La Certificación del Modelo de Madurez de Ciberseguridad (CMMC): lo que necesita saber

Se avecinan grandes cambios, tal como ocurrió con FedRAMP en 2022. El Departamento de Defensa de EE. UU. (DoD) pronto exigirá que las empresas que presenten ofertas en contratos cumplan con los requisitos de Certificación del Modelo de Madurez de Ciberseguridad (CMMC). Se espera que CMMC se convierta en ley dentro de los próximos 12 meses.

El Departamento de Defensa desarrolló el CMMC para establecer un estándar unificado de ciberseguridad para su base industrial de defensa (DIB), que incluye más de 300.000 empresas de la cadena de suministro y 77.000 subcontratistas.

El cumplimiento de CMMC podría ser una batalla cuesta arriba para muchas empresas, especialmente para los contratistas de nivel medio y pequeño que tal vez carezcan de los recursos y la experiencia para afrontar sus complejidades y requisitos. Las preguntas clave son si cumplen y si han creado un plan para cumplir. Muchos no lo han hecho.

Estos contratistas a menudo se encuentran en una posición vulnerable, ya que pueden tener dificultades para asignar el tiempo y los fondos necesarios para lograr el cumplimiento de CMMC, lo que normalmente demora entre 18 y 24 meses y aproximadamente $2M cumplir. Sin orientación y apoyo adecuados, estas organizaciones corren el riesgo de quedarse atrás y perder su capacidad de competir por contratos del Departamento de Defensa en el futuro.

Prepárese para el cumplimiento de CMMC

Para estar preparados para CMMC, los contratistas deben comenzar a determinar su nivel de CMMC requerido, según el tipo de información que manejan habitualmente. A continuación, deben realizar un análisis de deficiencias para identificar áreas en las que sus prácticas de ciberseguridad no alcanzan el nivel CMMC requerido.

Con base en los hallazgos, los contratistas deben desarrollar e implementar un plan para abordar las brechas identificadas y mejorar sus posturas de ciberseguridad. Colaborar con una organización de evaluación de terceros de CMMC (C3PAO) para programar una evaluación de CMMC también es un paso crucial.

Finalmente, los contratistas deben mantener y mejorar continuamente sus prácticas de ciberseguridad para garantizar el cumplimiento continuo de los requisitos de CMMC.

Comprender los niveles de certificación CMMC

CMMC tiene tres niveles de certificación, cada uno con requisitos de ciberseguridad cada vez mayores. Nuevamente, el nivel CMMC requerido para un contratista depende de la sensibilidad de la información del Departamento de Defensa que cada uno maneja, y se requieren niveles de certificación más altos para información cada vez más confidencial.

Nivel 1: Fundacional. (17 prácticas) Una organización debe demostrar prácticas básicas de higiene cibernética, como garantizar que los empleados cambien las contraseñas con regularidad para proteger la información del contrato federal (FCI). FCI es "información, no destinada a ser divulgada públicamente, proporcionada o generada por el Gobierno en virtud de un contrato para desarrollar o entregar un producto o servicio al Gobierno".

Una organización debe demostrar prácticas básicas de ciberhigiene, como garantizar que los empleados cambien las contraseñas con regularidad para proteger la información del contrato federal (FCI). FCI es "información, no destinada a ser divulgada públicamente, proporcionada o generada por el Gobierno en virtud de un contrato para desarrollar o entregar un producto o servicio al Gobierno".

Nivel 2: Avanzado. (110 prácticas) Una organización debe tener un plan de gestión institucionalizado para implementar buenas prácticas de higiene cibernética para salvaguardar CUI, incluidos todos los requisitos y procesos de seguridad NIST 800-171 r2.

Una organización debe tener un plan de gestión institucionalizado para implementar buenas prácticas de higiene cibernética para salvaguardar CUI, incluidos todos los requisitos y procesos de seguridad NIST 800-171 r2.

Nivel 3: Experto. (Más de 110 prácticas) Una organización debe contar con procesos estandarizados y optimizados y prácticas mejoradas adicionales que detecten y respondan a tácticas, técnicas y procedimientos (TTP) cambiantes de amenazas persistentes avanzadas (APT). Una APT es un adversario que posee niveles sofisticados de experiencia cibernética y recursos significativos para realizar ataques desde múltiples vectores. Las capacidades incluyen tener recursos para monitorear, escanear y procesar datos forenses.

Una organización debe contar con procesos estandarizados y optimizados y prácticas adicionales mejoradas que detecten y respondan a tácticas, técnicas y procedimientos (TTP) cambiantes de amenazas persistentes avanzadas (APT). Una APT es un adversario que posee niveles sofisticados de experiencia cibernética y recursos significativos para realizar ataques desde múltiples vectores. Las capacidades incluyen tener recursos para monitorear, escanear y procesar datos forenses.

Comience ahora para comenzar a cosechar recompensas pronto

Sí, lograr el cumplimiento de CMMC es un desafío y requiere esfuerzos, recursos y compromiso significativos por parte de los contratistas para cumplir con los estrictos requisitos de ciberseguridad establecidos por el Departamento de Defensa.

Sin embargo, tienes muchas opciones:

• Asóciese con proveedores de servicios de ciberseguridad experimentados
• Invertir en programas de formación y sensibilización del personal.
• Implementar herramientas y tecnologías sólidas de ciberseguridad
• Supervise y evalúe periódicamente su postura en materia de ciberseguridad

Triunfe en la era de los estándares de ciberseguridad

La introducción de CMMC marca un cambio significativo para los contratistas del Departamento de Defensa. Si bien el camino hacia el cumplimiento puede ser desafiante, es necesario proteger la información confidencial de defensa. Al comprender los requisitos, prepararse diligentemente y buscar el soporte adecuado, los contratistas pueden navegar con éxito en esta nueva era de estándares de ciberseguridad y continuar compitiendo por contratos del Departamento de Defensa.

Es un viaje en el que podemos ayudarte. Con nuestro apoyo, no sólo podrás cumplir y superar los desafíos que plantea CMMC, sino que también podrás abrir la puerta a nuevas oportunidades para tu organización.

¿Listo para comenzar? Contáctenos hoy en:

• Soluciones gubernamentales de Rackspace Technology

Russell.Rodd@Rackspace.com

Para obtener más información sobre las ofertas gubernamentales de Rackspace Technology, visite:

Soluciones de gobierno en la nube | Experiencia incomparable & Experiencia (rackspace.com)

Join the Conversation: Find Solve on Twitter and LinkedIn, or follow along via RSS.

Stay on top of what's next in technology

Learn about tech trends, innovations and how technologists are working today.