Para garantizar la mejor experiencia de navegación, active JavaScript en su navegador web. Sin él, muchas funciones del sitio web no estarán disponibles.


Total de pruebas:
485,773,462
737,046
130,956

Cumplimiento NIST SP 800-53

NIST SP 800-53 es el catálogo de controles de seguridad y privacidad que sustenta a FISMA y FedRAMP. Conoce cómo ImmuniWeb apoya sus controles de prueba de intrusión y escaneo de vulnerabilidades.

Tiempo de lectura:8 min. Actualizado:8 de julio de 2025
Cumplimiento con NIST SP 800-53 (Rev.5)
Rellene los campos resaltados en rojo a continuación.

Hable con un especialista sobre
el cumplimiento de NIST SP 800-53 (Rev.5)

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.

Cumplimiento con NIST SP 800-53 (Rev.5)

¿Qué es NIST SP 800-53?

La norma NIST 800-53 proporciona un catálogo de controles que las organizaciones seleccionan y adaptan utilizando baselines (bajo, moderado, alto). Se aplica a través del NIST Risk Management Framework (SP 800-37) y constituye la base de control para las autorizaciones FedRAMP de servicios en la nube.

La norma NIST 800-53 proporciona un catálogo de controles que las organizaciones seleccionan y adaptan utilizando baselines (bajo, moderado, alto). Se aplica a través del NIST Risk Management Framework (SP 800-37) y constituye la base de control para las autorizaciones FedRAMP de servicios en la nube.

Vea cómo ImmuniWeb apoya los controles CA-8 (pruebas de penetración) y RA-5 (escaneo de vulnerabilidades) de NIST 800-53 para las aplicaciones en su ámbito de autorización. Solicite una demostración · o ejecute una prueba gratuita de Community Edition.

¿Quién debe cumplir con NIST 800-53?

NIST 800-53 es utilizado por:

  • U.S. federal agencies for systems subject to FISMA.
  • Proveedores de servicios en la nube que buscan la autorización FedRAMP.
  • Contratistas y organizaciones privadas que lo adoptan como referencia de controles o que están obligadas a hacerlo por contrato.

Where the authorization boundary includes web and mobile applications, the relevant controls apply to them.

Controles clave del NIST 800-53 para la seguridad de aplicaciones

Varios controles se aplican directamente a la seguridad de las aplicaciones:

  • RA-5 - Supervisión y análisis de vulnerabilidades: analizar los sistemas y las aplicaciones en busca de vulnerabilidades y subsanarlas.
  • CA-8 - Pruebas de penetración: realizar pruebas de penetración en sistemas y aplicaciones.
  • SA-11 - Developer Testing and Evaluation: requerir que los desarrolladores realicen pruebas de seguridad durante el desarrollo.
  • SI-2 - Flaw Remediation: identificar, reportar y corregir fallos de sistemas y aplicaciones.

NIST 800-53 Application-Security Controls in Depth

CA-8 (Penetration Testing) and RA-5 (Vulnerability Scanning)

CA-8 requiere pruebas de penetración y RA-5, supervisión de vulnerabilidades y escaneo de sistemas y aplicaciones. Las pruebas de penetración manuales y el escaneo automatizado de aplicaciones web y móviles satisfacen estos controles directamente, con nuevas pruebas tras los cambios.

SA-11 (Developer Testing) and SI-2 (Flaw Remediation)

SA-11 exige pruebas de seguridad durante el desarrollo, y SI-2 requiere la corrección oportuna de vulnerabilidades. Integrar las pruebas en CI/CD y remediar los hallazgos con informes claros que sirvan como evidencia satisface ambos controles.

Riesgos comunes en aplicaciones web y móviles a abordar

Las vulnerabilidades de aplicaciones que abordan estos controles se alinean estrechamente con el OWASP Top 10:

  • Control de acceso roto — los usuarios acceden a datos o acciones que no deberían.
  • Fallos criptográficos — cifrado débil o ausente que expone datos confidenciales.
  • Inyección — SQL, inyección de comandos u otros tipos a través de entrada no validada.
  • Insecure Design — controles de seguridad ausentes por diseño, no solo por errores.
  • Mala configuración de seguridad: configuración predeterminada, incompleta o insegura.
  • Componentes vulnerables y desactualizados — librerías y frameworks sin parches.
  • Fallos de identificación y autenticación —gestión débil del inicio de sesión, de sesiones o de credenciales.
  • Fallos de integridad del software y los datos: actualizaciones no fiables, procesos de CI/CD inseguros.
  • Fallos en el registro y monitoreo de seguridad: ataques que pasan desapercibidos.
  • Server-Side Request Forgery (SSRF): el servidor es engañado para realizar solicitudes maliciosas.

For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.

Cómo apoyar los controles NIST 800-53 con ImmuniWeb

  1. Defina el perímetro. Mapee las aplicaciones y activos dentro del alcance con ImmuniWeb Discovery.
  2. Escanee (RA-5) con Neuron.
  3. Prueba de penetración (CA-8) con On-Demand y MobileSuite.
  4. Prueba en desarrollo (SA-11) con Continuous en CI/CD.
  5. Remedie las fallas (SI-2) con informes claros y sin falsos positivos.
  6. Repruebe después de los cambios y de forma periódica.

Cómo te ayuda ImmuniWeb a cumplir con NIST 800-53

ImmuniWeb proporciona las pruebas que evidencian los controles de seguridad de aplicaciones de NIST 800-53 para su evaluador.

Requisito Lo que requiere Productos ImmuniWeb
CA-8 Pruebas de penetración de sistemas y aplicaciones. On-Demand, MobileSuite
RA-5 Monitoreo y escaneo de vulnerabilidades. Neuron, Discovery
SA-11 / SI-2 Developer security testing; flaw remediation. Continuous, On-Demand, Neuron

ImmuniWeb On-Demand y MobileSuite ofrecen pruebas de penetración (CA-8); Neuron y Neuron Mobile proporcionan análisis (RA-5); Continuous respalda las pruebas de desarrollo (SA-11); y Discovery mapea la superficie de ataque; en conjunto, generan evidencia de control para las evaluaciones de FISMA y FedRAMP.

NIST 800-53 frente a marcos internacionales

Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:

Framework Perspectiva de la seguridad de aplicaciones Cómo mapea ImmuniWeb
NIST SP 800-53 Controles CA-8, RA-5, SA-11 y SI-2 Pruebas de penetración web/móviles + escaneo + ASM
FedRAMP Líneas base de 800-53 para la nube Pruebas como evidencia de controles
NIST SP 800-171 CUI subset of controls Escaneo + evaluación + remediación
ISO/IEC 27001 Controles técnicos del Anexo A Pruebas como evidencia de controles

Pruebas de penetración frente a escaneo de seguridad

Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.

Lista de verificación de cumplimiento (Application Security)

  • Authorization boundary and in-scope apps inventoried
  • Vulnerability scanning performed (RA-5)
  • Penetration testing performed (CA-8)
  • Pruebas de seguridad para desarrolladores implementadas (SA-11)
  • Deficiencias subsanadas y verificadas (SI-2)
  • Evidencia retenida para la evaluación
  • Controles ajustados a la línea base seleccionada

Por qué importa el cumplimiento de NIST 800-53

NIST 800-53 es el catálogo de controles en el que se basan la FISMA y el FedRAMP, por lo que, para los sistemas federales y los servicios en la nube que buscan autorización, es obligatorio —y no opcional— aportar evidencia de controles como el CA-8 y el RA-5. Los evaluadores esperan pruebas verificables, no solo políticas documentadas.

Because web and mobile applications are a primary attack surface, penetration testing and vulnerability scanning are among the most direct ways to satisfy the relevant 800-53 controls.

Preguntas frecuentes

  • P
    What is NIST SP 800-53?
    A
    Un catálogo de NIST de controles de seguridad y privacidad para sistemas de información, utilizado por agencias federales bajo FISMA y que sustenta FedRAMP.
  • P
    ¿Cuál es la versión actual de 800-53?
    A
    Revisión 5.
  • P
    ¿Quién utiliza NIST 800-53?
    A
    U.S. federal agencies, cloud service providers pursuing FedRAMP, and contractors and private organizations that adopt it as a control reference.
  • P
    ¿Qué controles de 800-53 se relacionan con la seguridad de las aplicaciones?
    A
    RA-5 (escaneo de vulnerabilidades), CA-8 (pruebas de penetración), SA-11 (pruebas de desarrollo) y SI-2 (remediación de defectos), entre otros.
  • P
    ¿Requiere NIST 800-53 pruebas de penetración?
    A
    El control CA-8 requiere pruebas de penetración de sistemas y aplicaciones.
  • P
    ¿Cómo ayuda ImmuniWeb a cumplir con NIST 800-53?
    A
    Mediante pruebas de penetración y análisis de vulnerabilidades que demuestran el cumplimiento de controles como CA-8, RA-5, SA-11 y SI-2.
Rellene los campos resaltados en rojo a continuación.

Hable con un especialista sobre
el cumplimiento de NIST SP 800-53 (Rev.5)

  • Comience su prueba gratuita de los productos de ImmuniWeb
  • Reciba precios personalizados
  • Hable con nuestros expertos técnicos.
Gartner Cool Vendor
SC Media
Innovador de IDC
*
*
Privado y confidencialSus datos permanecerán privados y confidenciales.
Hable con un experto