Establece un Rumbo para el Cumplimiento de CMMC Nivel 2: Perspectivas y Consejos de un Experto en CMMC
El 4 de noviembre de 2021, el Departamento de Defensa de EE. UU. (DoD) presentó la versión actualizada de su Certificación del Modelo de Madurez de Ciberseguridad (CMMC) 2.0. Esta nueva versión incorpora un sistema escalonado de niveles de certificación CMMC diseñado para ayudar a los proveedores en la Base Industrial de Defensa (DIB) a evaluar y mejorar su postura de ciberseguridad. Su objetivo es asegurar que todos los contratistas del DoD estén utilizando medidas y protocolos de ciberseguridad adecuados para proteger la información no clasificada controlada (CUI) y la información sobre contratos federales (FCI).
El proceso de certificación CMMC es arduo, pero nuestra hoja de ruta de cumplimiento CMMC 2.0 puede ayudar.
El Nivel 2 de CMMC es un hito crucial para que los contratistas de defensa lo alcancen. Se centra en la higiene cibernética intermedia, trabajando como un progreso lógico para que las organizaciones avancen desde el Nivel 1. Además de proteger FCI y CUI, el cumplimiento del Nivel 2 ayuda a posicionar a las organizaciones para defenderse mejor contra amenazas cibernéticas más severas que las cubiertas en el Nivel 1. Mientras que el Nivel 1 solo requiere autoevaluación, el Nivel 2 requiere autoevaluación y certificación por una organización evaluadora de terceros certificada (C3PAOs).
Requisitos de Cumplimiento del Nivel 2 de CMMC 2.0
El nivel 2 de CMMC es una etapa intermedia que requiere que las empresas implementen un conjunto específico de controles de seguridad para proteger CUI. El cumplimiento del Nivel 2 de CMMC se evalúa en base a 110 prácticas en 14 dominios que cubren un amplio espectro de medidas de ciberseguridad.
El primer conjunto de requisitos cae bajo el dominio de Control de Acceso. Dictan que las organizaciones deben establecer requisitos de acceso al sistema, controlar el acceso interno al sistema, limitar el acceso a datos a usuarios autorizados y prevenir que usuarios no privilegiados ejecuten funciones que podrían potencialmente llevar a compromisos de seguridad.
Luego viene Auditoría y Responsabilidad, requiriendo que las empresas definan los requisitos de auditoría, creen y retengan registros de auditoría del sistema, y revisen y actualicen regularmente los registros de auditoría. Además, también deben existir procesos para proteger la información y herramientas de auditoría del acceso no autorizado, y para reportar y actuar sobre cualquier deficiencia identificada.
El dominio de Gestión de Configuración requiere que una organización establezca y haga cumplir configuraciones de seguridad para todos los sistemas de información en red. Esto implica rastrear, controlar y gestionar correctamente los cambios en el sistema, prevenir el uso de software no autorizado y limitar el acceso a herramientas de cambio de configuración solo al personal autorizado.
Identificación y Autenticación es otro dominio crucial. Esto requiere que las organizaciones identifiquen a los usuarios del sistema de información y los procesos que actúan en nombre de los usuarios y autentiquen sus identidades antes de establecer una sesión, lo cual podría ser a través de autenticación multifactor o imponiendo identificadores de sesión cifrados.
En el dominio de Respuesta a Incidentes, las organizaciones necesitan establecer una capacidad operativa de manejo de incidentes, rastrear, documentar y reportar incidentes a las organizaciones apropiadas y analizar exhaustivamente la respuesta a incidentes y la escalación.
Mantenimiento y Protección de Medios también son dominios importantes en los requisitos del Nivel 2 de CMMC. El mantenimiento regular del sistema, la remediación oportuna de fallas, la inspección de herramientas, la protección y saneamiento de medios digitales, el control de acceso y el marcado de medios son esenciales para el cumplimiento.
Otros dominios como Seguridad del Personal, Protección Física, Evaluación de Riesgos, Evaluación de Seguridad, Protección del Sistema y Comunicaciones, Integridad del Sistema e Información, Recuperación, Conciencia Situacional, Gestión de Activos, Gobernanza de Ciberseguridad y Gestión de Riesgos de la Cadena de Suministro también tienen sus requisitos específicos. Estos pueden variar desde realizar evaluaciones de personal, monitorear y controlar físicamente los puntos de acceso, realizar evaluaciones de riesgos regulares, desarrollar e implementar planes para la recuperación y continuidad hasta gestionar riesgos de la cadena de suministro.
Se espera que las organizaciones también establezcan y mantengan un plan que demuestre la gestión de actividades para la implementación de prácticas. El plan detalla la misión, objetivos, planes de proyecto, recursos, capacitación y partes interesadas para lograr el cumplimiento del Nivel 2.
En total, los requisitos del Nivel 2 de CMMC presentan un conjunto integral de prácticas de ciberseguridad. Mantiene un equilibrio entre medidas de seguridad extensas y viabilidad práctica para las organizaciones, asegurando la protección efectiva de CUI sin causar interrupciones operativas significativas. El cumplimiento de estos estándares, aunque pueda parecer complejo, finalmente conduce a una mayor madurez en ciberseguridad, reduciendo vulnerabilidades y riesgos potenciales.
Lograr el Cumplimiento del Nivel 2 de CMMC 2.0
El camino para lograr el cumplimiento del Nivel 2 de CMMC 2.0 comienza con entender los requisitos específicos de este nivel de certificación. Luego se avanza a realizar un análisis de distancia para identificar áreas débiles en tus prácticas actuales de ciberseguridad que necesitan mejora. A continuación, se deben tomar acciones de remediación para abordar estas debilidades y mejorar tu postura de ciberseguridad. Idealmente, sería mejor trabajar con profesionales experimentados en ciberseguridad que puedan guiar a tu organización a través del proceso.
Preparándose para el Cumplimiento del Nivel 2 de CMMC 2.0
La preparación es clave cuando se apunta al cumplimiento del Nivel 2 de CMMC 2.0. Esto implica mejorar la capacitación en ciberseguridad para los empleados, reforzar las políticas de ciberseguridad y establecer un sistema proactivo de detección y respuesta a amenazas cibernéticas. Además, es crucial documentar todos los procesos y prácticas como prueba de cumplimiento.
En un reciente episodio de Kitecast, Michael Redman, un Asociado Senior con Schellman y entrenador y experto en CMMC, traza una hoja de ruta exitosa hacia el cumplimiento del Nivel 2 de CMMC que los contratistas y subcontratistas del DoD pueden aprovechar y revela perspectivas y consejos que pueden acelerar el proceso de certificación.
¿Está la Base Industrial de Defensa Tomando en Serio el Cumplimiento del Nivel 2 de CMMC?
La pregunta de cuán en serio está tomando la Base Industrial de Defensa el cumplimiento del Nivel 2 de CMMC es multifacética. La respuesta a la pregunta depende en gran medida del tipo de participante y su respectivo nivel de compromiso. Redman revela que, aunque la mayoría de los participantes de DIB están tomando muy en serio el CMMC 2.0, algunos están rezagados en construir una hoja de ruta hacia la certificación. Esto crea riesgos potenciales en la cadena de suministro del DoD.
Redman señala que grandes, medianas y pequeñas empresas que sirven como contratistas o subcontratistas para el DoD por igual están tomando los pasos necesarios para cumplir con CMMC. Muchas incluso comenzaron antes de que CMMC fuera oficialmente codificado en la ley. El Nivel 1 requiere solo autoevaluación, mientras que el Nivel 2 requiere autoevaluación más certificación por un tercero aprobado.
Para la certificación del Nivel 2 de CMMC, los participantes de la cadena de suministro del DoD están abordando la regulación con niveles variados de compromiso. Algunos están esperando ver “hacia dónde sopla el viento”, mientras que otros están tomando su liderazgo de la Oficina del CIO del DoD y el Departamento de Justicia, que están promoviendo activamente el CMMC.
Lamentablemente, algunos participantes permanecen en la oscuridad sobre la importancia del cumplimiento de CMMC. Estos participantes requieren la mayor educación, ya que han sido inundados con diferentes y a menudo opiniones y consejos contradictorios, dejándolos confundidos y desmotivados. Para aquellos en el DIB que se sienten abrumados, es importante recordar que CMMC está aquí para quedarse y se codificará en la ley. Como tal, es esencial encontrar los consultores y C3PAOs adecuados que puedan ayudar a guiarlos en la dirección correcta.
CMMC es una inversión a largo plazo que proporciona numerosos beneficios al DIB. Desde un mayor ROI hasta estándares de seguridad más altos y mejores capacidades de evaluación, las ganancias potenciales son inmensas. El desafío es alentar a los participantes a entender la importancia del programa y a tomar los pasos necesarios, independientemente del tamaño y tipo de su negocio, para asegurar el cumplimiento.
El Desafío de la Autoevaluación de CMMC
El DoD requiere la implementación de CMMC para sus proveedores. El cumplimiento de los niveles 1 y 2 requiere que los proveedores del DoD autoevalúen la madurez de sus prácticas de ciberseguridad basándose en los controles especificados en cada nivel. El Nivel 2 además requiere certificación por un tercero.
El desafío de la autoevaluación de CMMC es doble. Primero, hay una desconexión entre la autoevaluación de las empresas y la evaluación realizada por el DoD. Aunque el 71% de las organizaciones creen que cumplen con los requisitos de práctica del Nivel 2, el DoD en un estudio encontró que solo el 29% de ellas cumplen. Esto significa que las organizaciones no están midiendo con precisión su propio cumplimiento y, por lo tanto, no pueden prepararse adecuadamente para su evaluación de CMMC.
El segundo desafío de la autoevaluación de CMMC es el lenguaje de los estándares. Muchos de los controles están escritos de una manera que puede ser interpretada de diferentes maneras. Con este lenguaje ambiguo, el CEO de una organización puede pensar que cumplen basándose en su propia definición de la palabra “implementado”, cuando en realidad se requiere mucho más que eso para el cumplimiento. Esto puede llevar a que las organizaciones se sientan demasiado confiadas sobre su nivel de cumplimiento, cuando en realidad no cumplen, lo que lleva a evaluaciones deficientes del DoD.
Es esencial que las organizaciones tomen en serio el proceso de autoevaluación y comprendan las expectativas del DoD para tener éxito en su evaluación de CMMC. Las organizaciones necesitan obtener claridad sobre las definiciones de los requisitos de cumplimiento y estar preparadas para demostrar el cumplimiento total para pasar la evaluación del DoD. Solo a través de una comprensión exhaustiva de los requisitos y una autoevaluación precisa, las empresas podrán cerrar la brecha entre la autoevaluación y la evaluación del DoD.
Entendiendo la Implementación Faseada de CMMC 2.0
El DoD anunció recientemente que se saltarán el paso de la regla interina en la implementación del nuevo CMMC 2.0 y pasarán directamente a la regla final. Esto es un gran asunto, ya que esto significa que cuando se publique la regla final en junio, CMMC 2.0 se convertirá en una realidad.
Aunque se espera que el período de aumento tome al menos ocho meses, las organizaciones que aún no han obtenido su certificación CMMC seguirán estando sujetas al cumplimiento con 2.0. El DoD puede y realizará auditorías aleatorias para asegurar que estas organizaciones cumplan con los estándares necesarios. Es importante que las empresas entiendan que el gobierno federal no está jugando con esto, y las organizaciones que se encuentren que no han cumplido con los requisitos necesarios pueden enfrentar el cierre de sus contratos.
El Papel de los C3PAOs en el Proceso de Certificación CMMC
El CMMC ha sido diseñado para proteger FCI y CUI de ciberataques. La introducción del CMMC también resultó en la creación de Organizaciones Evaluadoras de Terceros CMMC (C3PAOs) supervisadas por el Organismo de Acreditación de CMMC (CMMC-AB).
Los C3PAOs son responsables de asegurar que los contratistas y subcontratistas del DoD cumplan con los requisitos del CMMC. Los C3PAOs son responsables de proporcionar inspecciones, evaluaciones y recomendaciones independientes, que permiten al DoD determinar si un proveedor tiene los controles de seguridad necesarios en su lugar.
Los C3PAOs ayudan al DoD a asegurar que el sistema de información del contratista sea seguro y que el contratista cumpla con los requisitos de práctica del CMMC. Además, los C3PAOs proporcionan orientación al DoD sobre la implementación del CMMC y la verificación de que sus prácticas de ciberseguridad se adhieren a los estándares del Instituto Nacional de Estándares y Tecnología (NIST) 800-171, que se reflejan en el Nivel 2 de CMMC.
Considera el Costo del Cumplimiento del Nivel 2 de CMMC 2.0
El costo de obtener el cumplimiento del Nivel 2 de CMMC 2.0 puede parecer a menudo desalentador, especialmente para las pequeñas y medianas empresas. Sin embargo, esta inversión no debe verse como un gasto innecesario, sino como un paso crucial hacia asegurar la seguridad de los datos de tu organización. Es importante recordar que el costo variará significativamente dependiendo de varios factores, incluyendo el tamaño de tu organización, la complejidad de tus sistemas de información y el estado actual de tu infraestructura de ciberseguridad.
El primer componente de costo importante del cumplimiento del Nivel 2 de CMMC 2.0 se relaciona con la preparación. Inicialmente, las organizaciones podrían necesitar gastar en evaluaciones de ciberseguridad para identificar vulnerabilidades actuales y brechas en sus sistemas. Este proceso, sin embargo, ayuda a proporcionar una hoja de ruta clara para las mejoras necesarias.
El segundo costo sustancial implica implementar los controles y soluciones de seguridad requeridos. Esto incluye la compra, instalación y mantenimiento del hardware y software necesarios. También puede requerir la incorporación de personal de ciberseguridad o la subcontratación de servicios de empresas de ciberseguridad.
Por último, el tercer costo considerable es el proceso de certificación en sí, que implica contratar una Organización de Evaluación de Terceros Certificada (C3PAO) para auditar y confirmar tu cumplimiento.
Nuevamente, el costo del cumplimiento con el Nivel 2 de CMMC 2.0 puede diferir enormemente de una organización a otra según sus circunstancias específicas. Por lo tanto, es aconsejable realizar un análisis exhaustivo de costo-beneficio antes de embarcarse en este viaje de cumplimiento. No obstante, el costo se justifica considerando los posibles impactos adversos de no cumplir, que pueden incluir sanciones significativas o pérdida de oportunidades de negocio debido a la disminución de la confianza de clientes y socios.
En total, aunque lograr el cumplimiento del Nivel 2 de CMMC 2.0 presenta sus desafíos financieros, es una inversión esencial en la futura salud cibernética de tu organización. Al proteger tus sistemas y datos de amenazas potenciales, estás, a su vez, protegiendo la reputación de tu empresa y sosteniendo su crecimiento a largo plazo.
Kiteworks Acelera el Cumplimiento del Nivel 2 de CMMC 2.0
La Red de Contenido Privado de Kiteworks soporta casi el 90% de los requisitos del Nivel 2 de CMMC 2.0 de manera predeterminada, más que cualquier otro proveedor de comunicaciones de contenido sensible en la industria. Una de las razones de la posición de liderazgo de Kiteworks cuando se trata de CMMC es el hecho de que la Red de Contenido Privado está autorizada por FedRAMP para Impacto de Nivel Moderado durante años consecutivos. También presume de cumplimiento con otros estándares de la industria como FIPS 140-2, ISO 27001, 27017, 27018, SOC 2, y otros.
Y con un dispositivo virtual reforzado envolviendo la Red de Contenido Privado de Kiteworks, las comunicaciones de datos de archivos y correos electrónicos para organizaciones del sector público y privado, tanto las enviadas internamente como a terceros, se mantienen privadas y permanecen confidenciales.
Para entender cómo Kiteworks puede ayudar a tu organización a acelerar el cumplimiento de CMMC, programa una demostración personalizada hoy.