Las 6 preguntas principales sobre CMMC

Lo que los fabricantes deben saber

La ciberseguridad no es un tema nuevo en la fabricación. En el momento en que los equipos conectados, el software innovador y los sistemas robóticos avanzados comenzaron a llegar al taller, la ciberseguridad fue parte de la conversación. La ciberseguridad llegó a los titulares junto con los artículos de la Industria 4.0, pero el zumbido de las nuevas tecnologías llamativas dominó la conversación.

Los fabricantes tienden a dejar la ciberseguridad en un segundo plano. Esto ya no será una opción para muchos. La industria manufacturera se ha clasificado constantemente en el top 5 de las industrias más vulnerables y objetivo de ataques cibernéticos. Los sectores de atención médica, servicios financieros y agencias gubernamentales se han mantenido con un estándar más alto en lo que respecta al cumplimiento de la seguridad y la gestión de riesgos. La industria manufacturera aún no se ha sometido a un estándar más alto y, por lo tanto, es aún más vulnerable al ciberdelito.

La Certificación del Modelo de Madurez de Ciberseguridad (CMMC) está presionando a la industria y a continuación se encuentran las 6 preguntas críticas que los fabricantes deben hacer.

¿Qué es CMMC?

CMMC son las siglas de Cybersecurity Maturity Model Certification. Esta certificación adopta un enfoque único para garantizar que la propiedad intelectual crítica permanezca segura. Al principio, CMMC solo será necesario para los fabricantes y proveedores que manejan información no clasificada controlada (CUI) para el Departamento de Defensa (DoD).

La Certificación del Modelo de Madurez de Ciberseguridad (CMMC) es el método para certificar que existen los niveles adecuados de procesos y protecciones de ciberseguridad para los aproximadamente 300,000 contratistas y subcontratistas en la cadena de suministro del DoD. El proceso de CMMC ahora requerirá que una organización de evaluación de terceros de CMMC (C3PAO) certifique que las empresas se quejan y que CUI es seguro.

Hay 5 niveles de madurez que forman parte del CMMC que van desde "Higiene de ciberseguridad básica" hasta "Avanzado / Progresivo". A medida que aumenta el nivel de madurez, también lo hacen las reglas y pautas que una empresa debe seguir para obtener la certificación y seguir cumpliendo.

¿Por qué se está creando CMMC?

El Departamento de Defensa reconoció los ciberataques como una amenaza significativa, especialmente para los subcontratistas pequeños y medianos que apoyan a los primos más grandes. Los malos actores reconocieron que los primos estaban gastando más recursos para prevenir ataques y que su cadena de suministro era un objetivo más fácil. Los requisitos de ciberseguridad de la Publicación especial (SP) 800-171 del Instituto Nacional de Estándares y Tecnología (NIST) se desarrollaron para proteger la información confidencial para que los contratistas que trabajan con el Departamento de Defensa (DoD) se adhieran al Suplemento del Reglamento de Adquisiciones Federales de Defensa (DFARS) 252.204 -7012 cláusula. Cuando el Departamento de Defensa estimó que solo un pequeño porcentaje de la cadena de suministro cumplía con estas pautas, se creó la Certificación del Modelo de Madurez de Ciberseguridad (CMMC).

Desafortunadamente, los ciberataques son algo cotidiano. “Con más del 80 por ciento de la información de defensa nacional viviendo en las redes de los socios, ya no es una conversación sobre lo que está haciendo o lo que estoy haciendo yo; es más importante lo que estamos haciendo como colectivo para proteger la defensa nacional ”, dijo Katie Arrington, asistente especial del Subsecretario de Defensa para la Adquisición de Cyber, y uno de los principales defensores del CMMC.

En diciembre de 2018, los piratas informáticos chinos robaron información de los contratistas de la Marina que incluía datos de mantenimiento de barcos y planes de misiles. Estas acciones son una amenaza directa a la seguridad nacional. Incluso si un gran proveedor del Departamento de Defensa como Lockheed Martin tiene un programa de ciberseguridad de primer nivel, todos los subcontratistas y proveedores de la cadena de suministro del Departamento de Defensa también deben protegerse a sí mismos o, de lo contrario, se convertirán en un punto de entrada para los ciberdelincuentes. Solo un eslabón débil en la cadena de suministro del Departamento de Defensa puede poner en riesgo a todo el país.

¿Mi empresa necesita CMMC?

Toda empresa debería invertir en fortalecer su ciberseguridad. Según Radware Survey, el costo estimado por ciberataque es de 4,6 millones de dólares ¹ . El 13% de los participantes de la encuesta experimentó un ataque cibernético que le costó a su empresa $ 10 millones o más, una cifra que se duplicó en solo un año entre 2018 y 2019. Los expertos en la materia de seguridad cibernética del Programa de Extensión de Manufactura de Nueva Jersey (NJMEP) sugieren que todos los fabricantes lo harían Benefíciese de lograr el equivalente de "Higiene Cibernética Intermedia", o Nivel 2 del CMMC como una mejor práctica. Para los contratistas del Departamento de Defensa, el nivel de madurez dependerá de en qué parte de la cadena de suministro del Departamento de Defensa se ubica una empresa.

La identificación de cuál de los cinco niveles de madurez de CMMC debe cumplir un proveedor, subcontratista o fabricante del DoD será determinado por el contratista principal del DoD o puede descubrirse a través de un análisis de brechas de CMMC. Todos los proveedores, subcontratistas o fabricantes que realicen algún trabajo, sin importar cuán mínimo sea, con el DoD necesitarán algún nivel de CMMC, pero el nivel de madurez diferirá según la información que manejen las empresas y el trabajo que se esté realizando.

Si una empresa de Base Industrial de Defensa (DIB) no posee Información Controlada No Clasificada (CUI) pero posee Información de Contrato Federal (FCI), debe cumplir con la Cláusula FAR 52.204-21 y debe estar certificada con un mínimo de CMMC Nivel 1.

¿Cuándo debo iniciar el proceso de certificación?

Ahora. Los proveedores, subcontratistas y fabricantes del DoD deben comenzar el proceso de convertirse en CMMC lo antes posible para evitar el riesgo de perder contratos críticos del DoD. De principio a fin, el proceso puede durar más de un año. En junio de 2020, CMMC comenzó a aparecer en RFI. Las empresas pueden esperar que las RFP mencionen CMMC a partir de septiembre de 2020 y las evaluaciones comenzarán en el otoño de 2020.

Actuar ahora y trabajar con un consultor íntimamente familiarizado con el CMMC y el marco desde el cual se originó el CMMC, NIST 8001-171, será vital. La certificación comienza con una evaluación para identificar en qué parte del nivel de madurez de CMMC reside actualmente una organización. El siguiente paso sería realizar un análisis de brechas en profundidad y luego pasar a la remediación de servicio completo. Cada nivel de madurez de CMMC requiere una cantidad diferente de tiempo y esfuerzo. Sin embargo, comenzar lo antes posible reducirá la carga sobre la empresa, el liderazgo y la fuerza laboral.

¿Qué sucede si no obtengo la certificación?

Para contratistas, subcontratistas, proveedores o fabricantes del Departamento de Defensa ...

Lograr el nivel CMMC necesario con madurez podría significar la diferencia entre asegurar el próximo contrato con el Departamento de Defensa o no. Los contratistas principales del Departamento de Defensa comenzarán a exigir a todos los subcontratistas que cumplan con estas nuevas reglas críticas. Cualquier fabricante que no cumpla con estas pautas y alcance el nivel CMMC adecuado con madurez no podrá continuar realizando negocios con el Departamento de Defensa.

Para fabricantes que no pertenecen al Departamento de Defensa…

A partir de ahora, los contratistas del Departamento de Defensa son los únicos en riesgo de perder el trabajo del Departamento de Defensa si no adquieren el CMMC. Sin embargo, los fabricantes pequeños y medianos siempre corren el riesgo de que un ciberataque paralice completamente su negocio, a veces hasta el punto en que nunca podrán recuperarse financieramente. Esta certificación proporciona a los fabricantes que no pertenecen al Departamento de Defensa una fantástica línea de base de ciberseguridad y mejores prácticas. Dependiendo de los resultados de una evaluación de ciberseguridad, una empresa puede determinar qué nivel de madurez funcionaría mejor para ellos.

¿Quién puede responder todas mis otras preguntas sobre CMMC?

Adquirir CMMC puede ser un desafío, especialmente sin el apoyo adecuado. La certificación aún está en su infancia, lo que crea un entorno difícil para que los fabricantes naveguen por su cuenta. Explorar sitios web como acq.osd.mil/cmmc/faq.html o trabajar junto a consultores como NJMEP son las mejores formas de comenzar y ayudarán a convertir un proceso abrumador en un valor agregado optimizado para cualquier negocio.

Comprender el CMMC, qué empresas se verán afectadas, cuándo actuar e identificar el nivel de madurez necesario puede resultar intimidante. No lo hagas solo. La ciberseguridad es fundamental pero puede resultar compleja. Trabajar con el equipo adecuado y tener acceso a la información adecuada resultará invaluable.

Tenga cuidado

Ha habido tantas preguntas sobre este tema y tantos desarrollos durante su implementación. Al principio, había muchas empresas que afirmaban poder ayudar y cobrar una cantidad significativa, incluso cuando la versión final de las pautas ni siquiera se había decidido o comunicado. Hay innumerables empresas que venden soluciones o servicios para ayudar y puede ser difícil determinar en quién confiar. Esto no es algo que pueda simplemente subcontratarse a un proveedor de servicios gestionados (MSP) que afirme estar familiarizado con los requisitos.

1.https://www.radware.com/newsevents/pressreleases/c-suite-2019