¿Por qué es importante el cumplimiento de la Certificación del Modelo de Madurez de Ciberseguridad (CMMC)?
La Certificación del Modelo de Madurez de Ciberseguridad fue diseñada para proteger los datos controlados y confidenciales que se entregan a una organización como parte de un contrato de defensa. Esto incluye tanto la Información de Contratos Federales (FCI, por sus siglas en inglés) como la Información No Clasificada Controlada (CUI, por sus siglas en inglés).
¿Quién necesita esta certificación?
Cualquier organización que planee trabajar como contratista principal o subcontratista en un contrato de defensa tendrá que lograr el cumplimiento de la Certificación del Modelo de Madurez de Ciberseguridad una vez que el reglamento entre plenamente en vigor. El nivel de cumplimiento CMMC requerido dependerá del propio contrato, del papel de la organización dentro del contrato y del acceso de la empresa a FCI y CUI como parte del contrato.
Los detalles de CMMC 2.0 aún están en proceso y no se espera que el estándar se implemente hasta mayo de 2023. En ese momento, los contratos de defensa comenzarán un periodo de introducción progresiva de 5 años hasta que todos los nuevos contratos exijan el cumplimiento del CMMC.
Niveles de CMMC
Originalmente, la Certificación del Modelo de Madurez de Ciberseguridad incluía cinco niveles de cumplimiento desglosados en prácticas y procesos. Sin embargo, una revisión de la norma a CMMC 2.0 eliminó los procesos y redujo los niveles a los tres siguientes:
- Básico (Nivel 1)
- Avanzado (Nivel 2)
- Experto (Nivel 3)
Estas modificaciones eliminaron las fases "transicionales" 2 y 4, conservando tres niveles progresivos. Estas modificaciones pretendían disminuir la complejidad y el coste asociados al cumplimiento de la normativa para las pequeñas y medianas empresas (PYME).
Como resultado de las modificaciones, el CMMC refleja fielmente el cumplimiento de las normas del NIST. El cumplimiento del nivel 2 equivale al cumplimiento total de la norma NIST SP 800-171, mientras que el nivel 3 se basa también en la norma NIST SP 800-172.
Requisitos de cumplimiento del CMMC
El nivel de cumplimiento del CMMC que deberá alcanzar una organización dependerá de los detalles del contrato en cuestión. Sin embargo, se aceptará que todos los contratistas de defensa alcancen al menos el Nivel 1 de cumplimiento de la Certificación del Modelo de Madurez de la Ciberseguridad, que se ocupa de la protección de las FCI. Se necesitarán mayores niveles de cumplimiento para las organizaciones con acceso a la CUI.
Los requisitos para el cumplimiento dependen del nivel exigido e incluyen:
- Nivel 1: El cumplimiento del nivel 1 requerirá una autoevaluación anual respecto a 17 controles de seguridad. Estos controles se describen en FAR 52.204-21 Protección básica de la información del contratista cubierto.
- Nivel 2: El cumplimiento del nivel 2 es necesario para las organizaciones con acceso a la CUI y equivale al cumplimiento total de la norma NIST SP 800-171. El cumplimiento del nivel 2 requiere evaluaciones una vez cada tres años por parte de un auditor externo para algunos programas y autoevaluaciones anuales para otros, dependiendo de la sensibilidad de la información implicada.
- Nivel 3: El cumplimiento del nivel 3 requiere el cumplimiento total de la norma NIST SP 800-171 y el cumplimiento de algunos de los controles de la norma NIST SP 800-172. Las auditorías de cumplimiento del nivel 3 del CMMC serán dirigidas por auditores gubernamentales.
Dado que el CMMC 2.0 aún está en fase de desarrollo, los requisitos exactos para el cumplimiento de cada nivel aún están en proceso de cambio. Sin embargo, ya se ha definido el conjunto de controles y procesos de seguridad necesarios para el cumplimiento de los niveles 1 y 2, lo que permite a las organizaciones adelantarse en la consecución del cumplimiento antes de que se les exija participar en los contratos de defensa.
Cómo obtener una certificación CMMC
El proceso para obtener una certificación CMMC depende del nivel de cumplimiento exigido. Para aquellos niveles que solo requieren autoevaluación, el CMMC ha publicado una Guía de Evaluación. Tras completar la autoevaluación, un alto cargo de la empresa deberá afirmar anualmente el cumplimiento de la misma.
Para el cumplimiento de la CMMC que requiere auditorías de terceros, una organización tendrá que programar estas auditorías con una Organización de Evaluación de Terceros Acreditada (C3PAO) y potencialmente con un evaluador gubernamental. La lista de C3PAO acreditados está disponible en CMMC Marketplace, y los procesos para participar y completar auditorías estarán disponibles más cerca de la fecha de entrada en vigor de CMMC 2.0.
Alcance el cumplimiento de la CMMC con Check Point
Alcanzar y mantener el cumplimiento de la Certificación del Modelo de Madurez de Ciberseguridad requiere el cumplimiento de NIST SP 800-171 y potencialmente NIST SP 800-172 en cualquier sistema con acceso a FCI y CUI. Para lograrlo es necesario implantar los controles de seguridad requeridos y demostrar el cumplimiento continuo.
CloudGuard de Check Point puede ayudar a las organizaciones a lograr y mantener el cumplimiento de la CMMC realizando un seguimiento continuo de los sistemas corporativos para el cumplimiento de la normativa. Para saber más sobre cómo Check Point puede ayudar a su organización a Implementar los controles de seguridad requeridos y monitorearlos y mantenerlos a largo plazo, regístrese para una demostración gratuita de CloudGuard.
Comentarios