¿COMO AFECTA La CERTIFICACION DEL MODELO DE MATURIDAD DE CYBERSECURITY (CMMC) A LOS CONTRATANTES DE DEFENSA DE EE. UU.?

CIBERSEGURIDAD

¿COMO AFECTA La CERTIFICACION DEL MODELO DE MATURIDAD DE CYBERSECURITY (CMMC) A LOS CONTRATANTES DE DEFENSA DE EE. UU.?

Se han planteado cuestiones relativas a la ciberseguridad de los contratistas de la industria de defensa de Los Estados Unidos. Las similitudes entre los componentes de los aviones J-31 de China y el Caza De Ataque Conjunto F-35 de los Estados Unidos, entre otros incidentes, han llevado a muchos a concluir que el espionaje cibernético es un problema creciente. En respuesta, el Departamento de Defensa (DoD) está introduciendo la Certificación de Modelo de Madurez de Ciberseguridad (CMMC) para asegurar su Base Industrial de Defensa (DIB).

En 2015, el DoD publicó el Suplemento de Regulación Federal de Adquisiciones de Defensa (DFARS). Esto es parte de una iniciativa para proteger la cadena de suministro de defensa de Estados Unidos de las amenazas cibernéticas internas y extranjeras y reducir el riesgo general de seguridad en el sector.

DFARS encomendó a los contratistas privados de DoD que adoptaran estándares de ciberseguridad de acuerdo con el marco de ciberseguridad DEL NIST SP 800-171 del Instituto Nacional de Estándares y Tecnología (NIST). Esto fue monitoreado principalmente en confianza, sin un componente de verificación con respecto a los requisitos de ciberseguridad. No era raro encontrar a los poderes adjudicadores y contratistas principales que solicitaban el Plan de Seguridad del Sistema (SSP) y el Plan de Acción y Hitos (POA&M), en virtud del DFARS 252.204-7012, sólo después de que se hubiera hecho la adjudicación del contrato. Esto dio lugar a que varias empresas tergiversaban sus esfuerzos de ciberseguridad, por lo que recibieron severas sanciones.

¿Qué es CMMC?

En la Conferencia Federal de Adquisiciones de 2019, Katie Arrington, Asistente Especial del Subsecretario de Defensa para la Adquisición de Cibernética, Oficina del Subsecretario de Adquisición y Sustento, informó cuántos contratistas aún no habían implementado EL NIST SP 800-171 dentro de sus sistemas de información. Su discurso dejó claro que, junto con los criterios de adquisición preexistentes (costo, rendimiento y programación), la seguridad debe ser ahora también un criterio.

El Departamento de Trabajo ha desarrollado CMMC para abordar este problema de una manera rentable y asequible. Actualiza las regulaciones existentes y garantiza que los contratistas dispongan de los controles pertinentes para proteger los datos confidenciales, incluida la información federal de contratos y la información no clasificada controlada (IUP). Para lograr esto, ha tomado las mejores prácticas de una variedad de estándares de ciberseguridad, incluyendo NIST SP 800-171, NIST SP 800-53, ISO 27001, ISO 27032, y AIA NAS9933, y creó un único estándar de ciberseguridad cohesivo.

La norma abarca diecisiete “dominios”, muchos de los cuales provienen de las 200 áreas relacionadas con la seguridad de las Normas Federales de Procesamiento de Información (FIPS) y las familias de control NIST SP 800-171. Incluyen:

1. Control de acceso

2. Gestión de activos

3. Auditoría y rendición de cuentas

4. Concienciación y capacitación

5. Gestión de la configuración

6. Identificación y autenticación

7. Respuesta a incidentes

8. Mantenimiento

9. Protección de los medios de comunicación

10. Seguridad del personal

11. Seguridad Física

12. Recuperación

13. Gestión de riesgos

14. Evaluación de la seguridad

15. Conciencia situacional

16. Protección de sistemas y comunicaciones

17. Integridad del sistema y de la información

IMPLEMENTACIÓN DE CMMC

A diferencia de los requisitos de DFARS 252.204-7012, CMMC exige que se asuenen medidas de ciberseguridad antes de la adjudicación del contrato. Además de la documentación y las políticas, los contratistas serán evaluados en base a su implementación de controles técnicos reales – la madurez de sus prácticas de ciberseguridad.

El contratista será certificado a un nivel 1 a 5 – “Higiene básica de ciberseguridad” a “Avanzado”. Cuanto mayor sea su empresa, más contratos podrá pujar. Hay dos ventajas para este sistema para los contratistas. En primer lugar, hace que sea más rentable para las empresas más pequeñas que sólo requieren niveles básicos de ciberseguridad. En segundo lugar, si un contratista alcanza un nivel más alto, puede pujar automáticamente por una mayor variedad de contratos.

A diferencia de las medidas actuales, CMMC no se basa en la autocertificación. En su lugar, las organizaciones externas independientes certificadas llevarán a cabo auditorías que informan el nivel de riesgo en el contratista. El contratista coordina directamente con la organización de certificación independiente para solicitar y programar la evaluación. Además, pueden especificar el nivel de certificación para el que desean ser evaluados, en función de sus requisitos empresariales.

Una vez realizada la evaluación y obtenido un certificado, el nivel se hace público, pero los detalles relativos a hallazgos específicos no se hacen públicos. El DoD solo tendrá acceso al nivel de certificación.

Se espera que los contratistas del DIB vean los requisitos de la CMMC que forman parte de sus Solicitudes de Información a partir de junio de 2020. La versión 1.0 del marco de cmmc se puso a disposición en enero de 2020 para apoyar a los contratistas con sus requisitos de formación.

La introducción de CMMC eliminará la ambiguedad entre los contratistas, algunos de los cuales a menudo han luchado para comprender el cumplimiento y cómo el DoD lo hace cumplir. SGS tiene una larga historia de ejecución exitosa de proyectos complejos a gran escala, como la adopción de CMMC. Nuestros expertos pueden trabajar con usted de una manera eficiente y rentable, ayudándole a recibir el CMMC necesario para permitirle pujar por contratos para el DoD de EE. UU.

CIBERSEGURIDAD