CMMC 2.0:Guía esencial para pequeños y medianos fabricantes de la base industrial de defensa

Para los pequeños y medianos fabricantes (SMM) en la Base Industrial de Defensa (DIB), la Certificación del Modelo de Madurez de Ciberseguridad (CMMC) ya no es un requisito futuro, ahora es el estándar.

En diciembre, el Departamento de Defensa de EE. UU. finalizó el CMMC 2.0 , incorporándolo formalmente en los contratos del Departamento de Defensa. Si suministra, subcontrata o planea realizar trabajos relacionados con la defensa, esto le afecta.

De aproximadamente 300.000 empresas en el DIB, una parte importante deberá alcanzar la certificación de Nivel 2 para poder continuar manejando Información No Clasificada Controlada (CUI).

Esto es lo que hace que esto sea urgente:

• La implementación puede tardar de 6 meses a 3 años
• Los costos pueden oscilar entre $20 000 y $200 000 , dependiendo de la complejidad
• Es posible que su proveedor de TI no tenga la experiencia en ciberseguridad necesaria
• Las Organizaciones de Asesores Externos Certificados (C3PAO) todavía están surgiendo, así de nuevo es el ecosistema

CMMC no es simplemente una actualización de TI. Es un cambio operativo y cultural.

¿La buena noticia? No es necesario que lo navegues solo. IMEC está posicionado para guiar a los fabricantes a través de este complejo proceso.

Comprensión del marco CMMC

CMMC 2.0 es el marco del Departamento de Defensa para proteger la información confidencial de defensa en toda la cadena de suministro.

Un término clave que hay que entender es Información no clasificada controlada (CUI). , datos gubernamentales confidenciales que requieren protección pero no están clasificados.

CMMC 2.0 consta de tres niveles:

• Nivel 1 – Fundacional: Higiene básica en ciberseguridad
• Nivel 2 – Avanzado: Alineación con NIST SP 800-171 (requisito más común para los fabricantes que manejan CUI)
• Nivel 3 – Experto: Protecciones avanzadas para programas de alta prioridad

La mayoría de los SMM que apoyan al DIB deberán cumplir el Nivel 2 .

¿Cómo sabes qué nivel necesitas?

Comience revisando sus contratos y comunicaciones con los clientes. ¿Ves el lenguaje CMMC incluido en:

• ¿Contratos principales?
• ¿Requisitos de flujo descendente de los clientes?
• ¿Solicitudes de propuestas que hagan referencia a NIST 800-171 o CMMC Nivel 2?

Si es así, la preparación debe comenzar ahora.

También puede considerar si el trabajo relacionado con CMMC puede segmentarse del resto de sus operaciones. En algunos casos, separar los flujos de trabajo de CUI de otros sistemas empresariales puede reducir el alcance y el costo.

Para obtener actualizaciones de acreditación oficiales y asesores certificados, visite The Cyber AB, el organismo de acreditación autorizado para CMMC.

Determinar los recursos necesarios

Uno de los mayores conceptos erróneos sobre CMMC es que es "un proyecto de TI".

No lo es.

CMMC es un compromiso organizacional que toca:

• Liderazgo ejecutivo
• Recursos Humanos
• Operaciones
• Ingeniería
• Comprar
• Ventas
• TI

La alta dirección tiene la responsabilidad final, pero una implementación exitosa requiere una participación interdisciplinaria.

Experiencia interna versus externa

La mayoría de los pequeños fabricantes no cuentan con especialistas internos en ciberseguridad. Si bien muchas empresas trabajan con un proveedor de servicios gestionados (MSP), es fundamental comprender:

El soporte de TI y la ciberseguridad están sinérgicos, pero no son lo mismo.

Es posible que necesites:

• Un proveedor de servicios de seguridad gestionados (MSSP)
• Un consultor de CMMC
• Un profesional registrado (RP)
• Un experto en la materia (PYME) en ciberseguridad

Las consideraciones de costos adicionales incluyen:

• Actualizaciones sobre seguros cibernéticos
• Actualizaciones del sistema
• Software de seguridad y herramientas de monitoreo
• Formación de empleados
• Desarrollo de documentación

Y quizás lo más importante:el tiempo. El liderazgo debe asignar suficiente tiempo y recursos para lograr un progreso sostenido.

Realice un análisis de deficiencias y documente su puntuación SPRS

Antes de implementar controles, debe comprender su posición actual.

Un análisis de brechas compara su postura de ciberseguridad actual con los controles requeridos para su nivel CMMC objetivo, generalmente NIST SP 800-171. para el nivel 2.

Muchas organizaciones sobreestiman su preparación. Una autoevaluación estructurada a menudo revela vulnerabilidades que se pasan por alto.

Los pasos clave incluyen:

• Evaluar políticas, procesos y controles técnicos actuales
• Califique su cumplimiento según NIST 800-171
• Ingrese su puntuación en el Sistema de riesgo de desempeño del proveedor (SPRS)
• Identificar deficiencias en la documentación y salvaguardias técnicas

Si la experiencia interna es limitada, una PYME externa puede proporcionar una evaluación inicial más objetiva y precisa.

Su puntuación SPRS se vuelve visible para el Departamento de Defensa; la precisión es importante.

Planificar, implementar, monitorear y certificar

Una vez que se identifican las brechas, comienza el verdadero trabajo.

La implementación debe seguir un plan de acción estructurado con propiedad y cronogramas claros.

Priorizar la implementación del control

Concéntrese primero en áreas de alto impacto, como:

• Protección física: Salvaguardar las instalaciones y limitar el acceso físico al CUI
• Autenticación multifactor (MFA)
• Cifrado de datos confidenciales
• Detección y protección de terminales
• Gestión del control de acceso

Identifique y mapee su flujo CUI

Documente cómo CUI entra, se mueve y sale de sus sistemas.

Si es posible, separe los flujos de trabajo relacionados con CUI de los sistemas más amplios de la empresa para minimizar el alcance y la complejidad.

Desarrollar documentación básica

Dos documentos críticos incluyen:

• Plan de seguridad del sistema (SSP): Detalla cómo se implementan y gestionan los controles de seguridad
• Plan de acción e hitos (POA&M): Identifica brechas de cumplimiento, asigna responsabilidades y describe cronogramas para su solución

También debes:

• Establecer y publicar las políticas de ciberseguridad requeridas
• Realizar capacitación sobre concientización sobre ciberseguridad en toda la organización
• Proporcionar capacitación adicional para los empleados que manejan CUI
• Supervisar los sistemas continuamente para comprobar el cumplimiento y los riesgos emergentes

Certificación:Contratar un C3PAO

Para la certificación de Nivel 2, muchas empresas requerirán la evaluación por parte de una Organización evaluadora externa certificada (C3PAO) .

Los C3PAO son un segmento emergente del ecosistema de ciberseguridad, otro recordatorio de lo nuevo que sigue siendo el CMMC. La planificación temprana es fundamental, ya que la disponibilidad de los evaluadores puede verse limitada.

Por qué esto es importante ahora

CMMC no es un requisito teórico. Actualmente se está incorporando al lenguaje contractual.

Esperar hasta que un contrato requiera una prueba de certificación puede dejar a su empresa en apuros o dejar de ser elegible.

Para los fabricantes comprometidos con servir a la cadena de suministro de defensa, el cumplimiento de CMMC no es opcional. Es un costo de entrada.

Cómo puede ayudar IMEC

IMEC comprende tanto las operaciones de fabricación como las expectativas de ciberseguridad dentro de la base industrial de defensa.

Ayudamos a los fabricantes:

• Interpretar los requisitos del contrato
• Realizar evaluaciones de deficiencias
• Desarrollar hojas de ruta de implementación realistas
• Conéctese con recursos calificados en ciberseguridad
• Prepárese para las evaluaciones C3PAO

CMMC puede resultar abrumador. Con la orientación adecuada, se vuelve manejable y estratégicamente beneficioso.

La ciberseguridad ya no se trata sólo de cumplimiento. Se trata de proteger su negocio, sus clientes y su futuro en el mercado de defensa.

Dé el primer paso hacia la preparación de CMMC

La implementación de CMMC lleva tiempo y esperar hasta que aparezca en un contrato puede poner en riesgo su trabajo de defensa.

Si no está seguro de qué nivel se aplica a su negocio, si maneja CUI o qué tan preparado está realmente, ahora es el momento de averiguarlo.

IMEC puede ayudarle a evaluar su estado actual, aclarar los requisitos y crear una hoja de ruta práctica hacia la certificación.

Conéctese con IMEC hoy para programar una discusión sobre preparación de CMMC y proteger su posición en la cadena de suministro de defensa.