Encuesta Revela el Estado Alarmante de la Preparación en Ciberseguridad en la Base Industrial de Defensa

El Departamento de Defensa (DoD) y su vasta red de contratistas forman la columna vertebral de la seguridad nacional de EE. UU. Sin embargo, un informe reciente de CyberSheath revela una realidad profundamente preocupante: la mayoría de los contratistas de defensa están lamentablemente desprevenidos para los requisitos de la Certificación del Modelo de Madurez de Ciberseguridad (CMMC), dejando la infraestructura crítica y los datos sensibles vulnerables a las amenazas cibernéticas.

El proceso de certificación CMMC es arduo, pero nuestra hoja de ruta para el cumplimiento de CMMC 2.0 puede ayudar.

La Dura Realidad del Cumplimiento de CMMC

El estudio de CyberSheath de 2024, que amplió su alcance para incluir contratistas con hasta 1,000 empleados, pinta un panorama sombrío de la preparación en ciberseguridad en la Base Industrial de Defensa (DIB):

  • Más del 75% de los encuestados afirman cumplimiento basado en autoevaluación
  • Menos del 40% están trabajando activamente en un Plan de Seguridad del Sistema (plan de seguridad del sistema), Plan de Acción e Hitos (POA&M), controles requeridos y planes de cumplimiento continuo
  • Solo el 4% cree que su empresa está completamente lista para la certificación CMMC
  • El puntaje promedio del Sistema de Riesgo de Desempeño del Proveedor (SPRS) entre los encuestados es de -12 sobre 110, muy por debajo del mínimo requerido por DFARS de 110

Estas estadísticas revelan una desconexión significativa entre la percepción de los contratistas sobre su postura de ciberseguridad y la realidad de su preparación.

Puntos Clave

  1. Incumplimiento Generalizado

    A pesar de las autoevaluaciones que indican un alto cumplimiento, el estado real de preparación para CMMC entre los contratistas de defensa es alarmantemente bajo.

  2. Infraestructura Crítica en Riesgo

    El 89% de las empresas encuestadas operan en sectores de infraestructura crítica definidos por el DoD. Su falta de preparación en ciberseguridad representa una grave amenaza para la seguridad nacional, la estabilidad económica y la seguridad pública.

  3. Baja Adopción de Tecnologías Esenciales

    Las tasas de adopción de soluciones cruciales de ciberseguridad como la autenticación multifactor (21%), la gestión de vulnerabilidades (20%) y la gestión de parches (15%) son alarmantemente bajas, dejando a los contratistas vulnerables a ciberataques.

  4. Costos de Cumplimiento Subestimados

    El presupuesto anual promedio reportado para el cumplimiento de DFARS ($41,220) es totalmente inadecuado. Por ejemplo, solo cumplir con los requisitos de monitoreo de red 24/7 costaría a una empresa de 30-50 personas alrededor de $144,000 anualmente.

  5. Necesidad Urgente de Acción

    Con solo el 4% de los contratistas sintiéndose completamente listos para la certificación CMMC, hay una necesidad inmediata de aumentar la conciencia, la educación, la inversión en infraestructura de ciberseguridad y potencialmente una aplicación regulatoria más estricta para mejorar la postura de ciberseguridad de la DIB.

Por Qué Tan Pocos Contratistas Están Preparados

Varios factores contribuyen a la falta de preparación para CMMC entre los contratistas de defensa:

1. Los Requisitos de CMMC son Complejos y Evolutivos

Muchos contratistas encuentran desafiante entender e implementar los requisitos de CMMC debido a su complejidad y naturaleza dinámica. Aproximadamente el 40% de los encuestados calificaron el reporte de DFARS con un 8 de 10 o más en términos de dificultad. El panorama en constante evolución de las amenazas y regulaciones de ciberseguridad dificulta que las empresas mantengan el ritmo.

2. El Cumplimiento de CMMC es Costoso

Más del 50% de los contratistas destacaron impactos significativos en los costos debido a cambios continuos y herramientas y soluciones necesarias. El presupuesto anual promedio reportado para lograr y mantener el cumplimiento de DFARS es de $41,220, sin embargo, esta cantidad es lamentablemente inadecuada. Una empresa de 30-50 personas, por ejemplo, debería esperar gastar alrededor de $144,000 por año solo para cumplir con los requisitos de monitoreo de red 24/7 especificados por DFARS.

3. Los Contratistas de Defensa No Están Adoptando Tecnologías Críticas para el Cumplimiento de CMMC

El estudio revela tasas de adopción alarmantemente bajas para soluciones esenciales de ciberseguridad. Estas bajas tasas de adopción indican que muchos contratistas carecen de la infraestructura tecnológica básica necesaria para una ciberseguridad robusta. Ejemplos de bajas tasas de adopción incluyen:

  • Prevención de Pérdida de Datos (DLP): 33%
  • Solución de Gestión de Configuración de TI: 30%
  • Solución de Gestión de Información y Eventos de Seguridad (SIEM): 30%
  • Autenticación Multifactor (MFA): 21%
  • Solución de Gestión de Vulnerabilidades (VM): 20%
  • Soluciones de Gestión de Parches: 15%

4. Los Contratistas de Defensa No Están Conscientes o No Entienden CMMC

A pesar de la naturaleza crítica del cumplimiento de CMMC, muchos contratistas parecen no estar conscientes de la importancia de la regulación o de las posibles consecuencias del incumplimiento. Por ejemplo, solo el 63% de los encuestados estaban al tanto de las auditorías del Centro de Evaluación de Ciberseguridad de la Base Industrial de Defensa (DIBCAC).

5. Los Contratistas de Defensa Sobreestiman la Preparación para CMMC

La disparidad entre el cumplimiento mediante autoevaluación (más del 75%) y el puntaje promedio de SPRS (-12) sugiere que muchos contratistas sobreestiman sus capacidades de ciberseguridad. Esta confianza excesiva puede llevar a la complacencia y a no abordar vulnerabilidades críticas.

Por Qué la Falta de Preparación para CMMC es Profundamente Preocupante

Las implicaciones del incumplimiento generalizado de CMMC en la DIB son de gran alcance y potencialmente catastróficas:

1. El Incumplimiento de CMMC Representa Riesgos para la Seguridad Nacional

El 89% de las empresas representadas en el estudio operan en sectores de infraestructura crítica definidos por el DoD. Estos sectores se consideran vitales para la seguridad nacional, la estabilidad económica y la seguridad pública. Las medidas de ciberseguridad inadecuadas en estas áreas podrían tener consecuencias devastadoras si son explotadas por adversarios.

2. Los Contratistas de Defensa No Cumplidores con CMMC Son Más Vulnerables a Ciberataques

Las bajas tasas de adopción de tecnologías esenciales de ciberseguridad dejan a los contratistas de defensa altamente vulnerables a ciberataques. En una era de crecientes amenazas cibernéticas de estados-nación, esta vulnerabilidad representa un riesgo significativo para la información y tecnologías de defensa sensibles.

3. Los Contratistas de Defensa No Cumplidores con CMMC Debilitan la Cadena de Suministro de Defensa

La DIB es un ecosistema interconectado. Las debilidades en una parte de la cadena de suministro pueden comprometer toda la red. Con muchos contratistas que no cumplen con los estándares básicos de ciberseguridad, toda la cadena de suministro de defensa está en riesgo.

4. El Incumplimiento de CMMC Tiene Graves Implicaciones Económicas

Los incidentes cibernéticos pueden resultar en pérdidas financieras sustanciales. El estudio muestra que muchos contratistas ya han experimentado pérdidas debido a incidentes cibernéticos. El incumplimiento continuo podría llevar a un daño económico aún mayor, tanto para las empresas individuales como para el sector de defensa en su conjunto.

5. Los Contratistas de Defensa No Cumplidores con CMMC Pierden su Ventaja Competitiva y Debilitan la DIB

A medida que los requisitos de CMMC se vuelven más estrictos y se aplican, los contratistas no cumplidores corren el riesgo de perder su capacidad para competir por contratos del DoD. Esto podría llevar a una reducción de la DIB, impactando potencialmente la innovación y la competencia en el sector de defensa.

6. El Incumplimiento de CMMC Tiene Graves Consecuencias Legales y Regulatorias

Con una mayor conciencia de la Ley de Reclamaciones Falsas y las posibles sanciones por reportar puntajes de SPRS inexactos, los contratistas no cumplidores enfrentan riesgos legales y financieros significativos.

¿Necesitas cumplir con CMMC? Aquí tienes tu lista de verificación completa para el cumplimiento de CMMC.

Cómo los Contratistas de Defensa Pueden Mejorar su Postura de Ciberseguridad Antes del Cumplimiento de CMMC

Basado en los hallazgos del informe, aquí hay algunas formas clave en que los contratistas de defensa pueden mejorar su postura de ciberseguridad:

  1. Aumentar la inversión en tecnologías esenciales de ciberseguridad. El informe muestra tasas de adopción alarmantemente bajas para soluciones críticas como: autenticación multifactor (21% de adopción), gestión de vulnerabilidades (20% de adopción) y gestión de parches (15% de adopción). Priorizar la implementación de estos controles de seguridad básicos mejoraría significativamente la ciberseguridad.
  2. Asignar más presupuesto para el cumplimiento. El presupuesto anual promedio reportado de $41,220 es totalmente inadecuado. Por ejemplo, solo cumplir con los requisitos de monitoreo de red 24/7 costaría a una empresa de 30-50 personas alrededor de $144,000 anualmente. Los contratistas necesitan aumentar el gasto en ciberseguridad para cumplir con los requisitos de CMMC.
  3. Mejorar la precisión de las autoevaluaciones. Hay una gran desconexión entre el cumplimiento autoevaluado (más del 75%) y la preparación real (puntaje promedio de SPRS de -12 sobre 110). Los contratistas deben realizar autoevaluaciones más rigurosas para identificar brechas o contar con la experiencia de organizaciones evaluadoras de terceros certificadas (C3PAOs).
  4. Desarrollar Planes de Seguridad del Sistema (SSPs) y Planes de Acción e Hitos (POAMs) integrales. Menos del 40% están trabajando activamente en estos elementos requeridos.
  5. Aumentar la conciencia y comprensión de los requisitos de CMMC. Alrededor del 40% calificaron el reporte de DFARS como altamente difícil (8/10 o más). Los programas de educación y capacitación podrían ayudar a cerrar esta brecha de conocimiento.
  6. Involucrar experiencia de terceros. Dada la complejidad, muchos contratistas podrían beneficiarse de asociarse con empresas de ciberseguridad experimentadas o Proveedores de Servicios de Seguridad Administrados (MSSPs) para lograr el cumplimiento.
  7. Implementar procesos de monitoreo y mejora continua. La ciberseguridad no es un esfuerzo único, sino que requiere vigilancia continua para abordar amenazas en evolución.

Al enfocarse en estas áreas, los contratistas de defensa pueden hacer avances significativos en mejorar su postura de ciberseguridad y avanzar hacia el cumplimiento de CMMC.

Kiteworks Ayuda a los Contratistas de Defensa a Demostrar Cumplimiento de CMMC Con una Red de Contenido Privado Autorizada por Fed-RAMP

El informe de CyberSheath sirve como un llamado de atención contundente para la industria de defensa. La falta generalizada de preparación para CMMC entre los contratistas de defensa representa una grave amenaza para la seguridad nacional, la estabilidad económica y la integridad de la cadena de suministro de defensa. Se necesita una acción urgente de todas las partes interesadas: contratistas, el DoD y proveedores de ciberseguridad, para abordar estas vulnerabilidades críticas y fortalecer la postura de ciberseguridad de toda la base industrial de defensa.

A medida que las amenazas cibernéticas continúan evolucionando e intensificándose, el costo de la inacción supera con creces la inversión requerida para medidas de ciberseguridad robustas. La seguridad futura de la nación depende de la capacidad de la DIB para enfrentar este desafío y crear un ecosistema resiliente y conforme a CMMC que pueda proteger eficazmente la información e infraestructura de defensa crítica.

La Red de Contenido Privado de Kiteworks, una plataforma de transferencia y uso compartido seguro de archivos validada a nivel FIPS 140-2, consolida correo electrónico, uso compartido de archivos, formularios web, SFTP, transferencia de archivos administrada y una solución de gestión de derechos digitales de última generación para que las organizaciones controlen, protejan y rastrear cada archivo a medida que entra y sale de la organización.

Kiteworks soporta casi el 90% de los requisitos de CMMC 2.0 Nivel 2 de inmediato. Como resultado, los contratistas y subcontratistas del DoD pueden acelerar su proceso de acreditación de CMMC 2.0 Nivel 2 asegurándose de tener la plataforma adecuada de comunicaciones de contenido sensible en su lugar.

Con Kiteworks, los contratistas y subcontratistas del DoD unifican sus comunicaciones de contenido sensible en una Red de Contenido Privado dedicada, aprovechando controles de políticas automatizados y protocolos de seguimiento y ciberseguridad que se alinean con las prácticas de CMMC 2.0.

Kiteworks permite un cumplimiento rápido de CMMC 2.0 con capacidades y características principales que incluyen:

  • Certificación con estándares y requisitos clave de cumplimiento del gobierno de EE. UU., incluyendo SSAE-16/SOC 2, NIST SP 800-171 y NIST SP 800-172
  • Validación de Nivel 1 de FIPS 140-2
  • Autorizado por FedRAMP para Nivel de Impacto Moderado CUI
  • Cifrado AES de 256 bits para datos en reposo, TLS 1.2 para datos en tránsito y propiedad exclusiva de la clave de cifrado

Las opciones de implementación de Kiteworks incluyen en las instalaciones, alojadas, privadas, híbridas y nube privada virtual FedRAMP. Con Kiteworks: controla el acceso a contenido sensible; protégelo cuando se comparte externamente usando cifrado de extremo a extremo automatizado, autenticación multifactor e integraciones de infraestructura de seguridad; ve, rastrea e informa toda la actividad de archivos, es decir, quién envía qué a quién, cuándo y cómo. Finalmente, demuestra el cumplimiento con regulaciones y estándares como GDPR, HIPAA, CMMC, Cyber Essentials Plus, IRAP y muchos más.

Para obtener más información sobre Kiteworks, programa una demostración personalizada hoy.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks