La certificación del Modelo de Madurez de Ciberseguridad (CMMC) fue diseñada por el Departamento de Defensa de EE. UU. para ayudar a fortalecer la postura de ciberseguridad de la Base Industrial de Defensa. Anteriormente, los contratistas de defensa estaban obligados a certificarse como cumple con NIST SP 800-171 – uno de los principales contribuyentes a la CMMC. Después de que el CMMC entre plenamente en vigor, cualquier organización que quiera trabajar en contratos de defensa estará obligada a mantener cierto nivel de cumplimiento del CMMC.
La Certificación del Modelo de Madurez de Ciberseguridad fue diseñada para proteger los datos controlados y confidenciales que se entregan a una organización como parte de un contrato de defensa. Esto incluye tanto la Información de Contratos Federales (FCI, por sus siglas en inglés) como la Información No Clasificada Controlada (CUI, por sus siglas en inglés).
Cualquier organización que planee trabajar como contratista principal o subcontratista en un contrato de defensa tendrá que lograr el cumplimiento de la Certificación del Modelo de Madurez de Ciberseguridad una vez que el reglamento entre plenamente en vigor. El nivel de cumplimiento CMMC requerido dependerá del propio contrato, del papel de la organización dentro del contrato y del acceso de la empresa a FCI y CUI como parte del contrato.
Los detalles de CMMC 2.0 aún están en proceso y no se espera que el estándar se implemente hasta mayo de 2023. En ese momento, los contratos de defensa comenzarán un periodo de introducción progresiva de 5 años hasta que todos los nuevos contratos exijan el cumplimiento del CMMC.
Originalmente, la Certificación del Modelo de Madurez de Ciberseguridad incluía cinco niveles de cumplimiento desglosados en prácticas y procesos. Sin embargo, una revisión de la norma a CMMC 2.0 eliminó los procesos y redujo los niveles a los tres siguientes:
Estas modificaciones eliminaron las fases "transicionales" 2 y 4, conservando tres niveles progresivos. Estas modificaciones pretendían disminuir la complejidad y el coste asociados al cumplimiento de la normativa para las pequeñas y medianas empresas (PYME).
Como resultado de las modificaciones, el CMMC refleja fielmente el cumplimiento de las normas del NIST. El cumplimiento del nivel 2 equivale al cumplimiento total de la norma NIST SP 800-171, mientras que el nivel 3 se basa también en la norma NIST SP 800-172.
El nivel de cumplimiento del CMMC que deberá alcanzar una organización dependerá de los detalles del contrato en cuestión. Sin embargo, se aceptará que todos los contratistas de defensa alcancen al menos el Nivel 1 de cumplimiento de la Certificación del Modelo de Madurez de la Ciberseguridad, que se ocupa de la protección de las FCI. Se necesitarán mayores niveles de cumplimiento para las organizaciones con acceso a la CUI.
Los requisitos para el cumplimiento dependen del nivel exigido e incluyen:
Dado que el CMMC 2.0 aún está en fase de desarrollo, los requisitos exactos para el cumplimiento de cada nivel aún están en proceso de cambio. Sin embargo, ya se ha definido el conjunto de controles y procesos de seguridad necesarios para el cumplimiento de los niveles 1 y 2, lo que permite a las organizaciones adelantarse en la consecución del cumplimiento antes de que se les exija participar en los contratos de defensa.
El proceso para obtener una certificación CMMC depende del nivel de cumplimiento exigido. Para aquellos niveles que solo requieren autoevaluación, el CMMC ha publicado una Guía de Evaluación. Tras completar la autoevaluación, un alto cargo de la empresa deberá afirmar anualmente el cumplimiento de la misma.
Para el cumplimiento de la CMMC que requiere auditorías de terceros, una organización tendrá que programar estas auditorías con una Organización de Evaluación de Terceros Acreditada (C3PAO) y potencialmente con un evaluador gubernamental. La lista de C3PAO acreditados está disponible en CMMC Marketplace, y los procesos para participar y completar auditorías estarán disponibles más cerca de la fecha de entrada en vigor de CMMC 2.0.
Alcanzar y mantener el cumplimiento de la Certificación del Modelo de Madurez de Ciberseguridad requiere el cumplimiento de NIST SP 800-171 y potencialmente NIST SP 800-172 en cualquier sistema con acceso a FCI y CUI. Para lograrlo es necesario implantar los controles de seguridad requeridos y demostrar el cumplimiento continuo.
CloudGuard de Check Point puede ayudar a las organizaciones a lograr y mantener el cumplimiento de la CMMC realizando un seguimiento continuo de los sistemas corporativos para el cumplimiento de la normativa. Para saber más sobre cómo Check Point puede ayudar a su organización a Implementar los controles de seguridad requeridos y monitorearlos y mantenerlos a largo plazo, regístrese para una demostración gratuita de CloudGuard.