El CMMC es un marco desarrollado por el Departamento de Defensa de los EE.UU. para asegurar que las empresas que trabajan con el DoD adopten prácticas sólidas de ciberseguridad. El CMMC asegura que las empresas protejan información importante relacionada con la seguridad, incluida la información de contratos federales (FCI) y la información controlada y no clasificada (CUI).

El CMMC fue creado en respuesta a varios problemas graves de ciberseguridad.

Primero, un entorno de amenazas y seguridad cada vez más sofisticado a nivel nacional. La industria de defensa (DIB), esencialmente la red de organizaciones que proporcionan productos, servicios y tecnología al ejército, ha sido un objetivo preferido para el aumento de ciberataques en los que los adversarios han intentado explotar vulnerabilidades para robar información sensible y propiedad intelectual. Los datos comprometidos pueden tener consecuencias graves, incluidas la interrupción de operaciones militares y la pérdida de ventajas tecnológicas.

Segundo, para estandarizar prácticas de ciberseguridad inconsistentes. Antes del CMMC, las prácticas de seguridad dentro de la DIB variaban significativamente. Muchos subcontratistas no habían implementado medidas adecuadas para proteger la información sensible, lo que llevaba a violaciones y datos comprometidos.

Al requerir autoevaluaciones anuales o una certificación de terceros, el DoD asegura que todos los subcontratistas mantengan un nivel básico de seguridad. El CMMC también está alineado con esfuerzos regulatorios más amplios para mejorar la ciberseguridad, incluidas otras iniciativas y políticas nacionales para proteger infraestructuras críticas e información sensible, como los estándares NIST, la Regulación Federal de Adquisiciones (FAR) y el Suplemento de la Regulación Federal de Adquisiciones de Defensa (DFARS), así como varias órdenes ejecutivas e iniciativas nacionales de ciberseguridad.

Tercero, para asegurar la cadena de suministro de defensa, que incluye una amplia red de empresas, desde grandes contratistas principales hasta pequeños subcontratistas. El CMMC asegura que todas las entidades de esta cadena de suministro cumplan con estándares robustos de ciberseguridad, reduciendo así el riesgo total para el DoD y, en última instancia, para la seguridad nacional.

Existen tres niveles de conformidad del CMMC 2.0, dependiendo del tipo de información que maneja la organización.

• Nivel 1: Fundamental asegura que las empresas implementen prácticas básicas de ciberseguridad para proteger la FCI.
• Nivel 2: Avanzado se basa en el NIST SP 800-171 Rev 2 y está diseñado para organizaciones que manejan CUI.
• Etapa 3: Experto incluye controles adicionales de NIST SP 800-172 para proteger contra amenazas avanzadas persistentes (APT). Las APT son ciberataques altamente sofisticados y dirigidos que tienen como objetivo infiltrarse en una red, permanecer sin ser detectados durante largos períodos de tiempo y extraer sistemáticamente datos valiosos.

¿Qué es la certificación CMMC?

Estar certificado por CMMC significa que una organización ha cumplido con los estrictos estándares de ciberseguridad establecidos por el DoD para manejar FCI y CUI.

Beneficios de la certificación CMMC

• Ciberseguridad demostrada: La certificación CMMC confirma que una organización tiene un marco de ciberseguridad robusto y sigue las mejores prácticas para proteger información sensible.
• Elegibilidad para aplicar a contratos: La certificación es un requisito para las organizaciones que desean aplicar y participar en contratos del DoD. Sin la certificación CMMC, las empresas no pueden competir por contratos del DoD que involucren información sensible.
• Ventaja competitiva: Obtener la certificación CMMC puede ofrecer una ventaja competitiva en el mercado, ya que muestra un compromiso con la ciberseguridad y el cumplimiento, lo cual puede ser atractivo para otros clientes y socios potenciales.
• Gestión de riesgos: El proceso de certificación ayuda a las organizaciones a identificar y mitigar riesgos de ciberseguridad, lo que lleva a una seguridad general mejorada y una reducción en la probabilidad de violaciones de datos.
• Conformidad regulatoria: La certificación CMMC asegura el cumplimiento de los requisitos del DoD, lo que también puede contribuir al cumplimiento de estándares regulatorios y de seguridad adicionales como el NIST CSF, SOC 2 y NIST SP 800-53.

CMMC 2.0: Resumen de los cambios clave

Anunciado en noviembre de 2021, CMMC 2.0 introdujo cambios importantes para simplificar el proceso de certificación, alinearse más estrechamente con los estándares de ciberseguridad existentes y reducir la carga de cumplimiento para las pequeñas empresas. Estos cambios hacen que el marco sea más práctico y accesible, al tiempo que garantizan prácticas robustas de ciberseguridad para proteger información sensible.

Repasemos las actualizaciones clave del marco:

Reducción del número de niveles

CMMC 2.0 ha reducido el número de niveles de certificación de cinco a tres:

• Nivel 1 (Básico): Fundamentos de higiene cibernética.
• Nivel 2 (Avanzado): Corresponde a las prácticas de NIST SP 800-171.
• Nivel 3 (Experto): Corresponde a algunos de los controles de NIST SP 800-172, con un enfoque en prácticas de ciberseguridad avanzadas/progresivas.

Mayor alineación con los estándares del Instituto Nacional de Estándares y Tecnología (NIST)

Las prácticas necesarias para la conformidad en los niveles 2 y 3 ahora están más alineadas con los estándares existentes de NIST SP 800-171 y NIST SP 800-172, lo que facilita la conformidad con el CMMC para las organizaciones que ya siguen este marco.

Autoevaluaciones para ciertos niveles y tipos de contratos.

Las organizaciones ahora pueden realizar autoevaluaciones anuales para la conformidad en el Nivel 1, en lugar de necesitar evaluaciones de terceros.

Las evaluaciones del Nivel 2 ahora se dividen en dos categorías. Los contratos críticos aún requieren evaluaciones cada tres años por parte de una organización de evaluación de terceros certificada (C3PAO). Para ciertos contratos no críticos, la conformidad del Nivel 2 puede lograrse mediante autoevaluaciones anuales en lugar de evaluaciones de terceros, confirmadas por una empresa líder.

El Nivel 3 requiere una evaluación por parte del DoD. Las organizaciones que busquen la certificación en el Nivel 3 deben haber obtenido primero una evaluación final de su certificación del Nivel 2.

Al permitir autoevaluaciones para contratos de Nivel 1 y algunos de Nivel 2, el CMMC 2.0 tiene como objetivo reducir la carga de cumplimiento y los costos asociados, especialmente para pequeñas y medianas empresas.

Requisitos más específicos

El CMMC 2.0 ha eliminado algunos requisitos únicos del CMMC que no estaban en línea con los estándares existentes. Los niveles y prácticas simplificados también se enfocan más específicamente en la protección de CUI, que es una preocupación principal para el DoD.

Mayor responsabilidad y transparencia

Las organizaciones que realizan autoevaluaciones deben hacer que los resultados de la evaluación sean confirmados por un ejecutivo para reforzar la responsabilidad. Directrices y requisitos claros también buscan mejorar la transparencia y comprensión de la conformidad requerida.

Con el lanzamiento gradual que comenzó en mayo de 2023, se espera que el CMMC 2.0 sea completamente introducido en todos los contratos del DoD para 2026. Sin embargo, es importante tener en cuenta que incluso si el CMMC no se incluye en el contrato del DoD de su organización en una fecha determinada, se aplicará a los contratos y auditorías una vez que se publique la regla definitiva del CMMC. Para mantenerse competitivo en el mercado del DoD, las organizaciones deben priorizar la conformidad con el CMMC 2.0. También es probable que los contratistas principales prefieran a los subcontratistas que estén mejor preparados para proteger su cadena de suministro.