MFT para CMMC: Asegura que tu Solución de Transferencia de Archivos Administrada cumpla con CMMC
¿Tu transferencia de archivos administrada cumple con CMMC? Si no cumples, y estás obligado a hacerlo, puede costarte contratos actuales o futuros.
¿A quién se aplica CMMC? CMMC, o Certificación del Modelo de Madurez de Ciberseguridad, se aplica a cualquiera que trabaje con el Departamento de Defensa de EE. UU., incluidos contratistas y subcontratistas. Cuando se lanzó inicialmente, la implementación de CMMC afectó a más de 300,000 organizaciones.
El proceso de certificación CMMC es arduo, pero nuestro mapa de ruta para el cumplimiento de CMMC 2.0 puede ayudar.
¿Qué es CMMC y cómo impacta en mi negocio?
CMMC es un conjunto relativamente nuevo de regulaciones de ciberseguridad que se está implementando en la cadena de suministro del Departamento de Defensa (DoD). Basado en la Publicación Especial 800-171, el Estándar Federal de Procesamiento de Información (FIPS) 200, y otros documentos publicados por el Instituto Nacional de Estándares y Tecnología (NIST), CMMC proporciona a los contratistas en la cadena de suministro un modelo de madurez que determina su capacidad para manejar Información No Clasificada Controlada (CUI).
CUI es una designación única para los datos. Creada en 2010 a través de una Orden Ejecutiva por el entonces Presidente Barack Obama, CUI define una categoría de información que, aunque no clasificada (y por lo tanto no sujeta a la ley militar o federal como tal), aún cumple un propósito esencial en la operación de agencias de defensa o ejecutivas. NIST 800-171 y CMMC describen los requisitos necesarios para proteger CUI.
Para evaluar la madurez cibernética de los contratistas, CMMC proporciona un enfoque escalonado basado en cinco niveles determinados por la higiene de ciberseguridad (que incluye el número de prácticas de seguridad técnica implementadas) y procesos (la capacidad para gestionar la seguridad organizacional).
Hay tres niveles de madurez en el marco CMMC 2.0:
- Nivel 1 de CMMC (Fundacional): Nivel 1 de CMMC requiere una autoevaluación anual que tenga la certificación de un ejecutivo corporativo. Este nivel abarca los requisitos básicos de protección para FCI especificados en la Cláusula FAR 52.204-21.
- Nivel 2 de CMMC 2.0 (Avanzado): Nivel 2 de CMMC está alineado con NIST SP 800-171. Requiere evaluaciones trienales de terceros para contratistas que envían, comparten, reciben y almacenan información crítica de seguridad nacional. Estas evaluaciones de terceros son realizadas por C3PAOs. Algunos contratistas que caen en el Nivel 2 solo requieren autoevaluaciones anuales con certificación corporativa. Este nivel abarca los requisitos de seguridad para CUI especificados en NIST SP 800-171 Rev 2 según la Cláusula DFARS 252.204-7012 [3, 4, 5].
- Nivel 3 de CMMC 2.0 (Experto): Nivel 3 de CMMC está alineado con NIST 800-172 y requerirá evaluaciones trienales dirigidas por el gobierno. El Nivel 3 contendrá 24 requisitos de NIST SP 800-172.
Es ciertamente el caso que cuando se trata de transferir archivos dentro de un contexto donde está involucrado CUI, cualquier solución de transferencia de archivos necesitaría cumplir con los requisitos mínimos de seguridad para al menos el Nivel 2 de CMMC.
¿Cómo afecta MFT al cumplimiento de CMMC?
Debido a que las regulaciones de CMMC requieren mucho más que simples medidas de seguridad técnica para proteger los datos, una solución de transferencia de archivos administrada (MFT) que cumpla proporciona numerosas capacidades de control de datos, seguridad y auditoría. Por eso muchos contratistas optan por soluciones de transferencia de archivos administradas como Kiteworks Secure MFT para manejar la transferencia de archivos empresariales.
Considera el Nivel 2 de CMMC, el nivel mínimo necesario para manejar CUI. En este nivel, una solución de transferencia de archivos administrada necesitaría incluir las siguientes características:
- Cifrado para todos los datos en reposo y en tránsito: Los algoritmos de cifrado típicos en este nivel incluyen AES-128 o AES-256 (para datos en reposo) y TLS 1.2 o superior (para datos en tránsito).
- Controles de acceso suficientes: Una solución MFT que mantenga el cumplimiento incluirá controles de acceso robustos controles de acceso—formas de limitar el acceso al sistema a usuarios autorizados, establecer límites de acceso basados en el tipo de transacción, limitar los intentos de inicio de sesión, controlar estrictamente los privilegios de usuario y verificar o controlar el número de transacciones en el sistema.
- Registros de auditoría: CMMC exige que los sistemas de TI proporcionen registros de auditoría para las acciones de los usuarios en el sistema. Esto incluye la capacidad de rastrear pasos de manera única a través del sistema, mantener registros inmutables para análisis forenses, marcar con precisión los registros, crear alertas basadas en eventos registrados, proteger la información de auditoría de manipulaciones o corrupción, y generar informes basados en registros de auditoría.
- Informes y documentación: Los MFT deben incluir formas de informar sobre la actividad en el sistema, típicamente a través de un panel que respalde los esfuerzos de informes y documentación. Estos documentos a menudo serán necesarios para abordar solicitudes de auditoría, pero también informan prácticas importantes y necesarias como la gestión de riesgos.
Puntos Clave
-
Aplicabilidad e Importancia del Cumplimiento CMMC
CMMC se aplica a todos los contratistas y subcontratistas que trabajan con el Departamento de Defensa de EE. UU. El incumplimiento puede resultar en la pérdida de contratos actuales o futuros.
-
Niveles de Cumplimiento CMMC
El marco CMMC 2.0 incluye tres niveles de madurez: Fundacional, Avanzado y Experto, cada uno con requisitos específicos. Se requiere un mínimo de cumplimiento del Nivel 2 de CMMC para manejar información no clasificada controlada (CUI).
-
Características Esenciales de MFT para el Cumplimiento
Para cumplir con los requisitos del Nivel 2 de CMMC, las soluciones MFT deben ofrecer cifrado robusto, controles de acceso y registros de auditoría detallados. Estas características aseguran transferencias de archivos seguras y el cumplimiento con los mandatos de seguridad del DoD.
-
Capacidades Adicionales de MFT
Una solución MFT que cumpla con CMMC también debe admitir transferencias de alto volumen y programadas, escalabilidad e integración con otras herramientas empresariales (por ejemplo, sistemas SIEM), mejorando tanto la seguridad como la usabilidad.
-
Kiteworks Secure MFT para Cumplimiento Integral de CMMC
Kiteworks ofrece características clave como cifrado AES-256, autorización FedRAMP, registro de auditoría integral y herramientas de visibilidad de datos como el Panel de CISO.
Además, los MFT que cumplen deben seguir trabajando con cargas de trabajo empresariales de alto rendimiento:
- Transferencias Programadas y por Lotes: Manejar transferencias de archivos grandes o transferencias por lotes de alto volumen mientras se mantiene la velocidad y agilidad son las razones principales para usar transferencias de archivos como MFT. Un MFT también permite programar estas transferencias, lo que puede cumplir un propósito esencial de descargar transferencias intensivas en la red fuera de horario.
- Escalabilidad: Un MFT proporciona una base sólida para esquemas de transferencia de archivos escalables donde las transferencias estratégicas y el monitoreo de datos pueden ajustarse más grandes o más pequeños dependiendo de las necesidades de una organización.
- Integración Empresarial: Un MFT con las integraciones adecuadas vale su peso en oro. Un MFT que pueda incorporar funcionalidad con herramientas de productividad, soluciones de gestión de información y eventos de seguridad (SIEM), plataformas en la nube y aplicaciones de computación en la nube extiende cómo una organización puede usar esos datos de manera efectiva.
¿Qué buscan los contratistas de defensa en una solución de transferencia de archivos administrada que cumpla con CMMC?
Cuando se trata de MFT y cumplimiento, las organizaciones van a evaluar cualquier solución basada en dos criterios:
- Características y Herramientas Empresariales: ¿Qué aporta esta herramienta a mi negocio? ¿Cómo ayuda a aprovechar nuestros datos de manera significativa? ¿Qué puede aportar en términos de inteligencia y conocimientos, y flexibilidad y escalabilidad?
- Cumplimiento y Seguridad: ¿Cómo proporciona esta MFT medidas de seguridad en línea con CMMC? ¿Proporciona medidas técnicas, controles administrativos, seguridad física o alguna combinación de esos tres?
Con eso en mente, una solución MFT debería marcar todas las siguientes casillas:
- La tecnología cumple con el nivel de madurez CMMC deseado mínimo.
- La tecnología proporciona auditoría y registro extensivos.
- La tecnología incluye integraciones de productividad u otras características como paneles integrados que proporcionan más control sobre cómo se utiliza el sistema.
- La tecnología admite controles MFT robustos como programación y seguimiento detallados y transferencias de alto volumen.
Kiteworks MFT para Cumplimiento CMMC
Cuando se trata de CMMC, los contratistas y subcontratistas de defensa deben trabajar con un proveedor de MFT que cumpla con los requisitos de CMMC sin sacrificar la usabilidad y funcionalidad empresarial. La Red de Contenido Privado de Kiteworks ayuda a las organizaciones a aprovechar características de MFT de vanguardia con tecnología segura y conforme.
Con Kiteworks, los contratistas de defensa obtienen lo siguiente:
- Seguridad y Cumplimiento: Kiteworks utiliza cifrado AES-256 para datos en reposo y TLS 1.3 para datos en tránsito. Su dispositivo virtual reforzado, controles granulares, autenticación y otras integraciones de pila de seguridad, junto con un registro y auditoría integral, permiten a las organizaciones lograr el cumplimiento de manera eficiente.
- Registro de Auditoría: Con los registros de auditoría inmutables de Kiteworks, las organizaciones pueden confiar en que pueden detectar ataques más pronto y mantener la cadena de evidencia correcta para realizar análisis forenses. Dado que el sistema fusiona y estandariza entradas de todos los componentes, su Syslog unificado y alertas ahorran tiempo crucial al equipo del centro de operaciones de seguridad (SOC) y ayudan al equipo de cumplimiento a prepararse para auditorías.
- Nube Privada de Tenencia Única: Las transferencias de archivos, el almacenamiento de archivos y el acceso ocurrirán en una instancia dedicada de Kiteworks, implementada en las instalaciones, en recursos de Infraestructura como Servicio (IaaS), o alojada en la nube por el servidor de Kiteworks Cloud. Eso significa que no hay tiempo de ejecución compartido, bases de datos o repositorios, recursos, o potencial para brechas o ataques entre nubes. Kiteworks también está autorizado por FedRAMP para información de Nivel de Impacto Moderado; el cumplimiento de FedRAMP simplifica el proceso de cumplimiento de CMMC ya que satisface los requisitos de NIST 800-171, una base para el Nivel 2 de CMMC.
- Escalabilidad y Consolidación de Costos: La gobernanza centralizada, el registro y la administración también ahorrarán tiempo y costos administrativos. Todos los servidores de Kiteworks vienen equipados sin problemas con uso compartido de archivos seguro y correo electrónico seguro.
- Automatización Sin Fisuras: La plataforma Kiteworks admite la automatización de MFT para facilitar la transferencia de contenido dentro y fuera de SFTP y otros repositorios como comparticiones de archivos y AWS S3.
- Facilidad de Uso de Autoservicio: Los usuarios empresariales acceden al back-end del servidor SFTP de Kiteworks a través de carpetas de uso compartido de archivos web familiares. Los empleados que son delegados por los administradores gestionan las carpetas para crear nuevos árboles de carpetas para nuevos socios o anidar nuevas carpetas para nuevos sujetos de datos.
- Visibilidad y Gestión de Datos: Nuestro Panel de CISO ofrece a las organizaciones una visión general de sus datos: dónde están, quién los está accediendo, cómo se están utilizando y si cumplen con CMMC. El Panel de CISO empodera a los líderes empresariales para tomar decisiones informadas sobre seguridad y requisitos regulatorios.
Para obtener más información sobre el cumplimiento de CMMC y la transferencia de archivos administrada, programa una demostración personalizada de Kiteworks hoy.
Preguntas Frecuentes
CMMC Nivel 1 (Fundacional): Se centra en la protección de la Información sobre Contratos Federales (FCI) y consta de 15 requisitos básicos de protección del FAR Cláusula 52.204-21. CMMC Nivel 2 (Avanzado): Se enfoca en la protección de la Información No Clasificada Controlada (CUI) e incorpora los 110 requisitos de seguridad del NIST 800-171 Rev 2. CMMC Nivel 3 (Experto): Se centra en proteger el CUI con requisitos mejorados, abarcando un subconjunto de 24 requisitos de seguridad del NIST 800-172 con parámetros aprobados por el DoD.
La implementación de CMMC 2.0 comienza con la Fase 1 (Implementación Inicial), que inicia cuando la Regla 48 CFR entra en vigor y requiere requisitos de Autoevaluación de Nivel 1 o 2. La Fase 2 comienza 12 meses después del inicio de la Fase 1 e introduce el requisito de Certificación de CMMC Nivel 2. Luego, la Fase 3 comienza 24 meses después de la Fase 1 y añade el requisito de Certificación de CMMC Nivel 3. La etapa final, Fase 4 (Implementación Completa), comienza 36 meses después de la Fase 1 y representa la implementación completa, donde todas las solicitudes y contratos deben incluir los requisitos de Nivel CMMC aplicables. El DoD mantiene la flexibilidad para implementar los requisitos de CMMC antes de estas fases planificadas para adquisiciones específicas según sea necesario.
Las organizaciones en el sector de la Base Industrial de Defensa (DIB) que procesan, almacenan o transmiten Información sobre Contratos Federales (FCI) o Información No Clasificada Controlada (CUI) deben cumplir con CMMC. Esto incluye a más de 220,000 empresas que apoyan la cadena de suministro del Departamento de Defensa (DoD), desde contratistas principales hasta subcontratistas. Estas organizaciones contribuyen a los sistemas, redes, instalaciones, capacidades y servicios del DoD, y deben cumplir con los requisitos de CMMC para proteger la información confidencial de defensa.
CMMC Nivel 2 se centra en proteger la Información No Clasificada Controlada (CUI) e incorpora 110 requisitos de seguridad especificados en NIST 800-171 Rev 2. Este nivel cubre dominios clave como controles de acceso, respuesta a incidentes, evaluación de seguridad e integridad del sistema.
CMMC 2.0 prohíbe los POA&Ms para el CMMC Nivel 1 pero los permite para el CMMC Nivel 2 y el CMMC Nivel 3. Las organizaciones deben cerrar los POA&Ms dentro de los 180 días posteriores a la finalización de la evaluación. Aunque los POA&Ms permiten un estado Condicional, todos los elementos deben cerrarse para lograr el estado Final. Los requisitos están definidos en § 170.21 de la regla final del Programa CMMC.