Guía definitiva de CMMC

El programa de Certificación del modelo de madurez de ciberseguridad es un mecanismo de verificación diseñado para garantizar que todas las empresas de la Base Industrial de Defensa (DIB) apliquen prácticas de ciberseguridad adecuadas. Con base en la publicación especial (SP) 800-171 del Instituto Nacional de Estándares y Tecnología (NIST), el marco de CMMC unifica a todos los contratistas de la DIB bajo una norma de seguridad certificable.

En resumen, todos los socios de misión del Departamento de Defensa (DoD) deben adoptar el mismo conjunto de controles de seguridad, en función de determinadas variables. En cualquier caso, todo contratista gubernamental que licite en un contrato del DoD debe obtener una certificación CMMC; de esta forma, verificará que cumplió sus requisitos.

¿Por qué se creó la certificación CMMC?

En octubre de 2016, el DoD publicó la cláusula del Suplemento del Reglamento Federal de Adquisiciones de Defensa (DFARS) titulada “Protección de la información de defensa cubierta y elaboración de informes sobre incidentes cibernéticos”. En virtud de esta normativa, los contratistas de defensa solo debían autoevaluar su propia madurez en materia de ciberseguridad.

Sin embargo, las auditorías eran a menudo imprecisas y rara vez se realizaban, lo que daba lugar a un cumplimiento incoherente. A su vez, los organismos del DoD no sabían con seguridad si los socios de misión estaban tomando todas las medidas necesarias para proteger los activos gubernamentales.

En un esfuerzo por alejarse de este modelo de autocertificación, el DoD presentó la certificación CMMC en 2019. Comenzó a incorporar las normas de CMMC a los requisitos contractuales del DoD en noviembre de 2020.

¿Por qué es importante el cumplimiento de CMMC?

El objetivo del marco de CMMC es proteger la información gubernamental del acceso y la exposición no autorizados. Más concretamente, impone prácticas para proteger dos tipos de datos:

1. Información controlada no clasificada (CUI): La información controlada no clasificada es cualquier dato que no tenga categoría de clasificado, pero que deba protegerse en virtud de determinadas políticas y ordenanzas gubernamentales. La CUI puede incluir infraestructuras críticas, registros financieros, defensa nacional y otras áreas sensibles.
2. Información sobre contratos federales (FCI): Por el contrario, la FCI es información proporcionada o generada para el gobierno de EE. UU. por contrato, que no se marcó para su divulgación pública. Aunque no es tan confidencial como la CUI, la Información sobre Contratos Federales también debe estar estrictamente protegida.

Con una creciente cantidad de ciberataques dirigidos a organismos gubernamentales, el cumplimiento de la CMMC se ha convertido en algo vital. Los hackeos patrocinados por el Estado pueden ser particularmente costosos, con un costo medio de 4,43 millones de dólares por deficiencia. Peor aún, dada la naturaleza de los datos gubernamentales, estos ataques pueden poner en peligro los intereses de Estados Unidos, incluida la seguridad nacional.

¿Cuáles son los beneficios de obtener una certificación CMMC?

Los contratistas de defensa tienen motivos de sobra para cumplir los requisitos de CMMC. No solo es obligatorio para todos los socios de la misión, sino que también es una ventaja comercial competitiva. Por ejemplo, una certificación CMMC puede hacer lo siguiente:

• Ayudarlo a licitar en contratos del DoD
• Proporcionar un alto nivel de fiabilidad a los clientes de la agencia
• Reforzar la ciberresiliencia y minimizar la exposición al riesgo

¿Qué es el CMMC 2.0?

El Departamento de Defensa (DoD) anunció planes para actualizar y simplificar el marco de CMMC en noviembre de 2021. El objetivo era facilitar a los contratistas la implementación y el cumplimiento de las normas de CMMC y, al mismo tiempo, optimizar el proceso de certificación.

Consolidó su marco en una versión más uniforme, completa y fácilmente comprensible: Versión 2.0 de CMMC. Con vistas a futuro, el DoD requerirá algún nivel de certificación CMMC para calificar por la adjudicación de un contrato para el 1 de octubre de 2025.

Con la CMMC, puede organizar sus necesidades mediante un sistema escalonado. Mientras que la versión original contenía cinco niveles independientes, en la CMMC 2.0, se simplificó el marco a tres niveles.

Se alinean en función de cómo los contratistas (y subcontratistas) gestionan la FCI y la CUI. En general, cuanta más información confidencial procese, más estrictos serán los requisitos de conformidad.

Así, cada nivel incluye sus propios procesos, prácticas y procedimientos de evaluación, y está basado en los anteriores.

1. Nivel 1 de CMMC (Básico): 17 prácticas verificadas mediante autoevaluación.
2. Nivel 2 de CMMC (Avanzado): 110 prácticas alineadas con NIST SP 800-171, verificadas mediante una evaluación de seguridad trianual realizada por terceros.
3. Nivel 3 de CMMC (Experto): Más de 110 prácticas basadas en NIST SP 800-172, verificadas mediante una evaluación de seguridad trianual realizada por el gobierno.

En la CMMC, también se desglosan las prácticas específicas de ciberseguridad en 14 dominios con 43 capacidades. En este contexto, el término “capacidades” hace referencia a los controles de seguridad que un contratista del DoD debe implementar y gestionar en función de su nivel correspondiente. Los dominios de CMMC son los siguientes:

1. Control de acceso
2. Auditoría y responsabilidad
3. Sensibilización y capacitación
4. Gestión de la configuración
5. Identificación y autenticación
6. Respuesta ante incidentes
7. Mantenimiento
8. Protección de medios
9. Seguridad del personal
10. Protección física
11. Evaluación de riesgos
12. Evaluación de seguridad
13. Protección del sistema y las comunicaciones
14. Integridad del sistema y de la información

Entrust proporciona soluciones para facilitar el cumplimiento de los siguientes 9 dominios CMMC:

Dominio CMMC

Dominio CMMCControl de acceso (AC)

Dominio CMMCAuditoría y responsabilidad (AU)

Dominio CMMCGestión de la configuración (CM)

Dominio CMMCIdentificación y autenticación (IA)

Dominio CMMCMantenimiento (MA)

Dominio CMMCProtección de medios (MP)

Dominio CMMCProtección física (PE)

Dominio CMMCProtección del sistema y las comunicaciones (SC)

Dominio CMMCIntegridad del sistema y de la información (SI)

Capacidad

Control de acceso (AC)

• Establezca requisitos de acceso al sistema
• Controle los accesos al sistema interno
• Controle los accesos al sistema remoto
• Impida que usuarios y procesos no autorizados accedan a los datos

Auditoría y responsabilidad (AU)

• Defina requisitos de auditoría
• Realice auditorías
• Identifique y proteja información de auditoría
• Revise y administre registros de auditoría

Administrador de configuración (CM)

• Establezca directivas de configuración
• Gestione la configuración y las actualizaciones

Identificación y autenticación (IA)

• Otorgue acceso a entidades autenticadas

Mantenimiento (MA)

• Gestione el mantenimiento

Protección de medios (MP)

• Identifique y marque medios
• Proteja y controle medios
• Desinfecte medios
• Proteja medios durante el transporte

Protección física (PE)

• Limitar el acceso físico

Protección del sistema y las comunicaciones (SC)

• Defina requisitos de seguridad para sistemas y comunicaciones
• Controle comunicaciones en los límites del sistema

Integridad del sistema y la información (SI)

• Identificar y gestionar fallos del sistema de información
• Identificar contenido malicioso
• Monitorear redes y sistemas
• Proteger el correo electrónico

Entrust soporta

Control de acceso (AC)

Auditoría y responsabilidad (AU)

Administrador de configuración (CM)

Identificación y autenticación (IA)

Mantenimiento (MA)

Protección de medios (MP)

Protección física (PE)

Protección del sistema y las comunicaciones (SC)

Integridad del sistema y la información (SI)

El proceso de evaluación de CMMC es riguroso por naturaleza. Comenzar un proceso de cumplimiento puede ser desalentador, pero con una lista de verificación bien planificada, puede realizar un paso a la vez.

Repasemos cada uno de ellos para empezar:

1. Determine su nivel de CMMC: El nivel mínimo de madurez en ciberseguridad depende de cómo gestione la FCI y la CUI. Haga un inventario de sus sistemas, redes y procesos para identificar exactamente dónde y cómo entra en contacto con estos datos.
2. Complete una autoevaluación: Realice un análisis de deficiencias de CMMC para detectar vulnerabilidades o áreas de mejora que no estén alineadas con las prácticas recomendadas.
3. Elabore un plan de seguridad del sistema (SSP): Los SSP son necesarios para la certificación CMMC. Determinan el panorama de seguridad y las capacidades de control, lo que le permite identificar los límites de su entorno, dónde se conecta con otros sistemas y en qué medida cumple ciertos requisitos.
4. Invierta en herramientas preparadas para el futuro: Es probable que descubra deficiencias en el ámbito de la ciberseguridad. Prepárese para implementar soluciones adicionales para cubrir las bases y satisfacer los requisitos de conformidad de la CMMC.
5. Contrate a un auditor externo: Un profesional registrado, una organización de proveedores registrados o una organización de evaluación de terceros (3PAO) deben realizar la auditoría de CMMC.
6. Mantenga el cumplimiento: Una vez lista la certificación, debe hacer una supervisión continua para identificar las deficiencias a medida que surjan y garantizar que los controles de seguridad siguen funcionando según lo previsto.

Simplifique el cumplimiento de las normativas con las soluciones de Entrust

El cumplimiento es obligatorio para los contratistas del DoD. Desafortunadamente, eso no significa que sea fácil.

Sin embargo, hay formas de simplificar el proceso, reforzar las defensas y conseguir y mantener una certificación CMMC. Con Entrust como socio experto, puede implementar una cartera de soluciones que le permitirán prepararse para la certificación CMMC y acondicionar la seguridad para el futuro.

Desde la identidad y la autenticación hasta la protección de medios, el control de acceso y mucho más, simplificamos los dominios de CMMC con facilidad. Ya sea a través de Entrust Public Key Infrastructure o Entrust Identity as a Service, tenga la seguridad de que usted y sus socios del DoD estarán bien protegidos.