CMMC (Certificación del Modelo de Madurez de Ciberseguridad) está ganando rápidamente popularidad en las comunidades de TI y seguridad. El gobierno, especialmente el Departamento de Defensa, utiliza el sistema CMMC (Certificación del Modelo de Madurez de Ciberseguridad) de niveles de cumplimiento para evaluar si una empresa cuenta con la seguridad necesaria para gestionar datos regulados o susceptibles. Las empresas que desean cooperar con el Departamento de Defensa deben ser calificadas por CMMC y adherirse a sus normas. Esto se logra generalmente mediante la creación de un marco CMMC, su adhesión a él y la aplicación de las mejores prácticas de CMMC.
Analicemos el cumplimiento de CMMC con más detalle, incluidos quiénes lo requieren y dónde podría encajar su organización.
¿Qué es CMMC?
El CMMC existe desde hace tiempo, pero recientemente se actualizó. Una corporación debe consultar el marco y los documentos actuales del CMMC para determinar su nivel. Este proceso puede ser largo; por lo tanto, muchas organizaciones buscan la ayuda de un socio experto para determinar su posición en el sistema de CMMC y si existen brechas u oportunidades de crecimiento.
El objetivo principal del CMMC es evaluar la madurez de las iniciativas actuales de ciberseguridad de una organización. Esto implica si la empresa... puede mejorar y optimizar su seguridad manteniéndola simultáneamente.
Para las empresas del DIB, el programa de Certificación del Modelo de Madurez de Ciberseguridad (CMMC) eleva el estándar de ciberseguridad. Su objetivo es proteger...información clasificada que el Departamento de Defensa comparte con sus contratistas y subcontratistas. Esta iniciativa proporciona al Departamento de Defensa mayor certeza de que los contratistas y subcontratistas cumplen con un conjunto de criterios de ciberseguridad y los integra en los programas de adquisiciones.
Tres características clave del marco:
Modelo escalonado
El CMMC exige que, según el tipo y la gravedad de la información, las organizaciones con acceso a información de seguridad nacional apliquen requisitos de ciberseguridad a niveles cada vez más altos. El programa también describe cómo debe transmitirse la información a los subcontratistas.
Requisito de evaluación
Las evaluaciones CMMC brindan al Departamento de Defensa una forma de confirmar que se están siguiendo los estándares de ciberseguridad definidos.
Implementación basada en contratos
Una vez que CMMC se haya implementado por completo, ciertos contratistas del Departamento de Defensa que manejan información confidencial no clasificada del Departamento de Defensa deberán alcanzar un nivel específico de CMMC. a se le adjudique un contrato.
¿Quién requiere la certificación CMMC?
Las organizaciones que utilizan información del Departamento de Defensa (DoD) deben contar con la acreditación CMMC. Es posible que la organización solo requiera una autorización de Nivel 3 o inferior si trabaja con información no clasificada del DoD. La organización... exigir autorización de Nivel 4 o superior si se trata de alguna valioso información. El proyecto, sin embargo, determina las clases.
Niveles de certificación CMMC
La certificación CMMC tiene un total de cinco niveles, siendo el Nivel 1 el más bajo y el Nivel 5 el más alto.
La mayoría de las Las empresas ya deberían haber alcanzado el Nivel 1, que incluye medidas de seguridad fundamentales, buenas prácticas de contraseñas y software antivirus. Es el tipo más básico de... seguridad.
En el nivel 5, se implementan sistemas y procedimientos para auditar la infraestructura, detectar deficiencias y subsanarlas. También se emplean técnicas proactivas para detectar y mitigar riesgos antes de que se materialicen. El sistema de Nivel 5 se mejora continuamente.
Según el CMMC, los niveles son acumulativos. Por lo tanto, las empresas de Nivel 3 cumplirán con los estándares de Nivel 3, Nivel 2 y Nivel 1.
Independientemente de que interactúen con el gobierno o no, la mayoría de las empresas deberían aspirar a un cumplimiento de Nivel 4 o Nivel 5. Una auditoría de un proveedor de servicios gestionados puede serles de ayuda.
Componentes del marco
Los elementos CMMC en acción son:
- Dominios
- Procesos
- Capacidades
- Prácticas
Los contratistas eventualmente se certifican hasta cierto punto a medida que mejoran en sus evaluaciones de cada uno de estos componentes.
En cada nivel del modelo, se evalúa a los contratistas principales y subcontratistas federales en cuanto a su cumplimiento de los Procesos y Prácticas relacionados con cada uno de los Dominios relevantes.
No todos los dominios incluyen los cinco niveles. Los dominios se refieren a cualquier número consecutivo de niveles entre 1 y 5, o a cualquier mínimo y máximo.
¿Cómo se puede obtener la certificación CMMC?
Para el CMMC, las empresas no pueden autocertificarse. En su lugar, se requerirá un procedimiento de certificación independiente para los contratistas gubernamentales y cualquier persona que interactúe con organizaciones gubernamentales. El grado de madurez y preparación que alcancen se determinará mediante la evaluación que este tercero realice de sus procedimientos y sistemas de seguridad actuales.
La mayoría de las Las empresas realizarán una auditoría completa antes de solicitar la certificación CMMC, ya que esta no puede autocertificarse y requiere un estudio externo. Un proveedor de servicios gestionados puede ayudar a una empresa a familiarizarse con el marco CMMC, determinar la viabilidad de los cambios y establecer el propio procedimiento de certificación. Una vez finalizado el procedimiento de certificación, un proveedor de servicios gestionados también puede desarrollar una estrategia para elevar el nivel de certificación, si es necesario.
La certificación CMMC es una de las certificaciones de seguridad más solicitadas por las empresas, debido a los cambios recientes en los requisitos. Una vez que la empresa reciba la acreditación CMMC, podrá acceder a contratos federales y trabajar con información privilegiada.
¿Qué pasa si no estás trabajando con el Gobierno?
Su empresa podría requerir el cumplimiento de CMMC si trabajar con el gobierno es algo son Interesado en. Según el contrato, pueden requerirse varios niveles de cumplimiento de CMMC. Por ejemplo, muchos contratos simplemente exigen el Nivel 1 o el Nivel 2, mientras que otros pueden exigir el Nivel 5. Obviamente, los contratos con mayores requisitos de certificación CMMC son también los que tienen más probabilidades de ser rentables.
Pero eso no necesariamente significa que tú - Exija el cumplimiento de CMMC si no trabaja con contratos gubernamentales o del Departamento de Defensa. Las ideas fundamentales del cumplimiento de CMMC se basan en la constancia y la proactividad. seguridad Mejores prácticas. Incluso para su propia tranquilidad, todas las empresas deberían poder cumplir con la CMMC.
Conclusión
Según estimaciones, la ciberdelincuencia reduce el PIB mundial en más de 600 000 millones de dólares al año. Al recurrir a una amplia red de contratistas para llevar a cabo su misión, el Departamento de Defensa otorga a cada uno de ellos acceso a información vital, lo que eleva el perfil de riesgo general del DIB. El Departamento de Defensa es consciente del coste y el desproporcionado peligro que la ciberdelincuencia representa para sus subcontratistas, muchos de los cuales son pequeñas empresas sin las capacidades de sus contrapartes más grandes y de mayor envergadura.
Considerando esto, el Departamento de Defensa lanzó CMMC para facilitar que toda su base mundial de contratistas implemente las mejores prácticas en ciberseguridad con una estrategia de “defensa en profundidad”.
