Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Cumplimiento Regulatorio > Cómo Reducir los Riesgos de Cumplimiento de CMMC en Toda la Cadena de Suministro

Cómo Reducir los Riesgos de Cumplimiento de CMMC en Toda la Cadena de Suministro

by Tim Freestone updated noviembre 28, 2024 Cumplimiento Regulatorio
Reading Time: 6 minutes

A partir de 2025, CMMC 2.0 será un requisito normativo para trabajar con el DoD. Tanto los contratistas del Reino Unido como los de EE. UU. están en el proceso de implementar los requisitos de cumplimiento, pero ¿están tus socios haciendo lo mismo?

Como un enlace esencial en su cadena de suministro, los contratistas y subcontratistas de la Base Industrial de Defensa (DIB) representan un posible riesgo de ciberseguridad para el DoD. Si los contratistas desean cumplir con CMMC 2.0, evaluar su propia cadena de suministro para asegurarse de que cumplen con altos estándares de seguridad es esencial. En este artículo discutimos cómo puedes reducir los riesgos en tu cadena de suministro, proporcionando cuatro pasos prácticos que puedes tomar para evaluar la postura de seguridad y cumplimiento de tus socios.

Por qué el cumplimiento de CMMC trasciende tu cadena de suministro

Las amenazas de ciberseguridad son cada vez más sofisticadas y cualquier brecha en un proveedor de terceros podría representar un riesgo para el DoD y la seguridad nacional de EE. UU. La reciente brecha del Ministerio de Defensa (MoD), donde se accedió a datos de personal a través de un proveedor de sistema de nómina de terceros, demuestra la importancia de la seguridad en la cadena de suministro.

Por lo tanto, las organizaciones gubernamentales a menudo tienen regulaciones que requieren que sus proveedores cumplan con ciertos estándares de ciberseguridad. Por ejemplo, el MoD tiene la Defence Cyber Protection Partnership (DCPP), que fue diseñada para mejorar la protección de la cadena de suministro de defensa contra amenazas cibernéticas.

CMMC 2.0 tiene implicaciones similares para las organizaciones que trabajan con el DoD, o un contratista o subcontratista. Las directrices de CMMC establecen que:

“Si los contratistas y subcontratistas manejan el mismo tipo de FCI y CUI, entonces se aplicará el mismo nivel de CMMC. En casos donde el contratista principal solo transmite información selecta, puede aplicarse un nivel de CMMC más bajo al subcontratista.”

Como resultado, los contratistas de DIB también deberían buscar evaluar los riesgos cibernéticos que plantea su propia cadena de suministro. Si no lo hacen, sus contratos con el DoD pueden estar en riesgo. De hecho, es probable que otras grandes organizaciones de defensa como el MoD o socios del DoD integren formalmente los requisitos de CMMC 2.0 en sus propios contratos con proveedores por esta razón.

4 Maneras de Reducir el Riesgo de tu Cadena de Suministro Bajo CMMC 2.0

Para asegurar que tu cadena de suministro se alinea con los requisitos de CMMC 2.0 del DoD, los contratistas deben seguir estos cuatro pasos para reducir el riesgo cibernético:

1. Revisa las autoevaluaciones de tus socios actuales

En preparación para CMMC 2.0, las organizaciones necesitan revisar su propio estado de cumplimiento. Las organizaciones serán evaluadas en la madurez de sus prácticas de ciberseguridad, así como en su transparencia y conciencia.

Para gestionar los riesgos potenciales que plantea su propia cadena de suministro, deben aplicar estos mismos principios para evaluar la postura cibernética de sus proveedores. Realiza un análisis de distancia contra los requisitos de seguridad de CMMC e identifica qué acciones necesitan tomar los proveedores de terceros.

Preguntas a responder:

  • ¿Los miembros de mi cadena de suministro mantienen el cumplimiento de CMMC?
  • ¿Han evidenciado esto?
  • ¿Están preparados para las próximas evaluaciones de CMMC?
  • ¿Estoy preparado para demostrar mi cumplimiento de CMMC?

2. Colabora regularmente con dichos terceros

El DoD requerirá informes oportunos y regulares sobre incidentes, información de amenazas, intercambio de inteligencia, asistencia técnica y más. Los contratistas y subcontratistas de DIB pueden apoyar a sus proveedores ascendentes y descendentes para mantener los estándares de CMMC colaborando y comunicándose de manera consistente.

Los contratistas de DIB deben asegurarse de que los proveedores de terceros estén al tanto de las expectativas bajo CMMC. También deben compartir sus propias políticas o procedimientos de CMMC para ayudar a su cadena de suministro a alinearse con ellos.

Revisar a los subcontratistas antes de las evaluaciones de CMMC también dará tiempo a los contratistas de DIB para apoyar a las organizaciones no conformes a mejorar, o para terminar estos contratos.

3. Asóciate con proveedores más pequeños

Los subcontratistas más pequeños del DoD pueden no tener los recursos para cumplir con el cumplimiento, especialmente si cumplir con estos estándares requiere grandes cambios en su infraestructura u operaciones. Los socios directos del DoD tienen la oportunidad de proporcionar orientación y apoyo adicionales. Esto puede incluir:

  • Realizar auditorías y análisis de distancia
  • Crear planes de remediación, incluyendo recomendaciones de herramientas compatibles con CMMC
  • Compartir marcos y plantillas de políticas
  • Proporcionar capacitación a equipos internos
  • Apoyo continuo en la evaluación

4. Mantén el cumplimiento de CMMC en toda tu organización

Asegurar que los proveedores de terceros cumplan comienza con liderar con el ejemplo. Los contratistas de DIB deben primero enfocarse en su propio cumplimiento, asegurándose de que tienen todas las prácticas y políticas en su lugar para cumplir con los estándares de CMMC 2.0.

Los contratistas de DIB también pueden tomar control sobre la seguridad de las comunicaciones entre ellos y sus socios. Las herramientas de comunicación de contenido seguro, como el cifrado de correo electrónico de extremo a extremo, controles de acceso granulares, uso compartido seguro de archivos o transferencia administrada de archivos, protegerán los datos sensibles cuando se compartan o envíen por terceros.

Elegir soluciones compatibles significa que la capa de seguridad permanecerá intacta sin importar a quién se envíen los datos, evitando que actores internos o externos accedan, descarguen, compartan o editen elementos sin autorización.

Cómo Kiteworks Puede Ayudar

Kiteworks es una plataforma de comunicaciones de datos de archivos y correos electrónicos segura construida para apoyar casi el 90% de los requisitos de CMMC 2.0 Nivel 2 desde el primer momento. Con la Autorización Moderada de FedRAMP, Kiteworks permite los requisitos de cumplimiento para NIST SP 800-171.

La Red de Contenido Privado de Kiteworks también apoya el resto de tu cadena de suministro. Sus fuertes características de seguridad y control de acceso permiten a los contratistas de defensa compartir contenido sensible internamente y a lo largo de su cadena de suministro por correo electrónico, uso compartido de archivos, transferencia de archivos y otros canales, de una manera que mantiene el CUI y otros datos sensibles protegidos en cada paso.

Con Kiteworks, puedes comunicarte y colaborar con todos tus socios, contratistas y proveedores y minimizar el riesgo de ciberseguridad.

Asegúrate de estar listo para CMMC y el futuro del panorama regulatorio de datos.

Descarga nuestra guía sobre ‘Soluciones de comunicaciones de datos seguras para contratistas de DIB con sede en el Reino Unido’ para obtener información sobre tendencias de datos y ciberseguridad y las soluciones que necesitas para abordarlas.

Preguntas Frecuentes

CMMC 2.0 se aplica a todos los terceros dentro de la cadena de suministro de defensa, incluidos contratistas, proveedores y cualquier otro tercero contratado relacionado con el apoyo del Departamento de Defensa (DoD). Todas las organizaciones que hacen negocios con el DoD deben cumplir con CMMC 2.0, basado en el tipo de CUI y/o FCI que procesan, almacenan, envían o reciben. La lista de entidades incluye:

  • Contratistas principales del DoD
  • Subcontratistas del DoD
  • Proveedores en todos los niveles en la DIB
  • Proveedores de pequeñas empresas del DoD
  • Empresas no estadounidenses

Una vez que CMMC 2.0 se implemente, se requerirán autoevaluaciones para todos los niveles de manera anual, y los niveles 2 y 3 también requerirán una evaluación trienal de C3PAO.

El nivel de una organización se basa en los tipos de información que manejan. Si los contratistas y sus subcontratistas manejan tanto datos FCI como CUI, se espera que cumplan con el mismo nivel de estándares CMMC. Si el contratista principal no comparte esta información, o solo comparte información selecta con sus subcontratistas, entonces pueden estar sujetos a un nivel inferior.

CMMC 2.0 es una actualización del Modelo de Certificación de Madurez de Ciberseguridad (CMMC) que se lanzó inicialmente en enero de 2021. Es el método del Departamento de Defensa (DoD) para exigir a las organizaciones en la cadena de suministro del DoD que protejan la información sobre contratos federales (FCI) y la información no clasificada controlada (CUI) al nivel apropiado determinado (hay tres niveles en CMMC 2.0). CMMC 2.0 es una reestructuración de los niveles de madurez de CMMC al eliminar dos de las cinco calificaciones originales, mejorar los protocolos de evaluación que reducen los costos para los contratistas e introducir un camino más flexible hacia la certificación a través de Planes de Acción e Hitos (POA&Ms).

Trabajar con una Organización Evaluadora de Terceros CMMC (C3PAO) proporciona varios beneficios para las organizaciones que buscan certificación bajo los estándares CMMC 2.0 además de ser obligatorio para los niveles 2 y 3:

  • Experiencia: un evaluador externo certificado tiene amplia experiencia evaluando programas de ciberseguridad en múltiples industrias y puede proporcionar información valiosa sobre las mejores prácticas para lograr el cumplimiento con los estándares CMMC 2.0.
  • Objetividad: un evaluador externo independiente proporciona retroalimentación imparcial sobre la postura de seguridad de una organización que puede ayudar a identificar áreas donde se necesitan mejoras.
  • Ahorro de costos: trabajar con un evaluador externo certificado puede ahorrar tiempo y dinero en comparación con contratar personal interno o consultores que pueden no tener experiencia en evaluar programas de ciberseguridad.
  • Eficiencia: un evaluador externo certificado puede identificar rápidamente brechas en la postura de seguridad de una organización, ayudando a reducir el tiempo dedicado a prepararse para la certificación.
  • Tranquilidad: tener un evaluador externo independiente que revise el programa de ciberseguridad de un proveedor del DoD proporciona tranquilidad, asegurando que las organizaciones hayan tomado todos los pasos necesarios para lograr el cumplimiento con los estándares CMMC 2.0.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks