Ley Federal de Modernización de la Seguridad de la Información

La Ley Federal de Modernización de la Información de 2014 o FISMA 2014 para abreviar es una ley federal que fue creada para actualizar las políticas y prácticas de ciberseguridad del gobierno federal con el fin de abordar las preocupaciones de seguridad más modernas. Como una enmienda de la Ley Federal de Gestión de Seguridad de la Información de 2002, FISMA 2014 requiere que todas las agencias federales informen sobre el estado de sus programas de seguridad de la información a la Oficina de Presupuesto de Gestión u OMB. Además, FISMA 2014 también exige que los Inspectores Generales realicen evaluaciones anuales independientes de estos programas federales de seguridad de la información.

Además, la OMB en combinación con el Departamento de Seguridad Nacional o DHS es responsable de colaborar con los socios interinstitucionales con el fin de desarrollar y crear métricas FISMA junto con la asistencia de los Inspectores Generales , así como un Director de Información o CIO. Además, la OMB se encarga de trabajar con otros dentro de la comunidad federal de privacidad para desarrollar métricas para el Oficial Superior de la Agencia para la Privacidad o SAOP. A través de la creación de estas métricas, el gobierno federal dispone de una forma modernizada de seguimiento y evaluación de las prácticas de ciberseguridad de una agencia gubernamental en particular.

¿Cuáles son los requisitos de cumplimiento de la FISMA?

La FISMA creó un marco de seguridad de la información que deben respetar y seguir todas las agencias federales, incluidas las ramas legislativa y ejecutiva, cualquier empresa que pueda tener contratos con estas ramas gubernamentales, así como cualquier agencia estatal que administre u opere programas federales. Este marco de seguridad de la información incluye los siguientes requisitos de cumplimiento:

• Inventario de sistemas de información – Todas las agencias federales y sus contratistas asociados deben realizar un inventario de todos los sistemas de información que se utilizan actualmente en su red.
• Categorización de riesgos– Toda la información y los sistemas de información deben categorizarse de acuerdo con su riesgo potencial para garantizar que las formas más vulnerables y sensibles de datos reciben el nivel adecuado de protección.
• Plan de seguridad del sistema – Todas las agencias federales están obligadas a crear y mantener un plan de seguridad que se actualice continuamente para garantizar políticas y controles de seguridad eficaces y eficientes a lo largo del tiempo.
• Controles de seguridad– Los organismos federales están obligados a aplicar los controles mínimos de seguridad de los sistemas de información que establece el Instituto Nacional de Normas Tecnológicas (NIST). Es más, estas agencias también deben controles específicos del catálogo NIST 800-53 que corresponde a lo que es necesario para cada sistema
• Evaluaciones de riesgos – Cuando se realiza un cambio en el sistema de una agencia federal, dichas agencias deben llevar a cabo evaluaciones de riesgos para establecer si sus controles de seguridad son adecuados o si es necesaria la implantación de controles adicionales.
• Certificación y acreditación – El proceso de certificación y acreditación de la FISMA consta de cuatro fases diferentes. Estas fases incluyen el inicio y la planificación, la certificación, la acreditación y la supervisión continua.

¿Cuáles son las consecuencias del incumplimiento de la FIMSA 2014?

La principal consecuencia por incumplimiento bajo FISMA 2014 es la pérdida de contratos o financiación federal, así como una censura por parte del congreso. Sin embargo, hay una variedad de otras consecuencias que pueden derivarse del incumplimiento de FISMA 2014 en plena era digital. Una de estas consecuencias es el daño a la reputación. A medida que los consumidores siguen pidiendo más transparencia a las empresas y negocios con los que se relacionan, los fallos de ciberseguridad también pueden asociarse a un fracaso general de la empresa.

Para proporcionar un ejemplo no federal de este daño potencial a la reputación, el sitio web en línea Comparitech analizó los impactos del precio del mercado de valores de 34 empresas que experimentaron o se vieron directamente afectadas por violaciones de datos en 2021. Sus observaciones dieron como resultado las siguientes conclusiones clave:

• Los precios de las acciones de mercado de las empresas implicadas en una violación de datos alcanzaron un mínimo de 110 en los días inmediatamente posteriores a dicha violación.
• -8,6% de rendimiento inferior en el NASDAQ al cabo de un año.
• -11,3% de rentabilidad inferior en el NASDAQ al cabo de dos años.
• -15,6% de rendimiento inferior en el NASDAQ después de tres años.

Aunque el mercado de valores no es obviamente una métrica que pueda utilizarse para medir el impacto de las violaciones de datos en el contexto de las agencias federales, estas métricas pueden mostrar que los fallos de ciberseguridad pueden afectar a la percepción pública de una empresa o negocio en particular. Además del daño a la reputación, las agencias federales que no establezcan medidas de ciberseguridad adecuadas de acuerdo con FISMA 2014 también pueden verse obligadas a testificar ante el Congreso, dependiendo del alcance o la gravedad de dichos fallos de ciberseguridad. En los casos más graves de violación de datos, los contratistas federales también pueden ser censurados para que no se les concedan más fondos o contratos gubernamentales.

A medida que el papel de la ciberseguridad sigue aumentando en importancia debido a los nuevos peligros que existen en Internet, es conveniente que el gobierno federal actualice su marco de ciberseguridad para adaptarse a las amenazas actuales a la ciberseguridad. Con este fin, la FISMA 2014 proporciona a los ciudadanos estadounidenses un mayor nivel de protección en lo que respecta a la información que pueden revelar a las entidades federales. Dado que muchos de los sectores empresariales más críticos de nuestra nación dependen de los sistemas de tecnología de la información para llevar a cabo sus diversas operaciones y funciones, el papel de la FISMA 2014 y leyes de ciberseguridad similares se hace mucho más relevante.