Lo que necesita saber sobre la certificación CMMC

A medida que la Certificación del Modelo de Madurez de Ciberseguridad (CMMC) se acerca a la implementación completa, las organizaciones afectadas se apresuran para asegurarse de que pasarán el proceso de certificación.

El objetivo es simple:las organizaciones deben cumplir con los estándares mínimos de ciberseguridad y, al hacerlo, hacen su parte para mejorar la seguridad nacional. Hay mucho en juego para las aproximadamente 300.000 organizaciones de base industrial de defensa (DIB) que pronto necesitarán ser certificadas en uno de los cinco niveles de CMMC para ser elegibles para obtener un contrato federal. En pocas palabras:sin certificación, sin contrato. Desde la perspectiva del gobierno de EE. UU. Y el Departamento de Defensa, siempre ha habido mucho en juego, ya que la DIB juega un papel fundamental en la defensa de nuestra nación. La única forma de garantizar la protección de nuestros datos y la integridad de la cadena de suministro es mantener a la industria en un estándar más alto.

¿Cómo llegamos aquí?

La actividad adversa de actores estatales y no estatales continúa aumentando, y los costos económicos son asombrosos - $ 5 billones a nivel mundial - según algunas estimaciones. Otras estimaciones muestran que el costo para la economía de Estados Unidos estuvo entre $ 57 mil millones y $ 109 mil millones en 2016. Sin embargo, la necesidad de CMMC no se trata solo de intereses económicos, se trata de defendernos colectivamente. Las empresas grandes y pequeñas contribuyen al éxito del combatiente estadounidense y todas tendrán el mismo nivel de responsabilidad que CMMC.

En el espacio federal, solo se necesita un vistazo rápido a un determinado avión de combate para conectar los puntos de lo importante que es asegurar las organizaciones que, en última instancia, protegen y defienden nuestro país. En el espacio comercial, la brecha de Target mostró cómo los socios comerciales pueden ser el eslabón débil que, en última instancia, facilita un ataque. Al hacer que la DIB sea más responsable, ayudamos a cumplir no solo con un nuevo requisito comercial, sino que también cumpliremos con un imperativo estratégico para ser más resistentes a los ataques. Los tiempos han cambiado y también la forma en que hacemos negocios. Nos guste o no, maniobramos en el campo de batalla moderno donde palabras como "guerra", "espionaje" y "crimen" van precedidas de "ciber", lo que significa que las entidades públicas y privadas deben estar preparadas con una respuesta moderna.

¿Qué es CMMC?

CMMC tiene cinco niveles de controles técnicos y de procedimiento que tienen como objetivo proteger la información no clasificada controlada (CUI) y la información de contrato federal (FCI) para los contratistas del DoD. Para alcanzar el nivel 5 de CMMC, las organizaciones deberán pasar por la implementación y evaluación de 171 controles técnicos y de procedimiento. La mayoría de los profesionales de la seguridad cibernética en el espacio federal encontrarán que la mayor parte de los controles de CMMC son familiares. De hecho, para alcanzar el nivel 3 de CMMC, casi todos los controles se encuentran en NIST SP 800-171. Las organizaciones que pronto requerirán la certificación de CMMC ya tienen el mandato de cumplir con los controles descritos en NIST SP 800-171 desde 2016. La diferencia clave es que las organizaciones ya no pueden autocertificarse y presentar un plan de acciones e hitos para abordar las deficiencias. . Las organizaciones que buscan la certificación deben ser evaluadas formalmente por una Organización Asesora Tercera de CMMC o un asesor certificado por el Organismo de Acreditación de CMMC, una organización sin fines de lucro encargada de certificar la preparación de los evaluadores. Si bien no se han dado fechas para cuándo comenzarán las evaluaciones, recientemente se inició la capacitación para el primer grupo de evaluadores de CMMC.

¿Qué hacer ahora?

La preparación de CMMC es un ejercicio para implementar los fundamentos de la ciberseguridad y la mejora continua para lograr una mayor resiliencia. Los niveles de CMMC son acumulativos y escalonados para que un nivel se acumule en el siguiente, por lo que para alcanzar el nivel 4, debe cumplir completamente con el nivel 3. Cada nivel se correlaciona con el nivel de sofisticación de sus prácticas de seguridad, comenzando con la higiene básica y la elevación. a medidas más avanzadas y proactivas como la caza de amenazas en el Nivel 5. Con 171 controles de complejidad creciente, pregunta por dónde empezar.

• Edúquese usted mismo: Comprender las políticas y los controles técnicos descritos por CMMC.
  • Aquí está la versión 1 de CMMC.
  • Estas son las preguntas frecuentes de CMMC.
• Determina qué nivel es el adecuado para ti: Las organizaciones deberán decidir qué nivel de certificación buscan. Las organizaciones que almacenan solo FCI pueden tener contenido que alcance CMMC Nivel 1 y las organizaciones que almacenan y manejan CUI o contribuyen a esfuerzos más sensibles probablemente deseen obtener la certificación CMMC Nivel 3 o superior. El DoD enumerará el requisito de nivel CMMC en la solicitud de propuestas.
• Conócete a ti mismo: Comprenda y documente su entorno desde su red interna hasta sus socios comerciales. A menudo se dice que “no se puede defender lo que no se sabe”, y es cierto. Debe comprender su segmentación, sistemas y superficie de ataque antes de poder defenderla.
• Autoevaluación: Determine cómo se compara con los controles para el nivel de certificación que busca su organización. Identifique los controles que no se cumplan actualmente, planifique cómo resolver los problemas y reevalúe. Para obtener flexibilidad en el futuro, identifique lo que necesitaría su organización para alcanzar el siguiente nivel.
• Comprar en: Somos tan fuertes como nuestro eslabón más débil; comprender que CMMC está diseñado para ayudar a mitigar los riesgos de hacer negocios en el sector de la defensa. Algunos controles serán simples o ya se están realizando, y otros pueden requerir el apoyo de varias partes de su organización. Es posible que necesite aprobaciones, aumento de presupuesto o patrocinio ejecutivo. Algunos controles pueden resultar un trabajo pesado desde una perspectiva técnica. Toda la organización deberá participar, ser pragmática y hacer su parte para apoyar y proteger la misión.
• Sea flexible: CMMC es nuevo y crea puentes entre las grandes entidades complejas con el DoD y DIB. Estas son organizaciones enormes, todavía hay incógnitas con CMMC, y lo que se conoció hace un mes puede cambiar. Por lo tanto, sea flexible, tenga paciencia y sepa que todos debemos hacerlo mejor para proteger lo que valoramos.

Ya sea que necesite estar certificado en CMMC Nivel 1 o 5, o tal vez su organización ni siquiera haga negocios con el DoD, los estándares establecidos por CMMC son una hoja de ruta para que cualquier organización madure su postura de ciberseguridad. Independientemente de su punto de partida, lograr el cumplimiento de CMMC representará un desafío tanto para las organizaciones pequeñas como para las grandes, pero el resultado es la mejora que necesitamos desesperadamente. Asegurar nuestros datos y propiedad intelectual es lógico y absolutamente necesario para mantener una ventaja tecnológica sobre nuestros adversarios. La evaluación continua y la mejora en la práctica de los fundamentos de la ciberseguridad son fundamentales para lograr un nivel de resiliencia digital que nos permita combatir las amenazas modernas.

Wayne Lloyd es director de tecnología federal de RedSeal.