Comprender los controles del CMMC es crucial para cualquier empresa que desee colaborar con el Departamento de Defensa. Ya sea que usted sea un contratista grande o una pequeña empresa, la implementación de estas medidas de seguridad puede marcar una diferencia significativa en sus esfuerzos de ciberseguridad.

Exploremos los tres niveles del CMMC 2.0 y algunos consejos para implementar los requisitos. También cubriremos algunas de las controles de cada nivel para garantizar una mejor comprensión de los requisitos clave y las prácticas de seguridad.

La estructura del CMMC 2.0

El CMMC consta de tres niveles de madurez en ciberseguridad, cada uno representando un grado distinto de prácticas y medidas de protección en ciberseguridad.

La última revisión del CMMC 2.0 consolidó los cinco niveles de cumplimiento en tres. Esto se hizo para simplificar el marco y hacerlo accesible a un mayor número de organizaciones. Con menos niveles, los contratistas y subcontratistas de defensa pueden identificar más claramente los requisitos necesarios, reduciendo así la complejidad y los costos asociados con lograr y mantener la conformidad. Además, un marco simplificado permite un proceso de certificación más eficiente.

Aquí hay un breve resumen de cada nivel de certificación del CMMC:

• Nivel 1 - Fundamental : Se enfoca en la ciberhigiene básica, adecuado para todos los contratistas que manejan información de contratos federales (FCI) con 17 requisitos esenciales.
• Nivel 2 - Avanzado : Está alineado con el NIST SP 800-171, destinado a una ciberhigiene de nivel medio para organizaciones que manejan información no clasificada controlada (CUI) e integra 110 requisitos exhaustivos.
• Nivel 3 - Experto : Apunta a prácticas avanzadas de ciberseguridad para información altamente sensible, con 130 prácticas para protegerse contra amenazas persistentes avanzadas (APT).

Cada nivel del CMMC 2.0 representa un progreso en la madurez de la ciberseguridad, asegurando que las organizaciones mejoren gradualmente su capacidad de sensibilización y respuesta a las amenazas cibernéticas.

Áreas y prácticas CMMC 2.0

El CMMC 2.0 está dividido en 14 áreas, cada una representando un área clave de la ciberseguridad.

1. Control de acceso (AC)
2. Concienciación y capacitación (AT)
3. Auditoría y responsabilidad (AU)
4. Gestión de configuración (CM)
5. Identificación y autenticación (IA)
6. Respuesta a incidentes (IR)
7. Mantenimiento (MA)
8. Protección de medios (MP)
9. Seguridad del personal (PS)
10. Seguridad física (PE)
11. Evaluación de riesgos (RA)
12. Evaluación de seguridad (CA)
13. Protección de sistemas y comunicaciones (SC)
14. Integridad del sistema y la información (SI)

Cada nivel de madurez en estas áreas incluye requisitos específicos. Estos requisitos son los pasos concretos o controles de seguridad que las organizaciones deben implementar para alcanzar el nivel correspondiente de madurez en ciberseguridad. Los requisitos son acumulativos, lo que significa que los niveles superiores incluyen los requisitos de los niveles inferiores.

Por ejemplo, el área de Control de Acceso (AC) incluye los siguientes requisitos.

Nivel 1:

• 3.1.1: Limite el acceso al sistema de información a usuarios autorizados, procesos que actúan en nombre de usuarios autorizados, o dispositivos (incluyendo otros sistemas de información).
• 3.1.2: Limite el acceso al sistema de información a los tipos de transacciones y funciones que los usuarios autorizados pueden realizar.
• 3.1.20: Revise y controle/limite las conexiones y el uso de sistemas de información externos.
• 3.1.22: Controle la información que se publica o procesa en sistemas de información de acceso público.

Nivel 2: Además de los controles en el Nivel 1, implemente:

• 3.1.10: Utilice el bloqueo de sesión con patrones de visualización para evitar el acceso a datos y su visualización después de un período de inactividad.
• 3.1.11: Termine (automáticamente) las sesiones de usuario después de una condición definida.
• 3.1.12: Supervise y controle las sesiones de acceso remoto.
• 3.1.14: Redirija el acceso remoto a través de puntos de control de acceso gestionados.
• 3.1.15: Permita la ejecución remota de comandos privilegiados y el acceso remoto a información relevante para la seguridad.
• 3.1.16: Permita el acceso inalámbrico antes de permitir tales conexiones.
• 3.1.17: Proteja el acceso inalámbrico mediante autenticación y cifrado.
• 3.1.18: Controle la conexión de dispositivos móviles.
• 3.1.19: Cifre CUI en dispositivos móviles y plataformas informáticas móviles.
• 3.1.21: Limite el uso de dispositivos de almacenamiento portátil en sistemas externos.
• 3.1.3: Controle el flujo de CUI según los permisos aprobados.
• 3.1.4: Separe las funciones de individuos para minimizar el riesgo de actividades malintencionadas sin complicidad.
• 3.1.5: Aplique el principio de privilegios mínimos, incluidas funciones de seguridad específicas y cuentas privilegiadas.
• 3.1.6: No utilice cuentas o roles no privilegiados para acceder a funciones inseguros.
• 3.1.7 : Prevenga que los usuarios no privilegiados ejecuten funciones privilegiadas y registre la ejecución de estas funciones en los registros de auditoría.
• 3.1.8 : Limite los intentos fallidos de inicio de sesión.
• 3.1.9 : Proporcione avisos de privacidad y seguridad que cumplan con las normativas CUI aplicables.

Nivel 3 : Añade los 24 requisitos adicionales en NIST 800-172: Requisitos de seguridad mejorados para la protección de información no clasificada controlada. Es una publicación complementaria a NIST 800-171 que describe requisitos de seguridad detallados para proteger información crítica contra amenazas avanzadas y persistentes.

Según el NIST 800-172, los requisitos de control de acceso incluyen:

• 3.1.1e : Utilice autorización dual para ejecutar operaciones críticas o sensibles a nivel de sistema y organización.
• 3.1.2e : Restringa el acceso a sistemas y componentes del sistema solo a recursos informativos mantenidos, proporcionados o emitidos por la organización.
• 3.1.3e : Utilice soluciones de transmisión de información seguras definidas por la organización para controlar los flujos de información entre dominios de seguridad en sistemas conectados.

Esta estructura jerárquica ayuda a las organizaciones a mejorar su postura de ciberseguridad de manera sistemática mediante la implementación de prácticas cada vez más maduras.

Ejemplos de controles CMMC 2.0

Echemos un vistazo más de cerca a algunos ejemplos específicos de prácticas de seguridad para cada nivel de conformidad CMMC 2.0.

Nivel 1: Fundamental

Este nivel incluye prácticas de protección básicas que son necesarias para todos los subcontratistas de defensa que manejan FCI. Estas prácticas están alineadas con FAR 52.204-21 e incluyen medidas de seguridad como protección antivirus, cambios regulares de contraseña y medidas de seguridad física.

Algunos ejemplos de requisitos de conformidad del Nivel 1:

• Restrinja el acceso a los sistemas de información a usuarios autorizados.
• Restringir el acceso a los sistemas de información a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar.
• Revise y controle/limite las conexiones y el uso de sistemas de información externos.
• Controle la información que se publica o procesa en sistemas de información de acceso público.
• Identifique a los usuarios de los sistemas de información, los procesos que actúan en nombre de los usuarios o los dispositivos.
• Autentique (o verifique) la identidad de estos usuarios, procesos o dispositivos como condición previa para acceder a los sistemas de información de la organización.
• Desinfecte o destruya los medios de almacenamiento de los sistemas de información que contengan información de contratos federales antes de su eliminación o reutilización.
• Restringa el acceso físico a los sistemas de información organizacionales, dispositivos y entornos operativos respectivos a personas autorizadas.
• Acompañe a los visitantes y supervise sus actividades.
• Lleve registros de auditoría del acceso físico.
• Controle y gestione las instalaciones de acceso físico.
• Proporcione protección contra software malicioso en los puntos correspondientes dentro de los sistemas de información de la organización.
• Actualice los mecanismos de protección contra software malicioso tan pronto como haya nuevas versiones disponibles.
• Realice análisis regulares del sistema de información y análisis en tiempo real de los archivos de fuentes externas cuando se descarguen, abran o ejecuten los archivos.
• Supervise continuamente los controles de seguridad para asegurar la eficacia continua de los controles.
• Detecte, informe y solucione oportunamente los errores en la información y los sistemas de información.
• Ofrezca capacitación en concienciación sobre seguridad para apoyar la detección e informe de posibles indicadores de amenazas internas.

Nivel 2: Avanzado

Este nivel está alineado con NIST SP 800-171 y abarca prácticas para proteger la CUI. Se basa en el Nivel 1 añadiendo medidas y políticas de ciberseguridad más amplias.

Ejemplos de requisitos clave del nivel de cumplimiento 2:

• Establezca y mantenga configuraciones básicas e inventarios de los sistemas de información de la organización (incluidos hardware, software, firmware y documentación) durante los ciclos de desarrollo de los sistemas respectivos.
• Implemente subredes para componentes del sistema accesibles públicamente que estén física o lógicamente separados de las redes internas.
• Utilice mecanismos criptográficos para proteger la confidencialidad de las sesiones de acceso remoto.
• Asegure la confidencialidad de la CUI en reposo.
• Utilice criptografía validada por FIPS cuando se utilice para proteger la confidencialidad de la CUI.
• Implemente una capacidad para descubrir e identificar sistemas para mantener un inventario actualizado de los activos.
• Desarrolle, documente y mantenga bajo control de configuración una configuración básica actual del sistema de información.
• Realice pruebas de penetración regulares en los sistemas de información para identificar vulnerabilidades.
• Utilice mecanismos automatizados para detectar y alertar sobre hardware o software no autorizado.
• Utilice mecanismos de protección contra spam en los puntos de entrada y salida de los sistemas de información para detectar y contrarrestar mensajes no deseados.

Nivel 3: Experto

Este nivel está diseñado para organizaciones que manejan la información más sensible y está alineado con un subconjunto de NIST SP 800-172. Abarca medidas de ciberseguridad avanzadas y adaptativas para protegerse contra amenazas sofisticadas.

Los controles para este nivel de conformidad incluyen monitoreo continuo, detección avanzada de amenazas y segmentación de redes. Aquí hay algunos ejemplos de controles adicionales:

• Establezca y opere un centro de operaciones de seguridad para monitorear, analizar y responder a incidentes de seguridad.
• Implemente una segmentación avanzada de la red para contener y limitar el impacto de los incidentes cibernéticos.
• Utilice tecnologías de engaño para detectar, analizar y responder a amenazas persistentes avanzadas.
• Realice ejercicios de equipo rojo para probar las capacidades de respuesta de la organización contra tácticas avanzadas de atacantes simuladas.
• Integre inteligencia de amenazas en el proceso de respuesta a incidentes para mejorar las capacidades de detección y respuesta.
• Implementar monitoreo continuo y análisis en tiempo real de amenazas cibernéticas.
• Utilizar aprendizaje automático e inteligencia artificial para mejorar la detección y respuesta a amenazas.
• Emplear herramientas automatizadas para apoyar la percepción situacional y evaluaciones de la postura de ciberseguridad.
• Implementar y probar regularmente planes de copias de seguridad y recuperación para garantizar la capacidad de restaurar información crítica en caso de un incidente cibernético.
• Usar técnicas avanzadas de cifrado para proteger la integridad y confidencialidad de la CUI.

¿Qué son los controles NFO?

Los controles de organizaciones no federales (NFO) son controles de seguridad básicos que deben formar parte de la postura estándar de ciberseguridad de cualquier organización, independientemente de su nivel de CMMC.

Para comprender los controles NFO, necesitamos examinar NIST 800-171 y su relación con NIST 800-53. CMMC 2.0 está estructurado en torno al conjunto de controles de la Revisión 2 de NIST 800-171, que en sí mismo se deriva de NIST 800-53. NIST 800-171 está diseñado para ser más ligero, y en el proceso de reducir los 262 controles de NIST 800-53 a un conjunto más pequeño para NIST 800-171, el NIST hizo suposiciones sobre qué controles ya han implementado las organizaciones.

Para decirlo de otra manera: una empresa de seguridad para el hogar le dará consejos sobre cámaras y luces con sensores de movimiento porque asume que ya tiene cerraduras en las puertas. De manera similar, la Revisión 2 de NIST 800-171 asumió que ya están presentes los conceptos básicos. Los requisitos NFO generalmente abarcan áreas como el control de acceso, la respuesta a incidentes, la integridad del sistema e información, la concienciación y la capacitación, y la evaluación de la seguridad.

Los controles NFO fueron eliminados en la Revisión 3 de NIST 800-171. Sin embargo, dado que CMMC 2.0 todavía se basa en la Revisión 2 de NIST 800-171, los controles NFO siguen siendo relevantes para la postura de preparación de una OSC.

Superposición de controles de CMMC 2.0

Los controles de CMMC se superponen significativamente con otros marcos federales como NIST SP 800-171, NIST SP 800-53 y FedRAMP, ya que todos están diseñados para garantizar la seguridad de los sistemas e información federales.

Aquí está cómo los controles de CMMC se relacionan con cada uno de estos marcos:

1. CMMC y NIST SP 800-171

Existen superposiciones significativas entre estos dos marcos. NIST SP 800-171 ofrece una serie de directrices para proteger CUI en sistemas y organizaciones no federales. Los niveles 2 y 3 de CMMC 2.0 incluyen los 110 requisitos de seguridad de NIST SP 800-171.

El nivel 2 de CMMC está diseñado para alinearse estrechamente con NIST SP 800-171, lo que lo convierte en un paso natural para las organizaciones que ya cumplen con NIST SP 800-171. El nivel 3 agrega prácticas de NIST 800-172 para brindar una protección más robusta de CUI, especialmente contra amenazas avanzadas persistentes.

2. CMMC y NIST SP 800-53

NIST SP 800-53 es un conjunto más abarcador y completo de controles de seguridad y privacidad desarrollados para sistemas de información federales. Se aplica a agencias federales y contratistas que manejan sistemas de información federales y cubre una amplia gama de controles de seguridad que van más allá de aquellos para CUI.

NIST SP 800-53 es más abarcador que CMMC y cubre una gama más amplia de controles aplicables a diferentes tipos de información, no solo a CUI. Incluye controles para sistemas de alto impacto, lo que lo hace relevante para agencias federales y contratistas que trabajan con información más sensible o crítica.

CMMC se basa en NIST SP 800-53 y específicamente en su derivado NIST 800-171 y está adaptado para cumplir con los requisitos específicos de la cadena de suministro del DoD. La mayoría de los controles en CMMC están incluidos en NIST 800-53.

3. CMMC y FedRAMP

FedRAMP está específicamente dirigido a los proveedores de servicios en la nube (CSP) y asegura que los sistemas basados en la nube utilizados por las agencias federales cumplan con estrictos requisitos de seguridad. Se basa en NIST SP 800-53, complementado con requisitos y controles adicionales adaptados a entornos en la nube.

CMMC no se dirige específicamente a entornos en la nube como FedRAMP, pero existen muchas superposiciones en los controles de seguridad requeridos para ambos. Por ejemplo, ambos marcos enfatizan la importancia del control de acceso, la respuesta a incidentes, la integridad del sistema y la información, así como la supervisión continua.

Las organizaciones que son conformes con FedRAMP y que también buscan la certificación CMMC pueden encontrar superposiciones en los controles que deben implementar, especialmente en los niveles 2 y 3 de CMMC. Estas superposiciones pueden ayudar a racionalizar los esfuerzos de cumplimiento, pero las organizaciones deben asegurarse de cumplir con los requisitos específicos de cada marco.

La principal diferencia entre CMMC y estos otros marcos es que CMMC está específicamente diseñado para la cadena de suministro del DoD y se centra en la verificación y certificación de que las organizaciones no federales cumplen con los estándares de seguridad necesarios para proteger FCI y CUI. Otros marcos como NIST SP 800-171 y FedRAMP tienen un alcance más amplio y se aplican a varios sectores y tipos de sistemas de información, más allá de la cadena de suministro del DoD.

Consejos para implementar la lista de controles del CMMC 2.0

El primer paso para implementar controles es comprender su nivel de cumplimiento y los requisitos asociados. Una vez que tenga una lista de controles, puede compararlos con sus prácticas de seguridad actuales para identificar brechas en su cumplimiento. Las herramientas de cumplimiento automatizadas, como Secureframe, asignarán automáticamente sus controles existentes a los marcos específicos, incluido el CMMC 2.0, para que pueda comprender rápidamente su estado de cumplimiento y centrarse en la implementación de los controles que faltan. Y dado que los controles se pueden asignar a múltiples marcos, las organizaciones que ya cumplen con marcos similares, como NIST 800-171, pueden demostrar rápidamente su cumplimiento con el CMMC.

Resalte las áreas de incumplimiento para priorizar sus esfuerzos y crear un plan de implementación. Debe evaluar el presupuesto, el personal y las herramientas necesarias para implementar los controles requeridos. Es posible que deba implementar herramientas de capacitación en concienciación sobre seguridad, herramientas de cumplimiento y/o herramientas GRC, enclaves CMMC-CUI y otras tecnologías de protección CUI. Desde la perspectiva del personal, esto puede incluir miembros del equipo de TI, expertos en seguridad, oficiales de cumplimiento, personal de recursos humanos y otras partes interesadas en toda la empresa. También debe capacitar al personal para asegurarse de que todos comprendan su papel en el proceso de cumplimiento y el mantenimiento de prácticas sólidas de ciberseguridad.

Cuando sea el momento de implementar controles específicos, trabaje desde su lista priorizada. Mantenga registros detallados de sus esfuerzos, incluidas políticas, procedimientos y evidencia de los controles implementados. Muchas organizaciones encuentran más fácil comenzar con controles básicos, como políticas de contraseñas y software antivirus, antes de avanzar a controles más complejos, como cifrado y sistemas de monitoreo continuo. La plataforma de cumplimiento de Secureframe incluye herramientas para simplificar este proceso, incluidas plantillas de políticas, recopilación automatizada de evidencia y monitoreo continuo de controles.

Una vez que haya cerrado todas las brechas de cumplimiento, puede comenzar el proceso formal de evaluación del CMMC. Dependiendo de su nivel de cumplimiento, esto puede incluir una autoevaluación, trabajar con un evaluador externo certificado (C3PAO) o completar una evaluación del Supplier Performance Risk System (SPRS) con el DoD.

Después de la certificación, debe monitorear continuamente su entorno de control para asegurar su efectividad e identificar áreas que necesitan mejoras. Esto también le permitirá seguir el ritmo de las amenazas emergentes y nuevas revisiones del CMMC o cambios en los requisitos.