35.

USO DEL MODELO DE REFERENCIA DE SEGURIDAD TAXONOMÍA

35.1. USO DE ESTÁNDARES PARA CLASIFICAR POLÍTICAS A NIVEL INTERNACIONAL, NACIONAL,

FEDERAL, SECTORIAL, EMPRESARIAL O DEPARTAMENTAL

A nivel empresarial, el principio clave del SRM es utilizar los estándares establecidos en el
espacio de seguridad de TI nacional o federal para clasificar las políticas para una empresa o
agencia específica. Estos estándares incluyen FISMA, HIPAA, FISCAM y otras leyes y reglamentos
de seguridad y privacidad promulgados por el gobierno de los EE. UU. Para controlar la
información y la infraestructura de TI. El SRM puede identificar la superposición entre
estándares y políticas dentro de una empresa. Las políticas también deben equilibrarse con los
requisitos adecuados para no impedir que la organización logre sus objetivos comerciales.

Consideraciones a nivel empresarial:

 ¿Cuál es el negocio principal de la empresa / departamento?

 ¿Con qué otros departamentos / agencias sería lógico compartir servicios?
 ¿Qué efecto tendrá una declaración de política mínima sobre los requisitos comerciales
de la agencia subordinada? En el nivel de la empresa, todas las arquitecturas de nivel
inferior se deben considerar y tener en cuenta.

35.2. USAR LA POLÍTICA PARA SELECCIONAR CONTROLES EN LA AGENCIA O NIVEL DE

SEGMENTO

A nivel de agencia o segmento, el SRM usa las políticas implementadas desde el nivel de la
empresa para clasificar los controles para una agencia o segmento específico. Estos controles se
pueden heredar o usar a niveles de sistema o aplicación más bajos.

Si bien los controles específicos de FISMA (como los de NIST SP-800-53 y 53a) son una parte
crucial del SRM, no son los únicos controles. El Apéndice F.ii incluye estos y controles de HIPAA,
FISCAM y la Ley de Privacidad, por lo que se pueden ver muchas fuentes de requisitos de
seguridad y privacidad federales a la vez. Esto permite que el SRM abarque toda la seguridad de
una agencia.

Consideraciones a nivel de agencia (además de consideraciones a nivel de empresa):

 ¿Qué tipo de información (por ejemplo, de salud, personal, clasificada) se procesa y

existe una orientación normativa específica para esos tipos de información?
 ¿Qué controles se requieren en función de los tipos de información y cómo podrían
limitar los procesos de negocio?
 ¿Esto crea un riesgo para el objetivo / objetivo comercial? Si es así, ¿es mayor que el
riesgo de no implementar el control? (Evaluación de riesgos)

35.3. APLICACIÓN DEL DISEÑO CON CONTROLES EN EL SISTEMA O NIVEL DE APLICACIÓN

A nivel del sistema o de la aplicación, el SRM utiliza los controles establecidos a nivel de agencia
o segmento para facilitar el diseño y / o los requisitos del sistema específico. Es fundamental
que los arquitectos participen en las primeras etapas de planificación de un sistema o aplicación
para minimizar el impacto que a veces se produce si se agrega o aborda la seguridad en una
etapa posterior. También es crucial comprender los objetivos y procesos comerciales que
impulsan las decisiones para un sistema o aplicación en particular, además de saber qué políticas
y controles se heredarán.
Además, es crítico para el arquitecto utilizar el SRM para garantizar que se coloquen los
controles de seguridad adecuados en cada nivel. La seguridad fluye hacia abajo; pero si ninguna
agencia o segmento proporciona o define el control, el arquitecto del sistema debe ponerlos en
su lugar, creando un esfuerzo adicional e incoherencia entre los sistemas. Si una ley federal
especifica cierta acción, el nivel del sistema debe cumplir ya sea que se haya desarrollado o no
una capacidad o política de la agencia para respaldar esa ley.

Consideraciones a nivel de sistema / aplicación (además de los niveles de empresa y agencia):

 ¿Se requieren controles predefinidos para este tipo de información?

 ¿Hay riesgos que no están cubiertos por los controles predefinidos?

36. PUNTOS DE CONTACTO SRM CON OTROS MODELOS DE REFERENCIA

El SRM ayuda a los propietarios de negocios con la toma de decisiones basada en el riesgo para
lograr objetivos de seguridad mediante comprender el propósito y el impacto de los controles
de seguridad en los procesos de negocios o sistemas de TI.

La integración de seguridad en las capas de la arquitectura es esencial para garantizar la

protección de la información y activos de TI. La seguridad debe comenzar en la capa empresarial
y avanzar hacia la aplicación y capas de infraestructura.

En el nivel superior, la relación de SRM y el vínculo con los otros modelos de referencia se ilustra
a continuación:

• Identificar consideraciones de riesgo para el desempeño estratégico

PRM

• Informar a las leyes, directivas, políticas, regulaciones o estándares

BRM empresariales que afecten a la seguridad

• Identificar el cifrado necesario para el procesamiento, la transmisión

DRM y el almacenamiento de información

• Identificar los controles de seguridad requeridos Identificar las

ARM consideraciones de privacidad

• Determine los requisitos de dominios cruzados, las reglas de

IRM conexión de red y la información de gestión de claves criptográficas

37. MÉTODOS ASOCIADOS / MEJORES PRÁCTICAS PARA EL MODELO DE REFERENCIA DE

SEGURIDAD

37.1. DISEÑO BASADO EN RIESGO}

Las agencias gubernamentales se esfuerzan por encontrar las mejores soluciones para
identificar, evaluar y administrar los riesgos para sus sistemas, aplicaciones e infraestructuras.
El Instituto Nacional de Estándares y Tecnología (NIST) es a la vanguardia de la orientación de
riesgos para el sector público.

Los controles de seguridad, las políticas y los procesos deben integrarse en el ciclo de vida de
desarrollo de sistemas (SDLC) para que la seguridad de la información se implemente con éxito
y de manera rentable. Cada organización debe tener un mecanismo por el cual las
preocupaciones de riesgo y seguridad informen el diseño y la implementación de sistemas y
aplicaciones, para evitar crear costos y programar impactos debido a los requisitos de seguridad
que se agregan en la etapa de operaciones y mantenimiento del SDLC. La evaluación continua
del riesgo y la efectividad de los controles son necesarios durante todo el ciclo de vida del
sistema de TI.

37.2. CONTROLES DE SEGURIDAD

La implementación de controles no es el objetivo principal de la seguridad. Por el contrario, los

controles son una parte indispensable para alcanzar el objetivo de reducir el riesgo mediante
medidas de seguridad estratificadas. Existen algunos controles estándar para la Rama Ejecutiva
Federal que provienen de varias fuentes, incluyendo NIST 800-53, DoDI 8510 y leyes públicas
como HIPAA y la Ley de Privacidad. El Apéndice F.ii también enumera los controles comúnmente
implementados.

38. RESUMEN DE SRM

Al vincular la seguridad y la privacidad a la arquitectura empresarial de la agencia, incluidos los

objetivos de rendimiento de la agencia, los procesos comerciales, los flujos de datos, las
aplicaciones y las tecnologías de infraestructura, se garantiza que cada aspecto de la empresa
reciba consideraciones de seguridad y privacidad adecuadas. Además, abordar la seguridad y la
privacidad a través de la arquitectura empresarial promueve la interoperabilidad y ayuda a la
estandarización y consolidación de las capacidades de seguridad y privacidad.