Академический Документы
Профессиональный Документы
Культура Документы
A nivel empresarial, el principio clave del SRM es utilizar los estándares establecidos en el
espacio de seguridad de TI nacional o federal para clasificar las políticas para una empresa o
agencia específica. Estos estándares incluyen FISMA, HIPAA, FISCAM y otras leyes y reglamentos
de seguridad y privacidad promulgados por el gobierno de los EE. UU. Para controlar la
información y la infraestructura de TI. El SRM puede identificar la superposición entre
estándares y políticas dentro de una empresa. Las políticas también deben equilibrarse con los
requisitos adecuados para no impedir que la organización logre sus objetivos comerciales.
A nivel de agencia o segmento, el SRM usa las políticas implementadas desde el nivel de la
empresa para clasificar los controles para una agencia o segmento específico. Estos controles se
pueden heredar o usar a niveles de sistema o aplicación más bajos.
Si bien los controles específicos de FISMA (como los de NIST SP-800-53 y 53a) son una parte
crucial del SRM, no son los únicos controles. El Apéndice F.ii incluye estos y controles de HIPAA,
FISCAM y la Ley de Privacidad, por lo que se pueden ver muchas fuentes de requisitos de
seguridad y privacidad federales a la vez. Esto permite que el SRM abarque toda la seguridad de
una agencia.
A nivel del sistema o de la aplicación, el SRM utiliza los controles establecidos a nivel de agencia
o segmento para facilitar el diseño y / o los requisitos del sistema específico. Es fundamental
que los arquitectos participen en las primeras etapas de planificación de un sistema o aplicación
para minimizar el impacto que a veces se produce si se agrega o aborda la seguridad en una
etapa posterior. También es crucial comprender los objetivos y procesos comerciales que
impulsan las decisiones para un sistema o aplicación en particular, además de saber qué políticas
y controles se heredarán.
Además, es crítico para el arquitecto utilizar el SRM para garantizar que se coloquen los
controles de seguridad adecuados en cada nivel. La seguridad fluye hacia abajo; pero si ninguna
agencia o segmento proporciona o define el control, el arquitecto del sistema debe ponerlos en
su lugar, creando un esfuerzo adicional e incoherencia entre los sistemas. Si una ley federal
especifica cierta acción, el nivel del sistema debe cumplir ya sea que se haya desarrollado o no
una capacidad o política de la agencia para respaldar esa ley.
El SRM ayuda a los propietarios de negocios con la toma de decisiones basada en el riesgo para
lograr objetivos de seguridad mediante comprender el propósito y el impacto de los controles
de seguridad en los procesos de negocios o sistemas de TI.
En el nivel superior, la relación de SRM y el vínculo con los otros modelos de referencia se ilustra
a continuación:
Las agencias gubernamentales se esfuerzan por encontrar las mejores soluciones para
identificar, evaluar y administrar los riesgos para sus sistemas, aplicaciones e infraestructuras.
El Instituto Nacional de Estándares y Tecnología (NIST) es a la vanguardia de la orientación de
riesgos para el sector público.
Los controles de seguridad, las políticas y los procesos deben integrarse en el ciclo de vida de
desarrollo de sistemas (SDLC) para que la seguridad de la información se implemente con éxito
y de manera rentable. Cada organización debe tener un mecanismo por el cual las
preocupaciones de riesgo y seguridad informen el diseño y la implementación de sistemas y
aplicaciones, para evitar crear costos y programar impactos debido a los requisitos de seguridad
que se agregan en la etapa de operaciones y mantenimiento del SDLC. La evaluación continua
del riesgo y la efectividad de los controles son necesarios durante todo el ciclo de vida del
sistema de TI.