Navegar por las complejidades del cumplimiento del CMMC es una tarea desafiante, especialmente con las recientes actualizaciones del marco. Ya sea que esté buscando la certificación por primera vez o quiera comprender cómo los cambios en el CMMC 2.0 afectan su estado actual de conformidad, está en el lugar correcto.

A continuación, explicamos la Certificación del Modelo de Madurez de Ciberseguridad 2.0 para mostrar qué organizaciones deben cumplir con ello, cómo determinar el nivel de conformidad requerido y qué diferentes métodos de evaluación existen. También compartimos listas de verificación de cumplimiento para cada nivel del CMMC, para ayudarle a entender y implementar los requisitos específicos.

¿Qué es la Certificación del Modelo de Madurez de Ciberseguridad?

La Certificación del Modelo de Madurez de Ciberseguridad (CMMC) es un marco integral desarrollado por el Departamento de Defensa de los EE. UU. (DoD) para mejorar la ciberseguridad de los contratistas dentro de la Base Industrial de Defensa (DIB).

El CMMC fue creado en respuesta a varios problemas de ciberseguridad:

• Amenazas cibernéticas crecientes: La DIB ha sido un objetivo preferido para los ciberataques, donde los adversarios intentan explotar vulnerabilidades para robar información sensible y propiedad intelectual. Estas amenazas han aumentado en frecuencia y complejidad.
• Prácticas de ciberseguridad dispares: Antes del CMMC, las prácticas de seguridad de la información en la DIB variaban enormemente. Muchos contratistas no habían tomado medidas adecuadas para proteger información sensible, lo que resultaba en violaciones de datos y compromisos.
• Amenazas crecientes a la seguridad nacional: La seguridad de la información de defensa sensible es crucial para la seguridad nacional. Los datos comprometidos pueden tener consecuencias graves, incluida la socavación de operaciones militares y ventajas tecnológicas.
• Pobre estandarización y responsabilidad: El CMMC tiene como objetivo estandarizar las prácticas de ciberseguridad de todos los contratistas de defensa. Al requerir autoevaluaciones anuales o certificaciones de terceros, el DoD garantiza que todos los contratistas mantengan un nivel básico de seguridad.
• Asegurando la cadena de suministro: La cadena de suministro de defensa incluye una amplia red de compañías, desde grandes contratistas principales hasta pequeños subcontratistas. El CMMC asegura que todas las entidades de esta cadena de suministro cumplan con estándares robustos de ciberseguridad, reduciendo así los riesgos generales.
• Alineación con el entorno regulatorio más amplio : El CMMC está en línea con los esfuerzos regulatorios más amplios para mejorar la ciberseguridad, incluidas otras iniciativas y políticas federales para proteger infraestructuras críticas e información sensible.

¿Quién debe cumplir con el CMMC?

Si su organización trabaja directa o indirectamente como subcontratista con el Departamento de Defensa (DoD) y maneja información confidencial federal (FCI) o información no clasificada controlada (CUI), debe cumplir con el CMMC. El nivel específico de CMMC requerido depende del tipo de información que maneje y de los requisitos de los contratos del DoD en los que participe.

Considere los siguientes puntos para determinar si debe cumplir con el CMMC:

• Revise los requisitos del contrato: Si su organización actualmente tiene contratos con el DoD o planea ofertar por dichos contratos, debe cumplir con el CMMC. Si es un subcontratista de un contratista principal con un contrato del DoD, es posible que también deba cumplir con el CMMC, dependiendo de los requisitos de transmisión de información del contratista principal.
• Considere el tipo de información procesada: Si su organización maneja FCI o CUI, debe cumplir con el CMMC. La FCI son datos que no están clasificados pero que aún deben ser protegidos para garantizar la integridad y confidencialidad de las operaciones federales, como documentos de diseño, descripciones de desempeño o registros financieros relacionados con contratos federales. La CUI es información que el gobierno considera lo suficientemente sensible como para requerir protección, como datos personales, datos protegidos por HIPAA, registros de aplicación de la ley, información sobre infraestructuras críticas e instalaciones de defensa e información de control de exportaciones.
• Revise las políticas y las solicitudes de propuestas (RFP) del DoD: Revise cuidadosamente las solicitudes de propuestas y otras convocatorias del DoD. Estos documentos indicarán el nivel de CMMC requerido para ese contrato en particular. También es importante revisar las cláusulas específicas del contrato que describen los requisitos del CMMC, como las cláusulas de ciberseguridad del Suplemento de Regulaciones Federales de Adquisición de Defensa (DFARS).
• Trabaje con los contratistas principales: Si usted es un subcontratista, los requisitos de conformidad pueden ser menos claros. Comunique con su contratista principal para comprender los requisitos y los niveles de CMMC que se aplican a su rol. Los contratistas principales son responsables de asegurarse de que sus subcontratistas cumplan con los requisitos necesarios de CMMC, por lo que deben proporcionar orientación y expectativas.

CMMC 2.0: Entendiendo los cambios clave

Anunciado en noviembre de 2021, CMMC 2.0 introdujo cambios significativos para simplificar el proceso de certificación, alinearse más de cerca con los estándares existentes de ciberseguridad y reducir los requisitos de conformidad para las pequeñas empresas. Estos cambios hacen que el marco sea más práctico y accesible, al tiempo que mantienen prácticas robustas de ciberseguridad para proteger información sensible.

Repasemos las actualizaciones clave del marco:

Reducción del número de niveles

CMMC 2.0 ha reducido el número de niveles de certificación de cinco a tres:

• Nivel 1 (Básico): Prácticas básicas de higiene cibernética.
• Nivel 2 (Avanzado): Corresponde a las prácticas del NIST SP 800-171.
• Nivel 3 (Experto): Corresponde a un subconjunto de los controles del NIST SP 800-172, apuntando a prácticas cibernéticas avanzadas/progresivas.

Alineación más estrecha con los estándares del Instituto Nacional de Estándares y Tecnología (NIST)

Las prácticas requeridas para la conformidad de los niveles 2 y 3 ahora están más alineadas con los estándares existentes NIST SP 800-171 y NIST SP 800-172, facilitando la conformidad de CMMC para las organizaciones que ya siguen estos marcos.

Autoevaluaciones para ciertos niveles y tipos de contratos

Las organizaciones ahora pueden realizar autoevaluaciones anuales para la conformidad del nivel 1, en lugar de necesitar evaluaciones de terceros.

Las evaluaciones del nivel 2 ahora se dividen en dos categorías. Los contratos críticos siguen requiriendo evaluaciones cada tres años por parte de una organización de evaluación de terceros certificada (C3PAO). En algunos contratos no críticos, la conformidad del nivel 2 puede lograrse mediante autoevaluaciones anuales en lugar de evaluaciones de terceros, con una confirmación por un oficial de la empresa senior.

Al permitir autoevaluaciones para contratos de nivel 1 y ciertos contratos de nivel 2, CMMC 2.0 busca reducir la carga de conformidad y los costos asociados, especialmente para las pequeñas y medianas empresas.

Requisitos más específicos

CMMC 2.0 ha eliminado algunos requisitos únicos del CMMC que no estaban alineados con los estándares existentes. Los niveles y prácticas simplificados también se centran más en la protección de CUI, lo que es una preocupación importante para el DoD.

Mayor responsabilidad y transparencia

Las organizaciones que realizan autoevaluaciones deben tener un oficial senior de la empresa que confirme los resultados de la evaluación, lo que refuerza la responsabilidad. Directrices y requisitos más claros también pretenden aumentar la transparencia y la comprensión de lo que se requiere para la conformidad.

Con la implementación gradual que comenzó en mayo de 2023, se espera que CMMC 2.0 se incluya en todos los contratos del DoD para 2028. Sin embargo, es importante tener en cuenta que, aunque CMMC no esté incluido en el contrato del DoD de su organización en una fecha determinada, se aplicará después de la publicación de la regulación final de CMMC en el mercado y será válido para auditorías. Para seguir siendo competitivas en el mercado del DoD, las organizaciones deben priorizar el cumplimiento de CMMC 2.0. Además, es probable que los contratistas principales prefieran subcontratistas que estén mejor preparados para proteger su cadena de suministro.

Cómo lograr el cumplimiento de CMMC

Comprender los pasos importantes para cumplir con CMMC 2.0 puede simplificar el proceso y asegurar que su organización esté bien preparada para cumplir con los requisitos. Adentrémonos en los pasos esenciales para cumplir con CMMC, incluyendo cómo determinar su nivel de cumplimiento, implementar los requisitos y prepararse para las evaluaciones.

Paso 1: Determine su nivel CMMC

Los requisitos y evaluaciones de conformidad de CMMC 2.0 varían según la relación de su organización con el DoD y el tipo de información que procesa. Por lo tanto, el primer paso consiste en determinar su nivel CMMC. Veamos más de cerca los tres niveles de conformidad de CMMC 2.0.

Nivel 1 de CMMC: Básico

El Nivel 1 de CMMC asegura que las empresas implementen prácticas básicas de ciberseguridad para proteger FCI. Incluye 17 prácticas básicas basadas en FAR 52.204-21 y se enfoca en la protección del acceso, autenticación, medios, seguridad física, protección de comunicaciones e integridad del sistema. El cumplimiento en el Nivel 1 implica una autoevaluación anual y una confirmación a nivel ejecutivo.

Nivel 2 de CMMC: Avanzado

El cumplimiento de CMMC 2.0 Nivel 2 es más exhaustivo que el Nivel 1 y está destinado a organizaciones que manejan CUI. Está alineado con el estándar NIST SP 800-171 rev 2 y abarca 110 prácticas de seguridad. Cada tres años se realizan evaluaciones de terceros para información crítica de seguridad y se realizan autoevaluaciones anuales para información no crítica.

CMMC Nivel 3: Experto

CMMC 2.0 Nivel 3 es el nivel más alto y está dirigido a organizaciones que manejan CUI. Se enfoca en prácticas avanzadas de ciberseguridad para protegerse contra amenazas avanzadas persistentes (APT). Se basa en las prácticas de los Niveles 1 y 2 e integra prácticas adicionales de un subconjunto de controles de NIST SP 800-172 (las prácticas específicas son definidas por el DoD). Antes de que las organizaciones aspiren al Nivel 3, deben cumplir con los requisitos de conformidad para CMMC Nivel 2. Una evaluación dirigida por el gobierno se lleva a cabo cada tres años por el DoD.

Hágase estas preguntas para ayudarlo a determinar su nivel de CMMC:

• ¿Cuáles son sus obligaciones contractuales? Revise sus contratos actuales o potenciales con el DoD para identificar requisitos específicos de CMMC. Busque cláusulas o referencias a niveles de CMMC en las RFP y contratos.
• ¿Qué tipo de información maneja? Si su organización maneja FCI, debe cumplir al menos con el Nivel 1. Si maneja CUI, debe cumplir con el Nivel 2 o superior, dependiendo de la sensibilidad de la información.
• ¿Qué tan crucial es el papel de su organización en la cadena de suministro del DoD? Si su organización desempeña un papel no crítico y maneja información menos sensible, el Nivel 2 de CMMC (no crítico) puede ser adecuado. Si su organización desempeña un papel esencial en la seguridad nacional o maneja información altamente sensible, probablemente deba cumplir con el Nivel 2 (crítico) o CMMC Nivel 3.
• ¿Están alineados sus requisitos con los contratistas principales? Si es un subcontratista, comuníquese con sus principales proveedores para entender los requisitos de CMMC aplicables derivados del contrato principal. Sus contratistas principales deberían poder ofrecer orientación sobre el nivel de CMMC requerido para sus subcontratistas.

También puede consultar el sitio web del CMMC Accreditation Body (CMMC-AB) y la página de CMMC del Departamento de Defensa para obtener directrices oficiales y recursos sobre los requisitos y niveles de CMMC.

Paso 2: Comprenda los requisitos del CMMC y realice un análisis de brechas

A continuación, realice una evaluación interna para evaluar sus prácticas actuales de ciberseguridad en comparación con los requisitos del nivel correspondiente del CMMC.

Puede utilizar las listas de verificación de conformidad con CMMC a continuación para comprender los requisitos específicos de su nivel de CMMC y asegurarse de que tiene los protocolos de seguridad correctos. Estas listas de verificación también le ayudarán a identificar brechas para que pueda solucionar cualquier deficiencia antes de completar una evaluación formal.

Paso 3: Completar la evaluación de CMMC correspondiente

Una vez que esté seguro de que sus protocolos de seguridad cumplen con los requisitos de CMMC, puede proceder con la evaluación de conformidad.

El proceso de evaluación del CMMC varía según el nivel de conformidad requerido. Las evaluaciones de los niveles 1 y 2 (no crítico) son menos estrictas que las de los niveles 2 (crítico) y 3.

Aquí hay una visión general del proceso de evaluación para cada nivel de CMMC.

CMMC Nivel 1 y CMMC Nivel 2 (no crítico): Autoevaluación anual

Las organizaciones están obligadas a realizar una autoevaluación anual para garantizar que cumplen con las prácticas de ciberseguridad requeridas para el Nivel 1. Un ejecutivo de la organización también debe confirmar los resultados de la autoevaluación y declarar que la organización cumple con los requisitos del Nivel 1.

Una vez que haya preparado la documentación y evidencia requerida para la conformidad, seleccione un equipo de autoevaluación que tenga el conocimiento y la experiencia necesarios sobre los requisitos de CMMC Nivel 1 y la postura de seguridad de su organización.

El CIO del DoD proporciona herramientas de autoevaluación, incluidas las pautas sobre el alcance y la autoevaluación, para apoyar su evaluación. Evalúe los requisitos de Nivel 1 y documente si cada uno está completamente, parcialmente o no implementado. Los requisitos críticos deben corregirse de inmediato antes de continuar. Documente para todas las demás prácticas implementadas parcialmente las brechas y elabore un plan de mitigación. Este documento, el Plan de Acción y Metas (POA&M), define los pasos específicos, las personas responsables y los cronogramas para llevar a cabo las acciones correctivas.

El otro documento requerido para el cumplimiento del Nivel 1 es el Plan de Seguridad del Sistema (SSP), que sirve como un plan detallado de cómo la organización protege sus activos digitales. El SSP describe los controles de seguridad específicos y las prácticas que la organización ha implementado para proteger sus activos de información y su infraestructura de TI.

Una vez que se complete la autoevaluación, obtenga la validación de la gerencia. Esta confirmación formal certifica que la autoevaluación fue exhaustiva y que la organización cumple con los requisitos del nivel 1 de CMMC.

Las organizaciones que procesan información controlada no clasificada (CUI) no crítica del nivel 2 también pueden realizar una autoevaluación anual de los controles aplicables según el estándar NIST SP 800-171. Al igual que en el nivel 1, un alto ejecutivo debe confirmar los resultados de la autoevaluación con una carta de verificación.

CMMC Nivel 2 crítico: Contratación de un C3PAO (Organización de Evaluación de Terceros Certificada)

Las organizaciones que procesan CUI crítica deben someterse a una evaluación de terceros por un C3PAO cada tres años. Una vez que estén listas para una evaluación, las organizaciones seleccionan un C3PAO de la lista de organizaciones de evaluación autorizadas por el CMMC-AB.

El C3PAO realizará una revisión completa de la implementación de los controles NIST 800-171 aplicables por parte de la organización. Revisarán las políticas, los procedimientos, la evidencia de los controles implementados y la documentación clave, que incluye:

• Plan de Seguridad del Sistema (SSP): Describe cómo la organización ha implementado las prácticas y procesos de ciberseguridad requeridos por el CMMC. Proporciona información detallada sobre la posición de ciberseguridad de la organización, incluida una descripción y los límites del sistema, los procesos de evaluación de riesgos, controles de seguridad específicos, políticas y procedimientos, el proceso de respuesta a incidentes y monitoreo continuo, así como una visión general de los roles y responsabilidades organizativas.
• Plan de Acción y Hitos (POA&M): Describe los pasos específicos que una organización tomará para abordar las deficiencias identificadas en una evaluación interna o externa. En las evaluaciones de CMMC, los evaluadores externos revisan el POA&M para garantizar que la organización siga un enfoque estructurado para cerrar brechas y cumplir con las regulaciones.
• Evaluación del Sistema de Desempeño del Riesgo del Proveedor (SPRS): Una evaluación SPRS para el CMMC incluye la evaluación de las prácticas de ciberseguridad y la gestión de riesgos de un contratista. Esta evaluación es crucial para garantizar el cumplimiento de los requisitos del Departamento de Defensa (DoD), mejorar la seguridad general de la cadena de suministro y proteger la información sensible contra amenazas cibernéticas.

Otros documentos importantes incluyen un plan de mitigación de riesgos, un plan de respuesta y notificación de incidentes, un plan de monitoreo continuo, una política de control de acceso, un plan de gestión de configuraciones, una matriz de separación de tareas y un plan de gestión de registros de auditoría. Los evaluadores también entrevistarán a los interesados de la empresa para hablar y observar las prácticas de ciberseguridad, y realizarán pruebas técnicas y de sistemas según sea necesario para validar la eficacia de los controles implementados.

Después de esta revisión, el C3PAO puede proporcionar retroalimentación preliminar para señalar cualquier problema o inquietud destacada por la evaluación. Si se identifican deficiencias, el informe incluirá medidas correctivas recomendadas. Luego, se enviará un informe final al CMMC-AB para su revisión y decisión final de certificación.

Si la organización es conforme, recibe la certificación CMMC para el nivel evaluado, que es válida por tres años. Durante estos tres años, las organizaciones deben continuar monitoreando y mejorando sus prácticas de ciberseguridad mediante el mantenimiento de su POA&M.

CMMC Nivel 3: Evaluación guiada por el estado

Las organizaciones que busquen la certificación en el Nivel 3 deben coordinarse con el Departamento de Defensa para planificar una evaluación dirigida por el estado.

Los evaluadores gubernamentales pueden celebrar una reunión previa para discutir el alcance, el cronograma y el proceso de evaluación. Al igual que los evaluadores de C3PAO, los evaluadores gubernamentales revisarán la documentación presentada, incluido el SSP, el POA&M y otras políticas. Las evaluaciones in situ generalmente incluyen entrevistas con personal clave y observaciones de prácticas de ciberseguridad en acción, así como pruebas técnicas y del sistema para verificar la efectividad de los controles implementados. Los evaluadores gubernamentales también revisarán pruebas como capturas de pantalla, registros de acceso, configuraciones y documentación de procedimientos para confirmar que los controles se implementaron correctamente.

Los evaluadores gubernamentales pueden proporcionar un informe preliminar para informar sobre cualquier deficiencia o área de mejora, lo que brinda a las organizaciones la oportunidad de abordar los problemas inmediatos identificados durante la evaluación.

El informe final se presenta al CMMC-AB para su revisión y decisión final de certificación. La certificación es válida por tres años. Para mantener la conformidad entre evaluaciones, las organizaciones de Nivel 3 deben monitorear continuamente sus sistemas y controles y mantener su POA&M. Las políticas y procedimientos también deben actualizarse para reflejar cambios en la postura de seguridad de la organización o en las prácticas organizativas.

Cómo agilizar la conformidad con CMMC mediante la automatización

La automatización está transformando fundamentalmente el panorama de la seguridad, la privacidad y la conformidad, especialmente en los sectores gubernamentales y públicos. Con la plataforma de cumplimiento automatizado de Secureframe, los contratistas gubernamentales y los proveedores de software aprobados pueden navegar por los complejos requisitos de los marcos, implementar y monitorear los controles necesarios y lograr una conformidad continua con estándares como CMMC, NIST 800-171, NIST 800-53 y muchos otros.

• Experiencia en conformidad federal: Nuestro equipo de expertos en conformidad incluye ex auditores y consultores de FISMA, FedRAMP y CMMC que lo apoyarán en cada etapa. Nuestra plataforma siempre está actualizada con los últimos cambios en los requisitos de conformidad federal y simplifica la gestión de los cambios regulatorios.
• Integraciones profundas para automatización poderosa: Secureframe se integra en su pila tecnológica existente, incluidas AWS GovCloud, para recopilar evidencia automáticamente, monitorear continuamente su postura de seguridad y conformidad y simplificar el mantenimiento del Plan de Acciones Correctivas (POA&M).
• Conformidad con múltiples marcos: La cartografía cruzada inteligente facilita la conformidad rápida con varios estándares federales como NIST 800-53, NIST 800-171, FedRAMP y CJIS. En lugar de comenzar desde cero, Secureframe aplica los controles que ya ha implementado para el CMMC a varios marcos, reduciendo el tiempo de conformidad y eliminando el trabajo duplicado.
• Gestión más sencilla de documentos y políticas: Las políticas, procedimientos y SSP modelados por antiguos auditores federales pueden adaptarse completamente a sus necesidades. Nuestras capacidades de gestión de políticas empresariales incluyen documentos POA&M, evaluaciones de impacto e informes de preparación.

Programar una demostración para obtener más información sobre cómo Secureframe ayuda a los contratistas gubernamentales a lograr y mantener el nivel 1 de CMMC.