CIBERSEGURIDAD

OBTENCIÓN DE LA CERTIFICACIÓN CMMC PARA CONTRATISTAS DE DEFENSA

LEER MÁS

A medida que el Departamento de defensa de EE. UU. lanza el CMMC, un nuevo programa de certificación de ciberseguridad, analizamos los diferentes niveles de madurez y lo que tendrá que tener en cuenta para su aplicación.

Después de que se plantearon preguntas sobre las medidas de ciberseguridad empleadas por algunos contratistas de defensa en la base industrial de defensa de EE. UU. (DIB), el Departamento de defensa de EE. UU. (DoD) ha introducido la certificación de modelo de madurez para la ciberseguridad (CMMC).

A los contratistas en el DIB se les ha encomendado la adopción de estándares de ciberseguridad de acuerdo con el NIST SP 800-171 del Instituto Nacional de estándares y tecnología (NIST). Sin embargo, la conformidad se acreditó por sí misma, lo que condujo a que muchos contratistas no implementaran los protocolos de ciberseguridad necesarios.

El CMMC fue desarrollado por el DoD para abordar este problema de una manera rentable. Actualiza las regulaciones existentes y garantiza que los contratistas cuenten con los controles pertinentes para proteger los datos confidenciales, incluida la información federal sobre contratos (FCI) y la información controlada sin clasificar (CUI).

FCI es información que se proporciona o genera para el gobierno en régimen de contrato. No está destinada a liberación pública. CUI difiere de FCI, en el caso de que requiera un nivel de protección más alto debido a su estado de seguridad nacional. Esta es información que es creada o poseída por el gobierno, o que es creada o poseída por un contratista en nombre del gobierno. Está cubierto por una ley, regulación o normativa gubernamental que requiera o permita a un organismo gestionarlo mediante controles de protección o difusión.

NIVELES DE CMMC

CMMC considera el nivel de seguridad en términos de madurez. Hay cinco niveles de madurez que reflejan el nivel en el que se llevan a cabo los procesos de ciberseguridad:

  1. Ciberhigiene básica: procesos ejecutados
  2. Ciberhigiene intermedia: procesos documentados
  3. Buena higiene cibernética: procesos gestionados
  4. Proactivo: procesos revisados
  5. Avanzado/progresivo: procesos optimizados

 

Nivel 1 de higiene cibernética básica: equivalente a las 17 prácticas en el Reglamento de adquisiciones federales (FAR) 48 CFR 52.204-21. Esto se centra en la protección de FCI y consiste solo en prácticas que corresponden a los requisitos básicos de salvaguardia especificados en 48 CFR 52.204-21. El contratista solo podrá llevar a cabo las prácticas especificadas de forma ad hoc, y por lo tanto no se evaluará la madurez del proceso.

Cyber Hygiene cibernética intermedia de nivel 2: cubre las 72 prácticas (prácticas de FAR, 48 del NIST SP 800-171 R1, más siete prácticas para apoyar la ciberhigiene intermedia). El nivel 2 sirve como progresión desde el nivel 1 hacia el nivel 3. La organización debe establecer y documentar las prácticas y las políticas para guiar sus esfuerzos de CMMC. Esto permite la replicación de las prácticas y desarrolla la madurez.

Nivel 3 buena higiene cibernética: cubre las 130 prácticas (de lejos, todas las prácticas en NIST SP 800-171 R1, más 20 prácticas para apoyar la ciberhigiene intermedia). El nivel 3 se centra en la protección de CUI. La organización debe planificar y mantener cada práctica en su plan de ciberseguridad.

Nivel 4 proactivo: cubre las156 prácticas  (FAR, NIST SP 800-171 R1, 11 prácticas del borrador NIST SP 800-172, más 15 prácticas para demostrar un programa proactivo de ciberseguridad). El nivel 4 se centra en la protección de CUI con amenazas persistentes avanzadas (APT). Exige a la organización que mida y revise la eficacia de las prácticas, antes de emprender acciones correctivas.

Nivel 5 avanzado/progresivo: cubre las 171 prácticas (FAR, NIST SP 800-171 R1, 4 prácticas del borrador NIST SP 800-172, más once prácticas para demostrar un programa avanzado de ciberseguridad). El nivel CMMC más alto se centra en la protección de CUI de apt (amenazas persistentes avanzadas). El resultado son las capacidades de ciberseguridad con mayor profundidad y sofisticación.

IMPLEMENTACIÓN DE CMMC

CMMC es evaluada por organizaciones de terceros certificados e independientes. El contratista de DIB se coordinará directamente con la organización de certificación independiente para solicitar y programar la evaluación. También pueden especificar en qué nivel de certificación desean ser evaluados, según sus requisitos empresariales. Los contratistas con mayores niveles de madurez podrán licitar para contratos que requieran niveles más altos de ciberseguridad.

De acuerdo con la naturaleza sensible del material protegido, se espera que las auditorías CMMC sean rigurosas. Al igual que con todos los nuevos requisitos de certificación obligatorios, también se predice que la demanda de servicios de certificación será alta durante el ciclo inicial de CMMC. Por lo tanto, es importante asegurarse que el proceso hacia la certificación se comienza en la fase más temprana posible.

Cuestiones a considerar:

¿Cuáles son los límites del programa? Ubicaciones físicas, sistemas, almacenamiento de datos, partes interesadas, etc.: parte del plan de seguridad del sistema, una práctica de nivel 2, CA. 2.157

  • ¿A qué nivel debe estar certificado? Esto dependerá de los requisitos y los planes de su empresa.
  • Análisis de deficiencias para evaluar el nivel de preparación de su organización. Las deficiencias detectadas deben ser entonces direcciones antes de la auditoría (puede incluir cambios físicos, la implementación de nuevos sistemas, formación, etc.)
  • ¿Cumplen los estándares NIST SP 800-171 de sistemas actuales?

 

Por último, es importante recordar que CMMC no sustituye los requisitos contractuales a los que está comprometida una organización. La CMMC es un requisito adicional diseñado por el Departamento de defensa para garantizar que los contratistas en el DIB realicen los protocolos de ciberseguridad necesarios para proteger la seguridad nacional.

SOLUCIONES DE SGS

SGS ofrece servicios de evaluación previa para ayudar a los contratistas a recibir la certificación de modelo de madurez para la ciberseguridad (CMMC).

Obtenga más información sobre los servicios CMMC de SGS

La formación para CMMC también vendrá muy pronto.

PARA OBTENER MÁS INFORMACIÓN, PÓNGASE EN CONTACTO CON NOSOTROS.

Video
Share

Your name

Your e-mail

Name receiver

E-mail address receiver

Your message

Send

Contact

Privacy Policy

Send

Sign up