¿Qué es el CMMC? Certificación del Modelo de Madurez de Ciberseguridad

¿Qué es el CMMC?

CMMC, o Certificación del Modelo de Madurez de Ciberseguridad, es un marco de ciberseguridad que Departamento de Defensa de los Estados Unidos (DoD) Creado para proteger los datos almacenados por la Base Industrial de Defensa (DIB).

En términos generales, el DIB está formado por contratistas y subcontratistas que trabajan con el Departamento de Defensa y, por lo tanto, manejan asuntos de gran importancia. información sensible.

CMMC 1.0

En 2019, el Departamento de Defensa anunció la creación de un modelo de evaluación y certificación de ciberseguridad. El propósito original del CMMC era garantizar que los proveedores y contratistas del Departamento de Defensa protegieran y mantuvieran adecuadamente sus redes. información no clasificada controlada (CIU) e información del contrato federal (FCI).

CMMC 2.0

En noviembre de 2021, poco más de dos años después de que el Departamento de Defensa anunciara la primera fase del CMMC, la agencia estadounidense reveló planes para un programa CMMC 2.0 reforzado y mejorado. La Fase 2 mantiene el objetivo original de salvaguardar la información confidencial confidencial (CIU) sensible, a la vez que minimiza las barreras existentes para el cumplimiento.

Certificación del Modelo de Madurez de Ciberseguridad Fase 2.0:

• Agiliza los requisitos para las empresas más pequeñas
• Simplifica y aclara los estándares para requisitos regulatorios, de políticas y contractuales.
• Requiere estándares de ciberseguridad más estrictos y evaluaciones de terceros para proyectos de mayor prioridad
• Aumenta la supervisión del Departamento de Defensa sobre los estándares éticos
• barreras al cumplimiento y maximiza la facilidad de ejecución
• Fomenta una cultura colaborativa de ciberseguridad

Las mejoras 2.0 tienen como objetivo fortalecer la ciberseguridad de las empresas del DIB facilitando una mayor colaboración con el DoB y empoderando a los contratistas para que realicen autoevaluaciones e informen sobre su cumplimiento.

Funcionarios del Pentágono indican que es probable que la Oficina de Administración y Presupuesto (OMB) apruebe las regulaciones CMMC como una "norma propuesta" en 2023, y que habrá un período de comentarios de hasta un año antes de que las normas finales entren en vigor. Esto brindaría a las empresas tiempo adicional para comprender y prepararse para la compleja regulación prevista. Sin embargo, también significa que no se espera que los requisitos CMMC aparezcan en los contratos hasta 2024. Según la agenda unificada otoño 2022Las regulaciones CMMC se encuentran actualmente en la etapa de “reglamento propuesto” y se prevé publicar un aviso de reglamentación propuesta en mayo de 2023, aunque estas proyecciones están sujetas a cambios.

¿Cuál es el propósito de CMMC?

Las ciberamenazas contra la base industrial de defensa están en aumento, y estas amenazas no solo son más frecuentes, sino también más complejas. Para proteger a las empresas del DIB de estos crecientes ataques, el Departamento de Defensa necesita salvaguardas y estándares de TI sólidos e integrales.

CMMC evalúa los programas de seguridad de los proveedores y garantiza que estos tengan sistemas suficientes para proteger cualquier CUI que resida en sus redes.

Está diseñado para reducir las vulnerabilidades en la cadena de suministro, proteger la información del Departamento de Defensa contra infracciones y mejorar las prácticas generales de ciberseguridad.

¿Qué es el marco CMMC?

El CMMC original, o versión 1.0, organizó los procesos de seguridad en cinco niveles de madurez que incluían:

Nivel 1: Básico
Salvaguardias FCI en línea — 17 prácticas
Nivel 2: Intermedio
Un nivel de transición — 72 prácticas
Nivel 3: Bueno
Salvaguardas CUI además de FCI — 130 prácticas
Nivel 4: Proactivo
Protege CUI y reduce el riesgo de amenazas persistentes avanzadas (APT) — 156 prácticas
Nivel 5: Avanzado
Programa cibernético progresivo: 171 prácticas

Cada nivel de madurez se basaba en el anterior, lo que requería que una empresa dominara todas las prácticas de un nivel antes de pasar al siguiente.

La versión optimizada de CMMC 2.0 reduce el número de niveles de madurez de cinco a tres, elimina 20 requisitos de seguridad, se ajusta mejor a los controles de seguridad de NIST SP 800-171 y permite a algunas organizaciones autoevaluar sus programas en lugar de someterse a revisiones externas. Los nuevos niveles simplificados de la versión 2.0 son:

Nivel 1: Fundacional
Requiere autoevaluaciones anuales — 17 prácticas
Nivel 2: Avanzado
Requiere autoevaluaciones anuales para organizaciones seleccionadas o evaluaciones de terceros para información crítica de seguridad nacional; se alinea con las políticas NIST SP 800-171: 110 prácticas
Nivel 3: Experto
Requiere evaluaciones dirigidas por el gobierno; se alinea con las políticas NIST SP 800-172: más de 110 prácticas

Requisitos de CMMC

Hay una serie de requisitos que las organizaciones deben cumplir para satisfacer la certificación CMMC, entre ellos:

• Identificar y documentar todos los sistemas y activos, incluidos los datos, que sean relevantes para la protección de la Información Controlada No Clasificada (CUI)
• establecer y mantener un Plan de Seguridad del Sistema (SSP) que describa cómo cumple con los requisitos de seguridad descritos en el marco CMMC
• Prácticas y procedimientos de implementación y documentación para gestionar el acceso a CUI, incluyendo autenticación, autorización y auditoría.
• Desarrollar y mantener un plan de respuesta a incidentes que describa los procedimientos para responder e informar incidentes de seguridad.
• procedimientos para supervisar, evaluar y probar periódicamente sus controles de seguridad para garantizar que sean eficaces
• Demostrar el cumplimiento del nivel apropiado de certificación CMMC a través de una evaluación formal realizada por una Organización Evaluadora de Terceros CMMC (C3PAO)

¿Quién debe cumplir con CMMC?

El Departamento de Defensa trabaja con más de 30.000 contratistas y subcontratistas. Estos pueden incluir empresas de tecnología, finanzas, fabricación, diseño y desarrollo, investigación, proveedores de servicios en la nube, etc. Con la versión 1.0, todos ellos debían estar certificados.

Sin embargo, la Fase 2.0 divide los requisitos de certificación por nivel. Las empresas de nivel 1 que protegen FCI que no son críticas para la seguridad nacional no necesitarán someterse a evaluaciones gubernamentales o de terceros y puede confiar en la autocertificación.

Los contratistas de defensa de nivel 2 que manejan información confidencial confidencial para fines de seguridad nacional necesitarán certificación, mientras que las empresas que manejan proyectos no priorizados tal vez no la necesiten.

¿Cómo obtener la certificación CMMC?

Si bien algunos detalles de la certificación aún están en desarrollo, el Organismo de Acreditación —o CMMC-AB — es responsable de proporcionar acreditación a las organizaciones de terceros que certifican a los contratistas del Departamento de Defensa.

Estos evaluadores, conocidos como Organizaciones de Evaluación de Terceros CMMC (o C3PAO), estarán autorizados a realizar evaluaciones de las redes de seguridad de los contratistas y proporcionar las certificaciones adecuadas para cada organización.

Tipos de evaluación CMMC

Autoevaluaciones: Son una opción donde la empresa realiza la evaluación. Este tipo de evaluación se utiliza generalmente para niveles inferiores de certificación CMMC y puede ayudar a la empresa a identificar vulnerabilidades en ciberseguridad. Sin embargo, es importante tener en cuenta que las autoevaluaciones no siempre se aceptan para todos los niveles de certificación y pueden requerir verificación externa para garantizar la precisión y validez de los resultados.

Evaluaciones de terceros: Este tipo de evaluación la realiza una organización externa autorizada por el Organismo de Acreditación CMMC. Su objetivo es evaluar el cumplimiento de la empresa con las prácticas y requisitos específicos descritos en CMMC y proporcionar una evaluación independiente de su ciberseguridad. La evaluación externa es un componente fundamental para obtener la certificación CMMC y es necesaria para garantizar que las empresas hayan implementado controles de ciberseguridad eficaces.

Evaluaciones gubernamentales: Esta evaluación, realizada por el gobierno de EE. UU., evalúa el cumplimiento de la empresa con las prácticas y requisitos específicos descritos en el CMMC, así como cualquier requisito de seguridad adicional especificado por la agencia gubernamental. Las evaluaciones gubernamentales suelen realizarse además de evaluaciones de terceros para verificar los resultados o evaluar medidas de seguridad adicionales. El objetivo principal de una evaluación gubernamental es garantizar que la empresa haya implementado controles y medidas de ciberseguridad eficaces para proteger la información confidencial.

¿Qué significa cumplimiento de CMMC?

Las empresas que contratan con el Departamento de Defensa de EE. UU. deben proteger la información altamente sensible a la que tienen acceso. Si desea contratar con el Departamento de Defensa, debe conocer a fondo las políticas, prácticas y estándares de la regulación, y si maneja ciertos tipos de datos, también necesitará certificación de terceros o del gobierno.

Adherirse a la Publicación Especial 800-171 del Instituto Nacional de Estándares y Tecnología (o marco NIST SP 800-171) es la mitad de la batalla, ya que las nuevas mejoras se adhieren muy de cerca al conjunto de pautas de seguridad del NIST.

Las empresas que buscan trabajar con el Departamento de Defensa o presentar ofertas para contratos gubernamentales deben asegurarse de tener implementadas prácticas de seguridad efectivas. Soluciones de seguridad avanzadas basadas en ML de BigID Ayude a las organizaciones a proteger todos sus datos confidenciales a gran escala. Así es como:

• No puedes proteger lo que no sabes que tienes: Descubra todos sus datos confidenciales, regulados y de alto riesgo, en todas partes —incluidos CUI y FCI
• Clasifique y catalogue más tipos de datos, a escala, utilizando técnicas NPL y ML
• Identifique a los usuarios de alto riesgo de datos confidenciales y limite el acceso a los archivos a los usuarios autorizados
• Remediar, conservar o descartar datos confidenciales
• Reduzca de forma proactiva el riesgo de sus datos más confidenciales con la puntuación de riesgo
• Determinar con precisión los usuarios afectados tras una filtración de datos y simplificar la respuesta a incidentes
• Alinee sus prácticas de protección de datos con Normas de cumplimiento del NIST

Configurar una Demostración de BigID para ver cómo podemos ayudarte proteger información de seguridad nacional altamente sensible.

Autor

BigID

Conozca al colectivo de autores de BigID, un equipo diverso que cuenta con comercializadores de productos, expertos en la materia y redactores profundamente versados en privacidad, seguridad y gobernanza de datos. Nuestro enfoque colaborativo aprovecha una gran experiencia en el sector para elaborar contenidos perspicaces e informativos, garantizando que te mantengas informado en este panorama en constante evolución.