Alineación FISMA

Trialinx alineado con FISMA y NIST RMF

Controles de seguridad conformes al NIST SP 800-53 y el Risk Management Framework. Relevante para investigación financiada por agencias federales EEUU.

Federal Information Security Management Act · Estados Unidos (gobierno federal)

Qué es FISMA

FISMA (Federal Information Security Management Act, 2002) exige a las agencias federales estadounidenses establecer programas de seguridad de la información. Su implementación se apoya en el NIST Risk Management Framework y la familia NIST SP 800-53 de controles de seguridad.

Para investigadores que reciben financiación de agencias federales (NIH, VA, DoD), los sistemas que manejan datos del estudio deben típicamente alinearse con estos controles, a menudo con autorización FedRAMP.

Controles clave NIST SP 800-53 relevantes

Categorización de sistemas (FIPS 199)

Clasificar los datos como bajo, moderado o alto impacto para disponibilidad, integridad y confidencialidad.

Selección y adaptación de controles

Seleccionar controles base según categorización y adaptarlos a la organización (Tailoring).

Control de acceso (AC family)

Control de cuentas, least privilege, separation of duties, remote access, mobile devices.

Auditoría y rendición de cuentas (AU family)

Audit trail con events específicos, generación automática, protección, retención y revisión periódica.

Continuidad y respuesta a incidentes (IR, CP families)

Plan de respuesta a incidentes, plan de contingencia y continuidad operativa.

Monitorización continua

Program de monitoring con métricas, vulnerability scans periódicos y reporting a autoridades.

Cómo lo cubre Trialinx

  • Audit trail detallado por usuario/entidad/acción (AU-2, AU-3)
  • Control de accesos por roles con least privilege (AC-6)
  • Autenticación multifactor en cuentas con privilegios (IA-2)
  • Cifrado en reposo y en tránsito (SC-13, SC-28)
  • Políticas de contraseñas NIST 800-63B compliant (IA-5)
  • Scanning continuo de dependencias con ciclo de parches semanal (RA-5, SI-2)
  • Proceso de respuesta a incidentes documentado (IR-4, IR-8)
  • Documentación arquitectónica disponible bajo NDA para sponsors federales

Responsabilidad compartida

FISMA es un marco para agencias y contractors federales. Trialinx no está actualmente certificado FedRAMP, pero los controles técnicos que aplicamos se alinean con la mayoría de los requisitos NIST SP 800-53 bajo categorización Moderate.

Para investigación que requiera un sistema con autorización formal FedRAMP, el camino es un ATO (Authority to Operate) específico del proyecto mediante nuestro proveedor de infraestructura y suplementos documentales por parte del investigador.

  • Trialinx proporciona controles técnicos base
  • El proyecto federal selecciona y tailorea controles
  • El proyecto federal aporta documentos de categorización y POA&M
  • Comunícanos necesidades federales específicas en Institutional para un plan

Preguntas frecuentes

¿Trialinx tiene FedRAMP Authorization?

No actualmente. Si tu proyecto requiere un sistema FedRAMP certificado, contacta con nosotros — podemos explorar rutas como subcontratar infraestructura certificada para casos específicos.

¿Qué NIST 800-53 baseline cubre Trialinx?

Nuestros controles técnicos cubren la mayor parte de la baseline Moderate en las familias AC, AU, IA, SC y SI. La documentación completa de mapeo se entrega bajo NDA en el plan Institutional.

¿Qué diferencia hay entre FISMA y HIPAA?

HIPAA protege información médica (PHI). FISMA protege sistemas de información federales. Para investigación clínica financiada por NIH/VA/DoD, suelen aplicarse ambos.

Recursos oficiales

¿Necesitas el paquete para tu CEIm o DPO?

Contacta con nosotros y te enviamos toda la documentación que tu comité ético o responsable de protección de datos necesita.

Solicitar documentación