La Cybersecurity Maturity Model Certification es un marco lanzado en 2020 por el US Department of Defense (DoD) para proteger la base industrial de defensa y la CUI (información no clasificada controlada) que circula dentro de ella frente a los ciberataques. Todos los (sub)contratistas del DoD tendrán que obtener su CMMC para que se les adjudiquen contratos del DoD que impliquen el uso o el acceso a CUI. Hablamos en futuro porque, tal y como están las cosas, la CMMC se encuentra en fase piloto y solo determinados contratos exigen ya su cumplimiento.
Actualmente existen 5 niveles de CMMC (aunque pronto serán 3, ver más abajo), cada uno representa un nivel de seguridad de los datos que ofrece un proveedor del DoD. En función de las necesidades concretas del gobierno, el DoD solo se asociará con organizaciones o proveedores que tengan el nivel de certificación adecuado para esa necesidad específica.
Conviene insistir en que ahora mismo seguimos en la fase de despliegue de la CMMC y que ya está en marcha una nueva versión, la llamada CMMC 2.0. Esto significa que aún no todos los contratos del DoD exigen la CMMC, pero es fundamental que los proveedores (o futuros proveedores) empiecen a prepararse para la certificación desde ya.
Hasta 2020, antes del despliegue de la CMMC, el DFARS, o Defense Federal Acquisition Regulation Supplement, era el estándar de referencia y el requisito para evaluar si los contratistas protegían suficientemente los datos, en particular la CUI.
Con ciberataques cada vez más sofisticados surgió la necesidad de una protección de datos más compleja: y entró en escena la CMMC.
La CMMC amplía el DFARS, y ambas usan el marco de seguridad NIST 800-171 como base (la CMMC 2.0 también se nutrirá del NIST 800-172).
Tanto la CMMC como el DFARS se establecieron para cualquier contratista que maneje, almacene o transmita información no clasificada controlada. Las principales diferencias entre las dos son la introducción de niveles de cumplimiento en la CMMC (no había ninguno en el DFARS) y la forma en que se evalúa y otorga el cumplimiento.
Mientras que el DFARS es un sistema de directrices para la autoevaluación, la CMMC exige que la mayoría de las evaluaciones —dependiendo del nivel— las realice una C3PAO (organización de evaluación de terceros).
Otra diferencia es que, mientras un proveedor del DoD solo está obligado a presentar una vez su puntuación de evaluación NIST 800-171 con DFARS, la CMMC es un proceso continuo. La certificación tendrá que reevaluarse cada 1-3 años (según el nivel).
Puede parecer (y de hecho ese era el plan inicial) que la CMMC sustituyó al DFARS, pero no es así. Ahora mismo coexisten en armonía.
Aunque cumplir ya con DFARS facilitará sin duda obtener un nivel CMMC, no lo garantiza. Las dos no son mutuamente excluyentes: cumplir con una no significa necesariamente cumplir con la otra. Algunos niveles CMMC no incluyen todos los requisitos DFARS, y algunos van más allá de DFARS.
Debido a la complejidad y la carga económica de obtener la certificación, en la que incluso el nivel de certificación más básico exigía someterse a una evaluación de una C3PAO, muchas pequeñas y medianas empresas expresaron su preocupación tras el anuncio de la CMMC.
Al ser el proceso de certificación una empresa tan larga y costosa, muchas pequeñas y medianas empresas no habrían podido someterse al proceso, lo que efectivamente las dejaba fuera de la carrera por los contratos del DoD.
Por ese motivo, el DoD reformuló la CMMC original en una versión más ágil y simplificada, la CMMC 2.0. Tiene en cuenta a las pequeñas y medianas empresas y corrige algunos de los problemas de la versión anterior.
La CMMC 2.0 ya se ha publicado, pero el desarrollo normativo sigue «en construcción» y se espera que se ultime en mayo de 2023.
| Lo más pronto que la CMMC 2.0 aparecerá en los contratos del DoD será en el verano de 2023. |
Una vez lista la CMMC 2.0, será obligatoria en todos los contratos del DoD.
Como explicaremos a continuación, la fase de preparación del proceso de certificación puede llevar hasta un año o más (en el caso del nivel 3), por lo que es crucial que todos los proveedores del DoD y los proveedores potenciales empiecen a pensar en el proceso de evaluación cuanto antes.
|
CMMC 1.0 |
CMMC 2.0 |
|---|---|
| 5 niveles de cumplimiento | 3 niveles de cumplimiento |
| Incluye procesos de madurez | No incluye procesos de madurez |
| Evaluación por terceros incluso para el nivel más básico | Autoevaluación para el nivel básico |
| No se aceptan POAM | Se aceptan POAM |
La diferencia más visible entre la CMMC 1.0 y la CMMC 2.0 es que la nueva CMMC tendrá menos niveles de cumplimiento (3 en lugar de los 5 originales) y se han eliminado algunos requisitos.
Los procesos de madurez se han suprimido por completo en la CMMC 2.0.
Algo muy importante: el nivel más básico no exigirá que una agencia externa realice la evaluación, lo que facilitará y abaratará a las pequeñas y medianas empresas la obtención de su certificación de Nivel 1.
La CMMC 2.0 también permitirá los Plans of Action and Milestones (POAM), que son básicamente un plan que un proveedor puede presentar detallando cómo cumplirá algunos de los criterios de 1 punto de la CMMC, a modo de exención al solicitar una certificación sin haber cumplido aún todos los criterios. Los POAM son otra de las formas con las que el DoD pretende facilitar a los proveedores, especialmente a los más pequeños, la obtención de su certificación.
Un POAM no se aceptará para ninguno de los requisitos de 3 o 5 puntos de la CMMC 2.0, y habrá un límite estricto sobre cuántos POAM pueden utilizarse y el plazo en el que tienen que cumplirse.
La CMMC 1.0 no contaba con este mecanismo y funcionaba estrictamente como un «sí o no».
Hemos comentado que la CMMC 2.0 tendrá menos niveles que la CMMC 1.0. Tres, para ser exactos. Comparemos los niveles de cumplimiento de la CMMC 1.0 con los de la CMMC 2.0, porque hay similitudes y diferencias que los proveedores deben entender.
La CMMC 1.0 tiene 5 niveles. Los requisitos de cada nivel aumentan progresivamente y consisten en determinados estándares del NIST 800-171 además de estándares específicos de la CMMC.
Pero la cosa no acaba ahí. También hay procesos de madurez que se deben respetar para alcanzar el nivel:
Los niveles 2 y 4 de la CMMC 1.0 están concebidos como niveles de transición, lo que hace aún más difícil entender un marco ya de por sí complicado.
La CMMC 2.0 no contempla los niveles de madurez y también ha eliminado los requisitos específicos de la CMMC y los niveles de transición. Cada requisito del proceso CMMC se toma de los marcos NIST 800-171 y NIST 800-172 subyacentes, y cada nivel se construye sobre el anterior.
En la CMMC 2.0 solo hay 3 niveles de cumplimiento, sin niveles de transición:
El nivel 1 de la CMMC 2.0 es el mismo que el de la CMMC 1.0 e incluye 17 prácticas de ciberseguridad. Está pensado para los proveedores del DoD que no manejan información crítica para la seguridad nacional.
Tipo de evaluación: autoevaluación anual.
La certificación de nivel 2 indica que una organización es competente para almacenar y compartir CUI de forma segura, y se aplicará a la mayoría de proveedores del DoD. Es similar al nivel 3 de la CMMC 1.0. Hay 110 requisitos de ciberseguridad en este nivel y todos están recogidos en el NIST 800-171.
Hay dos subgrupos en este nivel en función de si la información que maneja el proveedor es o no crítica para la seguridad nacional.
Tipo de evaluación: hay dos en este nivel; los proveedores que no manejen información crítica para la seguridad nacional realizan una autoevaluación anual (se prevé que esto sea aplicable solo a una parte muy pequeña de los proveedores de nivel 2). Los proveedores que manejan información crítica deben someterse a una evaluación de terceros cada 3 años.
Este nivel está pensado para un número relativamente pequeño de proveedores del DoD que trabajan en los programas de mayor prioridad del DoD. Es comparable al nivel 5 de la CMMC 1.0. Los requisitos son una combinación de los 110 estándares del NIST 800-171 y un subconjunto de controles del NIST 800-172.
El objetivo del nivel 3 de la CMMC 2.0 es reducir el riesgo de las Advanced Persistent Threats.
Tipo de evaluación: evaluación por parte de un funcionario público cada 3 años. La guía de evaluación para el nivel 3 sigue en desarrollo, por lo que actualmente no hay información detallada sobre su estructura exacta.
Para que un proveedor obtenga su certificación, debe someterse al proceso de evaluación, que comienza mucho antes de la evaluación propiamente dicha.
Como la mayoría de contratistas necesitarán obtener como mínimo la certificación del nivel 2 de la CMMC 2.0, hay una preparación que llevará hasta un año. Para el nivel 1, la fase previa a la evaluación durará probablemente entre 2 y 3 meses.
La buena práctica es comenzar con un análisis de carencias del estado actual de las prácticas de ciberseguridad del proveedor en cuestión, seguido de las fases de implementación y preevaluación. Es buena idea recurrir a los servicios de una CMMC Registered Practitioner Organization (CMMC-RPO) para estas fases.
Una CMMC-RPO es una organización certificada por Cyber AB, el organismo oficial de autorización de la CMMC, para asesorar y guiar a los proveedores durante su preparación para la evaluación CMMC.
La evaluación CMMC 2.0 propiamente dicha se realiza como autoevaluación para el nivel 1 y parte del nivel 2, como evaluación por una C3PAO para la mayor parte del nivel 2 o como evaluación dirigida por el gobierno para el nivel 3.
Una evaluación de terceros la lleva a cabo una C3PAO elegida por el proveedor a lo largo de varias semanas y la C3PAO redacta después un informe que entrega directamente al DoD.
Para el nivel 3 de la CMMC 2.0 será necesaria una evaluación dirigida por el gobierno. Los detalles de este tipo de evaluación los está perfilando el DoD.
La CMMC es algo en lo que cualquier potencial contratista del DoD tiene que pensar mucho antes de plantearse siquiera presentar una propuesta a un RFP, así que, aunque la norma definitiva de la CMMC 2.0 aún no esté publicada, el momento de actuar es ahora. Preparar tus sistemas para la evaluación lleva meses y, en el caso de una evaluación de nivel 3, incluso más de un año de principio a fin.
Safetica permite supervisar las operaciones de los usuarios en toda una organización. Puede reconocer y clasificar CUI y FCI y proporcionar informes sobre cómo se procesan los datos.
Basándote en la clasificación de datos de Safetica, puedes aplicar políticas DLP y, así, hacer cumplir las políticas de seguridad designadas y el comportamiento deseado de los usuarios cuando interactúen con información sensible o confidencial. Tus datos no se enviarán por correo electrónico, ni se copiarán a un dispositivo no protegido, ni se subirán a un almacenamiento en la nube personal.
Safetica permite una clasificación de datos configurable y personalizable. Safetica realiza auditorías de seguridad de los datos y proporciona una visión detallada del flujo y almacenamiento de datos sensibles. Los niveles de protección posteriores a la clasificación de los datos también son configurables y permiten registro silencioso, notificación al usuario o restricción forzada de las operaciones de usuario seleccionadas.
El sistema de alertas por correo electrónico en tiempo real de Safetica te avisa al instante en caso de incidente de seguridad. Proporciona suficiente detalle para que puedas evaluar el impacto de la situación y emprender acciones de seguimiento. A partir de la auditoría exhaustiva, podrás identificar la profundidad de la brecha, los documentos sensibles afectados y las personas implicadas.
Más información sobre el cumplimiento normativo