecanismos para restringir la capacidad de (Configuration management)
usuario los usuarios sin privilegios de instalar software no CM-11: Software instalado
autorizado. por el usuario

5
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS
Mapeo SCF-NIST (SIC-826)
800-53B REV5 (LOW)

NIST
800-53B
Dominio SCF Control SCF Descripción
rev5
(low)
Existen mecanismos de monitoreo continuo para facilitar la
implementación de controles de monitoreo en toda la AU-1
Monitoreo Continuo
empresa. SI-4
Existen mecanismos para revisar los registros de eventos
Reseñas y actualizaciones de forma continua y escalar los incidentes de acuerdo con AU-2
los plazos y procedimientos establecidos.
Existen mecanismos para utilizar un administrador de
eventos de incidentes de seguridad (SIEM) o una
AU-2
Recopilación centralizada de registros de eventos de herramienta automatizada similar para respaldar la
AU-6
seguridad recopilación centralizada de registros de eventos
SI-4
relacionados con la seguridad.

Existen mecanismos para configurar sistemas que

MONITOREO produzcan registros de eventos que contengan suficiente
CONTINUO información para, como mínimo:
▪ Establecer qué tipo de evento ocurrió;
▪ Cuándo (fecha y hora) ocurrió el evento;
▪ Dónde ocurrió el evento;
Contenido de los registros de eventos AU-3
▪ El origen del suceso;
▪ El resultado (éxito o fracaso) del evento; y
▪ La identidad de cualquier usuario/sujeto asociado con el
evento.

Existen mecanismos para asignar y administrar de forma

proactiva suficiente capacidad de almacenamiento del
Capacidad de almacenamiento del registro de eventos registro de eventos para reducir la probabilidad de que se AU-4
supere dicha capacidad.

6
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS
Mapeo SCF-NIST (SIC-826)
800-53B REV5 (LOW)

NIST
800-53B
Dominio SCF Control SCF Descripción
rev5
(low)

Respuesta a errores de procesamiento del registro de Existen mecanismos para alertar al personal adecuado en AU-5
eventos caso de que se produzca un error en el procesamiento de
registros y tomar medidas para remediar la interrupción.

Existen mecanismos para configurar los sistemas de modo

que utilicen un origen de tiempo autorizado para generar
Marcas de tiempo marcas de tiempo para los registros de eventos. AU-8

Existen mecanismos para proteger los registros de

MONITOREO eventos y las herramientas de auditoría contra el acceso,
CONTINUO Protección de registros de eventos la modificación y la eliminación no autorizados. AU-9

Existen mecanismos para conservar los registros de

Retención del registro de eventos
eventos durante un período de tiempo coherente con los
requisitos de retención de registros para proporcionar
apoyo a las investigaciones posteriores a los hechos de
incidentes de seguridad y para cumplir con los requisitos
de retención legales, reglamentarios y contractuales. AU-11

7
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS
Mapeo SCF-NIST (SIC-826)
800-53B REV5 (LOW)

NIST
800-53B
Dominio SCF Control SCF Descripción
rev5
(low)

Existen mecanismos para facilitar la implementación de

controles de protección criptográfica utilizando estándares
Uso de controles criptográficos públicos conocidos y tecnologías criptográficas confiables. SC-13

Existen mecanismos automatizados para permitir que los

sistemas se autentiquen en un módulo criptográfico.
Autenticación del módulo criptográfico IA-7

Existen mecanismos criptográficos para evitar la divulgación

Cifrado de datos en reposo no autorizada de datos en reposo. SC-13
PROTECCIONES
CRIPTOGRÁFICAS Existen mecanismos para proteger el acceso inalámbrico a
Autenticación y cifrado de acceso inalámbrico través de la autenticación y el cifrado seguro. AC-18

Existen mecanismos para implementar de forma segura una

infraestructura interna de infraestructura de clave pública
(PKI) u obtener servicios de PKI de un proveedor de
Infraestructura de clave pública (PKI) servicios PKI de buena reputación. SC-12

8
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS
Mapeo SCF-NIST (SIC-826)
800-53B REV5 (LOW)

NIST
800-53B
Dominio SCF Control SCF Descripción
rev5
(low)
Existen mecanismos para facilitar la implementación de
Seguridad de endpoints controles de seguridad de endpoints. MP-2
Existen mecanismos automatizados para prohibir las
Prohibir la instalación sin estatus privilegiado instalaciones de software sin un estado privilegiado asignado CM-11
explícitamente.
Existen mecanismos para definir, documentar, aprobar y
Regulación de la restricción de acceso para el cambio hacer cumplir las restricciones de acceso asociadas con los CM-5
cambios en los sistemas.
Existen mecanismos para utilizar tecnologías antimalware
para detectar y erradicar el código malicioso.

Protección contra código malicioso (antimalware) SI-3

SEGURIDAD DE
ENDPOINTS
(PUNTOS FINALES)
Existen mecanismos para actualizar automáticamente las
tecnologías antimalware, incluidas las definiciones de firma. SI-2
Actualizaciones automáticas de firmas antimalware
SI-3

Existen mecanismos para utilizar capacidades de detección

Detección heurística / no basada en firmas antimalware heurísticas o no basadas en firmas. SI-3

Existen mecanismos para desconectar o prohibir la activación

remota de dispositivos informáticos colaborativos con las
siguientes excepciones:
Dispositivos informáticos colaborativos ▪ Pizarras en red; SC-15
▪ Cámaras de videoconferencia; y
▪ Micrófonos de teleconferencia.

9
 TEMATEMA
GESTIÓN DE TICS Y UNIDADES
Causas INFORMÁTICAS
Proyectos
Mapeo SCF-NISTde 800-53b(SIC-826)
Software Fallidos
REV5 (LOW)

Dominio SCF Control SCF Descripción NIST 800-53B

Rev5 (Low)
Gestión de identidad y Existen mecanismos para facilitar la implementación de (Control de Acceso)
acceso (IAM) controles de gestión de identificación y acceso. AC-1: Políticas y
procedimientos

(Identificación y Autenticación)
IA-1: Políticas y
procedimientos

Autenticar, Autorizar y Auditar Existen mecanismos para regular estrictamente el uso (Identificación y Autenticación)
(AAA) de soluciones de autenticación, autorización y auditoría
(AAA), tanto locales como aquellas alojadas por un IA-4: Gestión de identificadores
IDENTIFICACIÓN Y proveedor de servicios externo (ESP).
AUTENTICACIÓN

Identificación y autenticación Existen mecanismos para identificar de forma única y (Identificación y Autenticación)
para usuarios autenticar, autorizar y auditar de forma centralizada
organizacionales (AAA) a los usuarios y procesos de la organización que IA-2: Identificación y
actúan en nombre de los usuarios de la organización. autenticación (Usuarios de la
organización)

Autenticación resistente a la Existen mecanismos automatizados para emplear (Identificación y Autenticación)

reproducción autenticación resistente a la reproducción.
IA-2(8):Acceso a cuentas
resistentes a reproducción

10
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS (SIC-826)

Dominio SCF Control SCF Descripción NIST 800-53B

Rev5 (Low)
Identificación y autenticación Existen mecanismos para identificar de forma única y (Identificación y Autenticación)
para usuarios no autenticar, autorizar y auditar de forma centralizada
organizacionales (AAA) usuarios y procesos de terceros que brindan IA-8: Identificación y
servicios a la organización. autenticación (No usuarios de
la organización)

Autenticación multifactorial Existen mecanismos automatizados para aplicar la (Identificación y Autenticación)

(MFA) autenticación multifactor (MFA) para: ▪ Acceso remoto a
la red; ▪ Sistemas, aplicaciones y/o servicios de IA-2(1): Autenticación
terceros; y/o ▪ Acceso sin consola a sistemas críticos o multifactorial para cuentas
sistemas que almacenan, transmiten y/o procesan privilegiadas
datos confidenciales/regulados. IA-2(2):Autenticación
multifactorial para cuentas no
IDENTIFICACIÓN Y privilegiadas
AUTENTICACIÓN
Acceso a la red a cuentas Existen mecanismos para utilizar la autenticación (Identificación y Autenticación)
privilegiadas multifactor (MFA) para autenticar el acceso a la red para
cuentas privilegiadas. IA-2(1): Autenticación
multifactorial para cuentas
privilegiadas
IA-2(2):Autenticación
multifactorial para cuentas no
privilegiadas

Terminación de Empleo Existen mecanismos para revocar los derechos de (Control de Acceso)
acceso de los usuarios de manera oportuna, al
momento de la terminación del empleo o contrato.​ AC-2: Gestión de cuentas

11
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS (SIC-826)

Dominio SCF Control SCF Descripción NIST 800-53B

Rev5 (Low)
Gestión de Existen mecanismos para regular los estándares de (Identificación y Autenticación)
identificadores denominación de nombres de usuario y sistemas.
IA-4: Gestión de
(nombres de usuario)
identificadores
Gestión de autenticadores Existen mecanismos para gestionar de forma segura (Identificación y Autenticación)
los autenticadores para usuarios y dispositivos.
IA-5: Gestión del autenticador
IA-5(1): Autenticación basada
en contraseñas

IDENTIFICACIÓN Y Autenticación basada en Existen mecanismos para hacer cumplir (Identificación y Autenticación)
AUTENTICACIÓN contraseña consideraciones de complejidad, duración y vida útil
para garantizar criterios sólidos para la autenticación IA-5(1):Autenticación basada
basada en contraseñas. en contraseñas
Autenticación basada en Existen mecanismos automatizados para garantizar (Identificación y Autenticación)
tokens de hardware que se cumplan los requisitos de calidad de token
definidos por la organización para la autenticación IA-2(1): Autenticación
basada en token de hardware. multifactorial para cuentas
privilegiadas
IA-2(2):Autenticación
multifactorial para cuentas no
privilegiadas

12
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS (SIC-826)

Dominio SCF Control SCF Descripción NIST 800-53B

Rev5 (Low)

Valores predeterminados Existen mecanismos para garantizar que los valores (Identificación y Autenticación)
proporcionados por el predeterminados proporcionados por el proveedor se
cambien como parte del proceso de instalación. IA-5: Gestión del autenticador
proveedor

Autenticación del módulo Existen mecanismos para garantizar que los módulos (Identificación y Autenticación)
criptográfico criptográficos cumplan con los requisitos legales,
reglamentarios y contractuales aplicables en materia de IA-7: Autenticación del módulo
seguridad. criptográfico
IDENTIFICACIÓN Y
AUTENTICACIÓN

Reautenticación Existen mecanismos para obligar a los usuarios y (Identificación y Autenticación)

dispositivos a volver a autenticarse de acuerdo con las
circunstancias definidas por la organización que IA-11: Re autenticación
requieren una nueva autenticación.

Administración de cuentas Existen mecanismos para gobernar proactivamente la (Control de Acceso)

gestión de cuentas individuales, grupales, de sistemas,
de servicios, de aplicaciones, de invitados y AC-2: Gestión de cuentas
temporales.

13

Dominio SCF Control SCF
Cumplimiento del acceso
Bloqueo de cuenta
IDENTIFICACIÓN Y
AUTENTICACIÓN
Acciones permitidas sin
identificación ni autorización
TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS (SIC-826)
Descripción NIST 800-53B
Rev5 (Low)
Existen mecanismos para hacer cumplir los permisos (Control de Acceso)
de control de acceso lógico (LAC) que se ajustan al
principio de "privilegio mínimo". AC-3: Aplicación de acceso
Existen mecanismos para imponer un límite de intentos (Control de Acceso)
consecutivos de inicio de sesión no válidos por parte de
un usuario durante un período de tiempo definido por la AC-7: Intentos de inicio de
organización y bloquea automáticamente la cuenta sesión fallidos.
cuando se excede el número máximo de intentos
fallidos.
Existen mecanismos para identificar y documentar la (Control de Acceso)
justificación de las acciones específicas del usuario que
se pueden realizar en un sistema sin identificación o AC-14: Acciones permitidas
autenticación.​ sin identificación ni
autenticación.
14
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS
Mapeo SCF-NIST (SIC-826)
800-53B REV5 (LOW)

Dominio SCF Control SCF Descripción NIST 800-53B Rev5 (Low)

Existen mecanismos para implementar y gobernar

procesos y documentación para facilitar una capacidad
Operaciones de respuesta (Respuesta al incidente)
de respuesta en toda la organización para incidentes
a incidentes IR-1: Política y Procedimientos
relacionados con la ciberseguridad y la privacidad de
datos.
Existen mecanismos para mantener y poner a disposición (Respuesta al incidente)
Plan de respuesta a
de todas las partes interesadas un Plan de Respuesta a IR-8: Plan de Repuesta a
incidentes
RESPUESTA A Incidentes (IRP) actual y viable. Incidentes
INCIDENTES (Respuesta al incidente)
Capacitación en respuesta Existen mecanismos para capacitar al personal en sus
IR-2: Entrenamiento de
a incidentes funciones y responsabilidades de respuesta a incidentes.
Respuesta a Incidentes
Existen mecanismos para reportar oportunamente
incidentes a los que correspondan:
Informe de las partes (Respuesta al incidente)
▪ Partes interesadas internas;
interesadas del incidente IR-6: Informe de Incidentes
▪ Clientes y terceros afectados; y
▪ Autoridades reguladoras.

15
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS
Mapeo SCF-NIST (SIC-826)
800-53B REV5 (LOW)

Dominio SCF Control SCF Descripción NIST 800-53B Rev5 (Low)

Existen mecanismos para revisar y modificar

periódicamente las prácticas de respuesta a
(Respuesta al incidente)
Actualización del PIR incidentes para incorporar lecciones aprendidas,
IR-1: Política y Procedimientos
cambios en los procesos comerciales y desarrollos
de la industria, según sea necesario.
Existen mecanismos para mantener contactos de
Contactos regulatorios y (Respuesta al incidente)
respuesta a incidentes con las agencias
de aplicación de la ley IR-6: Informe de Incidentes
reguladoras y policiales aplicables.
RESPUESTA A
INCIDENTES Existen mecanismos para incorporar las lecciones
Análisis de causa raíz
aprendidas al analizar y resolver incidentes de (Respuesta al incidente)
(RCA) y lecciones
ciberseguridad y privacidad de datos para reducir IR-1: Política y Procedimientos
aprendidas
la probabilidad o el impacto de incidentes futuros.
Existen mecanismos para documentar, monitorear
e informar el estado de los incidentes de
Conciencia situacional de (Respuesta al incidente)
ciberseguridad y privacidad de datos a las partes
incidentes IR-5: Seguimiento de Incidentes
interesadas internas durante todo el proceso hasta
la resolución del incidente.

16
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS
Mapeo SCF-NIST (SIC-826)
800-53B REV5 (LOW)

Dominio SCF Control SCF Descripción NIST 800-53B Rev5 (Low)

Existen mecanismos para garantizar que los sistemas que

Arquitectura y brindan colectivamente el servicio de resolución del (Protección de Sistemas y
aprovisionamiento para el Servicio de nombres de dominio (DNS) sean tolerantes a Comunicaciones) SC-22:
servicio fallas e implementen la separación de funciones internas y Arquitectura
externas.
(Protección de Sistemas y
Existen mecanismos automatizados para proteger o
Protección de denegación Comunicaciones) SC-5:
limitar los efectos de los ataques de denegación de
de servicio (DoS) Protección por Negación de
servicio.
Servicios
SEGURIDAD DE LA
Existen mecanismos para garantizar que la resolución del
RED (Protección de Sistemas y
Resolución del servicio de Servicio de nombres de dominio (DNS) se diseñe,
Comunicaciones) SC-20: Fuente
nombres de dominio (DNS) implemente y administre para proteger la seguridad de la
Autoritada
resolución de nombres/direcciones.
Existen mecanismos para desarrollar, gobernar y (Protección de Sistemas y
Controles de seguridad de
actualizar procedimientos para facilitar la implementación Comunicaciones) SC-1: Politicas
red (NSC)
de controles de seguridad de red (NSC). y Procedimientos
Existen mecanismos para definir, controlar y revisar
(Control de Acceso) AC-17
Acceso remoto métodos de acceso remoto seguros y aprobados por la
Acceso Remoto
organización.

17
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS
Mapeo SCF-NIST (SIC-826)
800-53B REV5 (LOW)

Dominio SCF Control SCF Descripción NIST 800-53B Rev5 (Low)

Existen mecanismos criptográficos para implementar AC-2: Account Management

Protección de datos a protocolos de seguridad y criptografía sólidos para AC-3: Aplicación de Acceso
través de redes abiertas salvaguardar datos confidenciales/regulados durante la SI-3: Proteción de Codigo
transmisión a través de redes públicas abiertas. Malicioso

Existen mecanismos para realizar la autenticación del

Servicio seguro de origen de los datos y la verificación de la integridad de los (Protección de Sistemas y
resolución de nombres y datos en las respuestas de resolución del Servicio de Comunicaciones) SC-21:
SEGURIDAD DE direcciones nombres de dominio (DNS) recibidas de fuentes Resolución Recursiva
LA RED autorizadas cuando los sistemas cliente lo solicitan.
Existen mecanismos para autorizar conexiones de
sistemas a otros sistemas utilizando Acuerdos de
(Evaluación, Autorización y
Interconexiones del Seguridad de Interconexión (ISA) que documentan, para
Seguimiento) CA-3: Intercaambio
sistema cada interconexión, las características de la interfaz, los
de Información
requisitos de ciberseguridad y privacidad de datos y la
naturaleza de la información comunicada.
Existen mecanismos para controlar el uso inalámbrico
(Control de Acceso) AC-18
Redes inalámbricas autorizado y monitorear el acceso inalámbrico no
Acceso Inalámbrico
autorizado.

18
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS
Mapeo SCF-NIST (SIC-826)
800-53B REV5 (LOW)

NIST 800-53B
Dominio SCF Control SCF Descripción
Rev5 (Low)
Protecciones físicas y Existen mecanismos para facilitar la operación de (Protección física y
ambientales controles de protección física y ambiental. ambiental)
PE-1: Política y
procedimientos

Control de acceso Existen mecanismos de control de acceso físico para (Protección física
hacer cumplir las autorizaciones de acceso físico y ambiental)
para todos los puntos de acceso físico (incluidos PE-3: Control de acceso
entrada/salida) a las instalaciones (excluyendo áreas físico
designadas como de acceso público).

Protección contra daños Existen mecanismos de seguridad de las (Protección

SEGURIDAD por agua instalaciones para proteger los sistemas contra física y ambiental)
FÍSICA Y daños causados por fugas de agua mediante la PE-15: Protección contra
AMBIENTAL provisión de válvulas de cierre maestras que sean daños por agua
accesibles, funcionen correctamente y sean
conocidas por el personal clave.

Controles de temperatura Existen mecanismos de seguridad de las (Protección

y humedad instalaciones para mantener y monitorear los niveles física y ambiental)
de temperatura y humedad dentro de la instalación. PE-14: Controles
ambientales

Entrega y retiro Existen mecanismos de seguridad física para aislar (Protección física y ambi
las instalaciones de procesamiento de información ental)
de puntos como áreas de entrega y carga y otros PE-16: Entrega y retiro
puntos para evitar el acceso no autorizado.

19
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS
Mapeo SCF-NIST (SIC-826)
800-53B REV5 (LOW)

NIST 800-53B
Dominio SCF Control SCF Descripción
Rev5 (Low)
Programa de gestión de Existencia de mecanismos para facilitar la (Evaluación de riesgos)
riesgos implementación de controles de gestión de riesgos. RA-1: Política y
procedimientos

Categorización de Existencia de mecanismos para categorizar sistemas (Evaluación de riesgos)

seguridad basada en y datos de acuerdo con las leyes locales, estatales y RA-2: Categorización de
riesgos federales aplicables que: seguridad
• Documenten los resultados de la categorización de
seguridad en el plan de seguridad para sistemas; y
• Aseguren que la decisión de categorización de
seguridad sea revisada y aprobada por el propietario
GESTIÓN DE del activo.
RIESGOS
Evaluación de riesgos Mecanismos existen para realizar evaluaciones (Evaluación de riesgos)
recurrentes de riesgos que incluyan la probabilidad y RA-3: Evaluación de
magnitud del daño, desde el acceso, uso, riesgos
divulgación, interrupción, modificación o destrucción
no autorizados de los sistemas y datos de la
organización.

Respuesta al riesgo Existen mecanismos para responder a los hallazgos (Evaluación de riesgos)
de evaluaciones de ciberseguridad y privacidad de RA-7: Respuesta al
datos, incidentes y auditorías para garantizar que se riesgo
haya realizado la corrección adecuada.

20
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS
Mapeo SCF-NIST (SIC-826)
800-53B REV5 (LOW)

NIST 800-53B
Dominio SCF Control SCF Descripción
Rev5 (Low)
Plan de Gestión de Existen mecanismos para desarrollar un plan SCRM (Gestión de riesgos de la
Riesgos de la Cadena de asociado con el desarrollo, adquisición, cadena de suministro)
Suministro (SCRM) mantenimiento y disposición de sistemas, SR-2: Plan de gestión de
componentes de sistemas y servicios, incluyendo la riesgos de la cadena de
documentación de acciones mitigadoras suministro
seleccionadas y el monitoreo del desempeño contra
esos planes.

Evaluación de riesgos de Existencia de mecanismos para evaluar (Evaluación de riesgos)

GESTIÓN DE la cadena de suministro periódicamente los riesgos de la cadena de RA-3 (1): Evaluación de
RIESGOS suministro asociados con sistemas, componentes de riesgos de la cadena de
sistemas y servicios. suministro

Monitoreo de riesgos Existen mecanismos para garantizar el monitoreo de (Evaluación, autorización

riesgos como parte integral de la estrategia de y monitoreo)
monitoreo continuo que incluye monitoreo de la CA-7 (4): Monitoreo de
efectividad de los controles de ciberseguridad y riesgos
privacidad de datos, cumplimiento y gestión del
cambio.

21
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS
Mapeo SCF-NIST (SIC-826)
800-53B REV5 (LOW)

NIST 800-53B
Dominio SCF Control SCF Descripción
Rev5 (Low)
Principios de ingeniería Existen mecanismos para facilitar la implementación (Adquisición de sistemas
segura de prácticas de ciberseguridad y privacidad de datos y servicios)
reconocidas por la industria en la especificación, SA-8: Principios de
diseño, desarrollo, implementación y modificación de ingeniería de seguridad
sistemas y servicios. y privacidad
(Protección del sistema y
de las comunicaciones)
SC-1: Política y
procedimientos
(Integridad del sistema e
información)
INGENIERÍA Y SI-1: Política y
ARQUITECTURA procedimientos
SEGURAS
Notificación de uso del Existen mecanismos para utilizar pancartas de (Control de acceso)
sistema (banner de inicio notificación/inicio de sesión de uso del sistema que AC-8: Notificación de
de sesión) muestran un mensaje o pancarta de notificación de uso del sistema
uso del sistema aprobado antes de otorgar acceso al
sistema que proporciona avisos de ciberseguridad y
privacidad de datos.

Sincronización del reloj Existen mecanismos para utilizar la tecnología de (Auditoría y

sincronización horaria para sincronizar todos los responsabilidad)
relojes críticos del sistema. AU-8: Horarios

22
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS
Mapeo SCF-NIST (SIC-826)
800-53B REV5 (LOW)

NIST 800-53B
Dominio SCF Control SCF Descripción
Rev5 (Low)
Desarrollo y adquisición Existen mecanismos para facilitar la implementación (Planificación)
de tecnología de estrategias de adquisición y desarrollo PL-1: Política Y
personalizadas, herramientas contractuales y Procedimientos
métodos de adquisición para satisfacer necesidades (Adquisición de sistemas
comerciales únicas. y servicios)
SA-1: Política Y
Procedimientos
SA-4: Proceso de
adquisición

Requisitos de seguridad Existen mecanismos para garantizar que se (Adquisición de sistemas

DESARROLLO Y mínimos del producto establezcan especificaciones técnicas y funcionales y servicios)
ADQUISICIÓN viable (MVP) basadas en el riesgo para definir un Producto SA-4: Proceso de
DE Mínimo Viable (MVP). adquisición
TECNOLOGÍA
Requisitos de "Existen mecanismos para obtener, proteger y (Adquisición de sistemas
documentación distribuir documentación de administrador para y servicios
sistemas que describen: SA-5: Documentación
▪ Configuración, instalación y operación segura del del sistema
sistema;
▪ Uso y mantenimiento efectivos de las
características/funciones de seguridad; y
▪ Vulnerabilidades conocidas con respecto a la
configuración y el uso de funciones administrativas
(por ejemplo, privilegiadas)".

23
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS
Mapeo SCF-NIST (SIC-826)
800-53B REV5 (LOW)

NIST 800-53B
Dominio SCF Control SCF Descripción
Rev5 (Low)
Codificación segura Existen mecanismos para desarrollar aplicaciones (Adquisición de sistemas
basadas en principios de codificación segura. y servicios)
SA-1: Política Y
Procedimientos

Manipulación y Existen mecanismos para mantener el conocimiento (Gestión del riesgo en la

falsificación de productos de la autenticidad de los componentes mediante el cadena de suministro)
DESARROLLO Y
(PTC) desarrollo e implementación de prácticas de SR-10: Inspección de
ADQUISICIÓN
manipulación y falsificación de productos (PTC) que sistemas o componentes
DE
incluyen medios para detectar y prevenir SR-11: Autenticidad del
TECNOLOGÍA
componentes falsificados. componente

Eliminación de Existen mecanismos para deshacerse de los (Gestión del riesgo en la

componentes componentes del sistema utilizando técnicas y cadena de suministro)
métodos definidos por la organización para evitar SR-12: Eliminación de
que dichos componentes entren en el mercado gris. components

24
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS
Mapeo SCF-NIST (SIC-826)
800-53B REV5 (LOW)

NIST 800-53B
Dominio SCF Control SCF Descripción
Rev5 (Low)
Sistemas no "Existen mecanismos para evitar sistemas no (Adquisición de sistemas y
compatibles compatibles mediante: servicios)
▪ Reemplazar sistemas cuando el soporte para los SA-22: Componentes del
componentes ya no esté disponible por parte del sistema no compatibles
desarrollador, proveedor o fabricante; y
▪ Requerir justificación y aprobación documentada
para el uso continuo de componentes del sistema
no compatibles necesarios para satisfacer las
necesidades de la misión/negocio".

Fuentes alternativas Existen mecanismos para brindar soporte interno o (Adquisición de sistemas y
DESARROLLO Y para soporte contratar proveedores externos para brindar soporte servicios)
ADQUISICIÓN continuo con componentes del sistema no compatibles. SA-22: Componentes del
DE sistema no compatibles
TECNOLOGÍA
Validación de datos Existen mecanismos para comprobar la validez de (Control de acceso)
de entrada la información aportada. AC-2: Gestión de cuentas
AC-3: Cumplimiento de acceso
(Integridad del sistema e
información)
SI-3: Protección contra
códigos maliciosos
SI-4: Monitoreo del sistema
SI-5: Alertas de seguridad,
avisos y directivas

25
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS
Mapeo SCF-NIST (SIC-826)
800-53B REV5 (LOW)

NIST 800-53B
Dominio SCF Control SCF Descripción
Rev5 (Low)
Fuentes de Existen mecanismos para mantener el conocimiento (Integridad del sistema e
inteligencia sobre situacional de las amenazas en evolución información)
amenazas aprovechando el conocimiento de las tácticas, SI-5: Alertas de seguridad,
técnicas y procedimientos del atacante para facilitar avisos y directivas
la implementación de controles preventivos y
compensatorios.

Concientización sobre Existen mecanismos para utilizar la capacitación en (Conciencia y capacitación)

amenazas internas materia de seguridad para reconocer e informar AT-2(2): Proporcionar
indicadores potenciales de amenazas internas. capacitación en
alfabetización sobre el
GESTIÓN DE reconocimiento y la
AMENAZAS denuncia de posibles
indicadores de amenazas
internas.

Programa de Existen mecanismos para establecer un Programa (Evaluación de riesgos)

divulgación de de divulgación de vulnerabilidades (VDP) para RA-5(11): Establecer un
vulnerabilidades ayudar con el desarrollo y mantenimiento seguro de canal de informes público
(VDP) productos y servicios que reciba información no para recibir informes de
solicitada del público sobre vulnerabilidades en los vulnerabilidades en los
sistemas, servicios y procesos organizacionales. sistemas y componentes del
sistema organizacional.

26
 TEMA
GESTIÓN DE TICS Y UNIDADES INFORMÁTICAS
Mapeo SCF-NIST (SIC-826)
800-53B REV5 (LOW)

NIST 800-53B
Dominio SCF Control SCF Descripción
Rev5 (Low)
Programa de gestión de Existen mecanismos para facilitar la implementación (Integridad del sistema e
vulnerabilidades y y el seguimiento de los controles de gestión de la información)
parches (VPMP) vulnerabilidad. SI-2: Remedio de fallos
SI-3: Protección contra
códigos maliciosos

Parches de software y Existen mecanismos para realizar parches de (Integridad del sistema e
firmware software para todos los sistemas operativos, información)
aplicaciones y firmware implementados. SI-2: Remedio de fallos
SI-3: Protección contra
códigos maliciosos
GESTIÓN DE
VULNERABILIDA Escaneo de Existen mecanismos para detectar vulnerabilidades y (Evaluación de riesgos)
DES Y PARCHES vulnerabilidades errores de configuración mediante escaneos RA-5: Monitoreo y
recurrentes de vulnerabilidades de sistemas y escaneo de
aplicaciones web. vulnerabilidades

Capacidad de la Existen mecanismos para actualizar las (Evaluación de riesgos)

herramienta de herramientas de escaneo de vulnerabilidades. RA-5: Monitoreo y
actualización escaneo de
vulnerabilidades
RA-5(2): Actualizar las
vulnerabilidades del
sistema para que sean
escaneadas.

27