EL CMC_Centro (Cybersecurity Maturity Model Certification) es un marco desarrollado por el Gobierno de Estados Unidos (DoD) para mejorar la ciberseguridad de empresas y organizaciones. El marco define diferentes niveles de medidas de seguridad que las empresas y organizaciones deben implementar para ser consideradas conformes. El cumplimiento de CMMC es ahora un requisito para todos los contratistas del Departamento de Defensa, incluidas las pequeñas y medianas empresas y organizaciones.
En este artículo explicaremos qué es CMMC, quién debe cumplirlo, qué características buscar en el software de cumplimiento CMMC y cuánto cuesta.
¿Qué es CMMC?
CMMC es un marco de evaluación de estándares que define los controles de seguridad mínimos necesarios para proteger la información confidencial. El marco de certificación del Modelo de Madurez de Ciberseguridad fue desarrollado por la Oficina del Subsecretario de Defensa para Adquisiciones y Sostenimiento (OUSD(A&S)).
La última versión (CMMC 2.0) se introdujo en 2021 y reemplazó el sistema anterior de cinco niveles (en CMMC 1.02) por un nuevo sistema de tres niveles.
Los tres niveles del CMMC 2.0
Los tres niveles son Nivel 1 (fundamental), Nivel 2 (avanzado) y Nivel 3 (experto). El nivel de certificación necesario depende de los requisitos de evaluación específicos de CMMC.
El nivel 1 requiere que las organizaciones implementen prácticas y métodos básicos de ciberseguridad, que se pueden hacer de manera ad hoc sin depender de procedimientos documentados. Se permite la autoevaluación para la certificación (anualmente) y los C3PAO no realizan ninguna evaluación de la madurez del proceso.
El nivel 1 incluye 17 prácticas de salvaguarda relacionadas con FAR 52.204-21.
Objetivo: salvaguardar la información del contrato federal (FCI)
El nivel 2 requiere que las organizaciones documenten sus procesos y los implementen como se describe. Este nivel equivale al Nivel 3 del CMMC 1.02
Una organización que gestiona información crítica controlada debe pasar una evaluación de terceros senior (C3PAO) cada tres años, mientras que aquellas que gestionan información no crítica deben someterse a una autoevaluación anual.
El nivel 2 incluye 110 prácticas relacionadas con el estándar NIST SP 800-171.
Objetivo: Protección básica de la información controlada no clasificada (CUI)
El nivel 3 requiere que las organizaciones establezcan, mantengan y asigne un plan para gestionar sus estrategias de ciberseguridad. Las prácticas de ciberseguridad a este nivel se consideran buenas prácticas de ciberhigiene.
El nivel 3 incluye 110 controles CUI de NIST SP 800-171 + hasta 35 controles de NIST SP 800-172. Una organización debe aprobar una evaluación trienal realizada por el gobierno para seguir cumpliendo.
Objetivo: Mayor protección de la información controlada no clasificada (CUI)
¿Quién necesita el cumplimiento de CMMC?
Las empresas que deben cumplir con el CMMC son contratistas y subcontratistas de defensa que manejan Información de Contratos Federales (FCI) o Información No Clasificada Controlada (CUI) para programas del Departamento de Defensa (DoD).
El nivel de cumplimiento de CMMC requerido dependerá del tipo y la sensibilidad de la información manejada por la empresa.
Ejemplos:
- Contratistas y subcontratistas de defensa que manejan Información de Contratos Federales (FCI) o Información No Clasificada Controlada (CUI) relacionada con la seguridad nacional.
- Empresas que brindan servicios o productos al Departamento de Defensa (DoD), como desarrollo de software, ingeniería, fabricación, logística e investigación y desarrollo.
- Proveedores de servicios de TI, proveedores de servicios de computación en la nube y proveedores de servicios administrados que respaldan las operaciones del Departamento de Defensa.
- Empresas que participan en la Base Industrial de Defensa (DIB) y que trabajan con información gubernamental sensible, como las de los sectores aeroespacial y de defensa, tecnología de la información, ingeniería e investigación y desarrollo.
Cómo llegar a ser compatible con CMMC
Las empresas pueden cumplir con CMMC con software implementando soluciones que cumplan con los requisitos y pautas de CMMC. Asociarse con un proveedor de seguridad acreditado y consultar con una organización de evaluación acreditada por CMMC (C3PAO) también puede ayudar a garantizar que las empresas seleccionen las soluciones de software adecuadas para sus necesidades.
En cualquier caso, el software debe incluir las siguientes características clave:
1. Satisfacer 27 comprobaciones CMMC 2.0
Para lograr el cumplimiento de CMMC, el software debe cumplir con las 27 comprobaciones descritas en el marco CMMC 2.0. Estos controles están diseñados para garantizar que la información confidencial esté protegida y que la organización esté tomando medidas proactivas para prevenir ataques cibernéticos y violaciones de datos. Algunos de los controles clave incluyen control de acceso, protección de la información, integridad del sistema y de la información y gestión de la seguridad.
2.Asegúrese de que su CUI esté siempre cifrada
Una de las características críticas del software compatible con CMMC es la capacidad de cifrar información no clasificada controlada (CUI). El cifrado garantiza que la información esté protegida contra el acceso no autorizado y proporciona un método seguro para almacenar y transmitir datos confidenciales. Esto es especialmente importante para las empresas que manejan grandes cantidades de información confidencial, como datos personales e información financiera.
3. Obtenga protección y registro a nivel de archivos
Otra característica importante del software compatible con CMMC es la capacidad de proporcionar registro y protección a nivel de archivos. Esto significa que el software puede proteger archivos individuales y proporcionar un seguimiento de auditoría detallado de quién accedió y modificó el archivo. Este nivel de protección es fundamental para garantizar que la información confidencial no se vea comprometida y que exista un registro claro de todas las acciones tomadas en el archivo.
4. Revocar instantáneamente el acceso a CUI en cualquier ubicación
En caso de una violación de la seguridad u otro acceso no autorizado, es fundamental que el acceso a la información confidencial pueda revocarse instantáneamente. El software compatible con CMMC debería proporcionar esta capacidad, permitiendo a las organizaciones revocar rápida y fácilmente el acceso a CUI en cualquier ubicación. Esto ayuda a minimizar el riesgo de pérdida de datos y protege la información confidencial del acceso no autorizado.
5. Genere un registro de control de acceso detallado
Para garantizar que las organizaciones cumplan con sus obligaciones bajo el marco CMMC, es importante que se genere un registro de auditoría detallado de los accesos. Esta información debe incluir detalles de quién accedió y modificó la información, cuándo y desde dónde. La pista de auditoría proporciona a las organizaciones un registro claro de la actividad y es fundamental para ayudar a detectar y prevenir violaciones de seguridad.
6. Proteja cualquier aplicación, incluidas CAD, MRP, PDM y PLM
Para lograr el cumplimiento de CMMC, el software debe poder proteger una amplia gama de aplicaciones. Esto incluye aplicaciones CAD, MRP, PDM y PLM, que utilizan muchas organizaciones en una amplia gama de industrias. El software compatible con CMMC debería poder brindar protección para estas aplicaciones, garantizando que la información confidencial esté protegida en todo momento y que haya un registro claro de toda la actividad.
¿Quién ofrece dicho software?
AnchorMyData es una de las empresas que ofrece software para respaldar el cumplimiento de CMMC. Este software tiene características que cumplen con algunos de los requisitos más críticos de CMMC 2.0.
Puede obtener más información sobre el cumplimiento de CMMC leyendo su publicación, que detalla qué tipo de empresas necesitan soporte y qué buscar en Software de cumplimiento CMMC.
En conclusión
En pocas palabras, el cumplimiento de CMMC no es fácil de lograr. Las organizaciones deben implementar soluciones complejas para cumplir con las regulaciones establecidas por el Departamento de Defensa. Sin embargo, el proceso de cumplir Y cumplir con las normas se puede simplificar invirtiendo en una solución de software confiable, sólida y segura como AnclaMisDatos lo que puede ayudar a cumplir con los estrictos y complejos requisitos del CMMC.
Espero que este tutorial te haya ayudado a aprender más. La importancia del cumplimiento de CMMC para las empresas. Si tienes algo que decir, háznoslo saber a través de la sección de comentarios. Si te gusta este artículo, compártelo y sigue CorreoTotalen Facebook, chirridoY YouTube para obtener más consejos técnicos.
La importancia del cumplimiento de CMMC para las empresas: preguntas frecuentes
¿Cuál es el impacto del CMMC?
El CMMC ha impactado a los contratistas del DIB de varias maneras, incluso financieramente. Antes de que se publicaran los requisitos de CMMC, los contratistas solo tenían que gastar lo suficiente para satisfacer al Departamento de Defensa.
¿Por qué necesito cumplir con CMMC?
El programa de certificación del Modelo de Madurez de Ciberseguridad es un requisito impuesto por el Departamento de Defensa (DoD) para garantizar que todos los contratistas que hacen negocios con el DoD cumplan con ciertos protocolos de seguridad.
¿Quién está obligado a utilizar el CMMC?
El CMMC es obligatorio para todos los individuos de la cadena de suministro del Departamento de Defensa, incluidos los contratistas que interactúan exclusivamente con el Departamento de Defensa y todos los subcontratistas.
¿Qué es el cumplimiento de CMMC?
La Certificación del Modelo de Madurez de Ciberseguridad (CMMC) del Departamento de Defensa (DoD) es un estándar de evaluación diseñado para garantizar que los contratistas de defensa cumplan con los requisitos de seguridad actuales para proteger la información confidencial de defensa.
¿Qué es una auditoría CMMC?
Una auditoría CMMC es el proceso de asumir la madurez en ciberseguridad de una organización. También es un proceso de requisito previo necesario para demostrar el cumplimiento de una organización con el nivel CMMC deseado antes de obtener la certificación.
Descubre más contenido