Para garantizar la mejor experiencia de navegación, active JavaScript en su navegador web. Sin él, muchas funciones del sitio web no estarán disponibles.


Total de pruebas:
485,773,462
737,046
130,956

Cumplimiento NIST SP 800-171

NIST SP 800-171 sets the security requirements for protecting Controlled Unclassified Information and underpins CMMC. Learn how ImmuniWeb supports its vulnerability scanning and security testing requirements.

Tiempo de lectura:8 min. Actualizado:8 de julio de 2025
Cumplimiento con NIST SP 800-171 (Rev.3)
Rellene los campos resaltados en rojo a continuación.

Hable con un especialista sobre
el cumplimiento de la norma NIST SP 800-171 (Rev.3)

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.

Cumplimiento con NIST SP 800-171 (Rev.3)

What Is NIST SP 800-171?

El estándar NIST SP 800-171 especifica los requisitos de seguridad que un contratista u otra organización no federal debe cumplir cuando la información CUI reside en sus sistemas. Estos requisitos abarcan familias de controles como el control de acceso, la auditoría y la responsabilidad, la gestión de configuración, la evaluación de riesgos, la evaluación de seguridad, la protección de sistemas y comunicaciones, y la integridad de sistemas e información.

El estándar NIST SP 800-171 especifica los requisitos de seguridad que un contratista u otra organización no federal debe cumplir cuando la información CUI reside en sus sistemas. Estos requisitos abarcan familias de controles como el control de acceso, la auditoría y la responsabilidad, la gestión de configuración, la evaluación de riesgos, la evaluación de seguridad, la protección de sistemas y comunicaciones, y la integridad de sistemas e información.

Descubra cómo ImmuniWeb soporta el escaneo de vulnerabilidades y la remediación de fallos según NIST 800-171 - probando los sistemas donde reside la CUI. Solicite una demostración· o ejecute una prueba gratuita de Community Edition.

¿Quién debe cumplir con NIST 800-171?

NIST SP 800-171 se aplica a:

  • Contratistas del Departamento de Defensa que manejan CUI, según DFARS 252.204-7012.
  • Proveedores y subcontratistas de la base industrial de defensa que reciben o generan CUI.
  • Otros contratistas federales obligados por contrato a proteger la CUI.

Cuando la CUI se procesa mediante aplicaciones expuestas a Internet, dichas aplicaciones deben estar protegidas y probadas.

Requisitos clave de NIST 800-171 para la seguridad de aplicaciones

Varias familias de requisitos impulsan el trabajo en seguridad de aplicaciones:

  • Risk Assessment - vulnerability monitoring and scanning: scan systems and applications for vulnerabilities at an organization-defined frequency and when new vulnerabilities are identified.
  • Evaluación de seguridad: evaluar los controles de seguridad que protegen la CUI para determinar si son eficaces.
  • Integridad del sistema y de la información — corrección de fallos: identificar, notificar y corregir los fallos del sistema y de las aplicaciones de manera oportuna.

Requisitos de seguridad de NIST 800-171 en profundidad

Monitoreo y escaneo de vulnerabilidades

NIST 800-171 requires ongoing vulnerability scanning of systems and applications, with the scope updated as new vulnerabilities emerge. Automated scanning of internet-facing web and mobile applications feeds this requirement directly, and attack-surface management keeps the scope complete.

Security Assessment and Flaw Remediation

Las organizaciones deben evaluar si los controles de seguridad son eficaces y subsanar los fallos de manera oportuna. Las pruebas de penetración validan la eficacia de los controles frente a ataques reales, y los informes claros de remediación evidencian la corrección oportuna.

Riesgos comunes en aplicaciones web y móviles a abordar

Las vulnerabilidades de las aplicaciones que estos requisitos buscan detectar se corresponden estrechamente con el OWASP Top 10:

  • Control de acceso defectuoso: los usuarios acceden a datos o acciones a las que no deberían.
  • Fallos Criptográficos: cifrado débil o ausente que expone datos sensibles.
  • Inyección — Inyección SQL, de comandos u otro tipo a través de entradas no validadas.
  • Diseño inseguro — falta de controles de seguridad por diseño, no solo por errores.
  • Configuración de seguridad incorrecta: configuración predeterminada, incompleta o insegura.
  • Componentes vulnerables y obsoletos: bibliotecas y frameworks sin parches.
  • Fallos de identificación y autenticación —gestión débil del inicio de sesión, de sesiones o de credenciales.
  • Fallos en la integridad del software y de los datos: actualizaciones no fiables, procesos de CI/CD inseguros.
  • Fallos en el registro de seguridad y la monitorización — ataques que pasan desapercibidos.
  • Server-Side Request Forgery (SSRF) — el servidor es engañado para realizar solicitudes maliciosas.

For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.

Cómo cumplir con NIST 800-171 con ImmuniWeb

  1. Alcance de los sistemas CUI. Mapear aplicaciones y activos expuestos a Internet que gestionan información CUI con ImmuniWeb Discovery.
  2. Escanee en busca de vulnerabilidades con Neuron en la frecuencia que defina.
  3. Evalúe los controles con pruebas de penetración de On-Demand y MobileSuite.
  4. Corrija los fallos mediante informes accionables libres de falsos positivos.
  5. Secure development with Continuous in CI/CD.
  6. Repruebe después de los cambios y de forma periódica.

Cómo ImmuniWeb le ayuda a lograr el cumplimiento de NIST 800-171

ImmuniWeb satisface los requisitos de vulnerability-scanning, security-assessment y flaw-remediation mediante pruebas que generan evidencia lista para evaluación.

Requisito Lo que requiere Productos ImmuniWeb
Escaneo de vulnerabilidades Escanear sistemas y aplicaciones en busca de vulnerabilidades. Neuron, Discovery
Evaluación de seguridad Evalúe la eficacia de los controles mediante pruebas de penetración. On-Demand, MobileSuite
Corrección de fallos / desarrollo seguro Corregir fallos; asegurar el ciclo de vida de desarrollo. Neuron, On-Demand, Continuous

ImmuniWeb Neuron y Neuron Mobile proporcionan escaneos automatizados; On-Demand y MobileSuite entregan pruebas de penetración; Continuous incrusta las pruebas en CI/CD; y Discovery mapea la superficie de ataque donde la CUI puede quedar expuesta, generando en conjunto evidencia para evaluaciones CMMC y DFARS.

NIST 800-171 frente a los marcos internacionales

Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:

Framework Perspectiva de la seguridad de aplicaciones Cómo mapea ImmuniWeb
NIST SP 800-171 Escaneo de vulnerabilidades, evaluación y remediación de fallos Pruebas de penetración web/móviles + escaneo + ASM
CMMC (Level 2) Verifies 800-171 implementation Las pruebas como evidencia de evaluación
NIST SP 800-53 Broader control catalog Pruebas y monitoreo de aplicaciones
ISO/IEC 27001 Controles técnicos del Anexo A Pruebas como evidencia de controles

Pruebas de penetración frente a escaneo de seguridad

Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.

Lista de verificación de cumplimiento (Application Security)

  • Sistemas CUI y aplicaciones expuestas a internet inventariados
  • Escaneo de vulnerabilidades con la frecuencia definida
  • Controles de seguridad evaluados mediante pruebas de penetración
  • Las fallas se corrigen de inmediato y se prueban de nuevo
  • Prácticas de desarrollo seguro aplicadas
  • Evidencia conservada para la evaluación SPRS / CMMC
  • Se confirma la versión correcta de 800-171 para cada contrato

Por qué es importante el cumplimiento de NIST 800-171

El cumplimiento de la norma NIST 800-171 es un requisito para obtener y mantener contratos con el Departamento de Defensa de EE. UU., y CMMC lo verifica ahora mediante autoevaluación o evaluación por terceros. Una puntuación SPRS baja o una evaluación fallida pueden poner en riesgo los contratos.

Because web and mobile applications that handle CUI are a real attack surface, demonstrable vulnerability scanning and security testing are among the most direct ways to evidence the relevant requirements.

Preguntas frecuentes

  • P
    ¿Qué es NIST SP 800-171?
    A
    A NIST publication defining the security requirements for protecting Controlled Unclassified Information (CUI) on nonfederal systems, required of DoD contractors and the basis of CMMC Level 2.
  • P
    ¿Cuál es la diferencia entre la Rev. 2 y la Rev. 3?
    A
    La Rev 2 (110 requisitos / 14 familias) es la versión a la que se refieren actualmente la mayoría de los contratos y CMMC; la Rev 3 (mayo de 2024) reestructuró los requisitos y los alineó con NIST 800-53, con una transición mediante futuros procedimientos normativos.
  • P
    ¿Quién debe cumplir con NIST 800-171?
    A
    Los contratistas del Departamento de Defensa y sus proveedores que manejan CUI, así como otros contratistas federales a los que se les exija por contrato.
  • P
    ¿Requiere NIST 800-171 el escaneo de vulnerabilidades y pruebas de seguridad?
    A
    Sí: exige un escaneo continuo de vulnerabilidades, evaluaciones de seguridad y la remediación de fallos en los sistemas y aplicaciones que manejan CUI.
  • P
    ¿Cómo ayuda ImmuniWeb con NIST 800-171?
    A
    By scanning and penetration testing the web and mobile applications that handle CUI and by mapping the attack surface for assessment evidence.
  • P
    ¿Cómo se relaciona NIST 800-171 con CMMC?
    A
    CMMC Level 2 verifies that contractors have implemented the NIST 800-171 requirements.
Rellene los campos resaltados en rojo a continuación.

Hable con un especialista sobre
el cumplimiento de la norma NIST SP 800-171 (Rev.3)

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.
Hable con un experto