Certificación del Modelo de Madurez de Ciberseguridad (CMMC): Lo que necesita saber

por

El Departamento de Defensa de los Estados Unidos está implementando la Certificación del Modelo de Madurez de Ciberseguridad (CMMC) para normalizar y estandarizar la preparación de la ciberseguridad en toda la base industrial de defensa (DIB) del gobierno federal. Esta pieza cubrirá el concepto de un modelo de madurez en el contexto de la ciberseguridad, las representaciones clave de la DIB, la anatomía de los niveles CMMC, y cómo Varonis puede acelerar la certificación.

  • ¿Qué es la Certificación del Modelo de Madurez de Ciberseguridad?
  • El marco CMMC y los 5 niveles
  • Cómo obtener la certificación CMMC
  • Mapeo de productos de Varonis con los dominios CMMC

¿Qué es un modelo de madurez?

Los modelos de madurez son un conjunto de mejores prácticas, cuyo grado de adhesión hace progresar a las organizaciones a lo largo de una escala que va desde niveles inferiores de adopción o «madurez» hasta niveles superiores de aptitud y certificación. Certificarse en un modelo de madurez significa que una empresa u organización se ha comprometido a mejorar sus procesos y prácticas dentro de los dominios de un modelo hasta alcanzar un nivel sostenible y medido de alto rendimiento.

Rápido CMMC con esta guía gratuita

¿Qué es la certificación del modelo de madurez de ciberseguridad?

La Certificación del Modelo de Madurez de Ciberseguridad es un programa iniciado por el Departamento de Defensa de los Estados Unidos (DoD) con el fin de medir las capacidades, la preparación y la sofisticación de sus contratistas de defensa en el ámbito de la ciberseguridad. A un alto nivel, el marco es una colección de procesos, otros marcos, y las entradas de las normas de ciberseguridad existentes, tales como NIST, FAR, y DFARS.

A un nivel táctico, el objetivo principal de la certificación es mejorar la garantía y la seguridad de la información no clasificada controlada (CUI) y la información del contrato federal (FCI) que está en la posesión y el uso de sus contratistas federales. El programa CMMC se anunció el 31 de enero de 2020.

¿Cuándo entra en vigor?

A partir de septiembre de 2020, el DoD comenzó a emitir un número limitado de solicitudes de información que contienen especificaciones CMMC, y se espera que CMMC sea un requisito de todas las nuevas solicitudes de propuestas del DoD a partir de 2026.

¿A quién se aplica el CMMC?

La certificación es aplicable tanto a los contratistas «principales» que se comprometen directamente con el DoD, como a los subcontratistas que contratan con los principales para proporcionar el cumplimiento y la ejecución de esos contratos. Aunque algún nivel de certificación será un requisito de cada contrato a partir de 2026, el DoD ha indicado que tiene la intención de emitir oportunidades de contrato en todos los niveles del modelo de madurez, lo que significa que habrá un cierto número de solicitudes emitidas que requerirán sólo un bajo nivel de certificación, y algunas que requerirán niveles más altos de certificación.

¿Por qué es importante el CMMC?

Descripción de estadísticas importantes: 600.000 millones de dólares anuales de impacto de la ciberdelincuencia, 402.000 millones de dólares anuales de valor de los contratos del Departamento de Defensa, 300.000 empresas en el DIB, 54% de asignación presupuestaria a la pequeña empresa

Se estima que la ciberdelincuencia drena más de 600.000 millones de dólares anuales del PIB mundial. Depender de la vasta red de contratistas para ejecutar su misión significa que el Departamento de Defensa está confiando a cada uno de ellos datos críticos que aumentan sistemáticamente el perfil de riesgo general del DIB. En consecuencia, el Departamento de Defensa entiende la carga y la enorme proporción de riesgo que la ciberdelincuencia impone a su base de subcontratistas, muchos de los cuales son pequeñas empresas y carecen de los recursos de sus contrapartes principales más grandes.
Es en este contexto que el Departamento de Defensa ha lanzado el CMMC, para facilitar la adopción de las mejores prácticas en materia de ciberseguridad con una estrategia de «defensa en profundidad» en toda su base global de contratistas.

Saber antes: Key CMMC Takeaways

  • Se aplica a los contratistas principales y subcontratistas del DoD
  • Se aplica a algunos contratos nuevos a partir de 2020 y se aplica a todos los contratos a partir de 2026
  • El modelo progresivo abarca niveles de avance de los procesos y prácticas de ciberseguridad que resultan en un nivel de certificación
  • Los contratistas deben comenzar en el nivel 1 y certificar en cada nivel hasta llegar al nivel superior 5
  • Varonis es una potente herramienta para facilitar todos los niveles de cumplimiento del CMMC

El marco del CMMC y los 5 niveles

Ilustración del CMMC de una tabla que muestra los requisitos de los niveles

La certificación del modelo de madurez de ciberseguridad se basa en un nivel ascendente de preparación desde el nivel 1 (el más bajo) hasta el nivel 5 (avanzado).

El objetivo último del CMMC es garantizar la protección de dos tipos de información frente a su divulgación o uso no autorizado:

  • Información no clasificada controlada (CUI): Información que requiere controles de salvaguarda o difusión de acuerdo con la ley, los reglamentos y las políticas de todo el gobierno aplicables, pero que no está clasificada según la Orden Ejecutiva 13526 o la Ley de Energía Atómica, en su versión modificada.
  • Información de contratos federales (FCI): Información, no destinada a la divulgación pública, que es proporcionada por o generada para el gobierno en virtud de un contrato para desarrollar o entregar un producto o servicio al gobierno, pero que no incluye la información proporcionada por el gobierno al público.

Niveles de certificación CMC (Resumen)

Cada nivel tiene un conjunto de Procesos y Prácticas y un calificador o «objetivo» para cada uno de ellos en relación con los Dominios aplicables en ese nivel. Por ejemplo, como se ve en la imagen de abajo, alcanzar el nivel 2 de CMMC significa que el objetivo de una organización es tener Procesos que están documentados y Prácticas que son consistentes con la ciber higiene intermedia.

Ilustración del marco CMMC

Componentes del marco

Los componentes CMMC en juego son:

  • Dominios
  • Procesos
  • Capacidades
  • Prácticas

A medida que los contratistas avanzan en sus evaluaciones en cada uno de estos componentes, se logra la certificación global de un nivel.

Los contratistas principales y subcontratistas federales son evaluados por su adhesión a los Procesos y Prácticas en relación con cada uno de los Dominios aplicables en cada nivel del modelo.

NOTA: No todos los Dominios abarcan los cinco niveles. Los dominios pertenecen a un mínimo de 1 y a un máximo de 5 niveles o a cualquier número contiguo de niveles intermedios.

Comprensión de los niveles del CMMC &Dominios

En el siguiente gráfico, mirando de arriba a abajo vemos una lista de los 17 Dominios. Mirando de izquierda a derecha vemos el número de Prácticas para cada Dominio y el número de Prácticas en ese Dominio por Nivel (el gráfico de barras segmenta por colores).

Descendiendo por el gráfico, podemos ver que, por ejemplo, no todos los Dominios tienen presencia en el nivel 1 (L1).

Un contratista gubernamental principal o subprincipal que entrega las 17 Prácticas L1 contenidas en los 6 Dominios aplicables a L1 debería recibir la Certificación del Modelo de Madurez de Ciberseguridad de nivel 1.

Refiriéndose al resumen de niveles anterior, los contratistas con CMMC de nivel 1 practican una ciber higiene básica y sus procesos son meramente realizados. Recordemos que no hay evaluación de Procesos en el nivel 1, por lo que no se requiere ML 1 para la certificación de nivel 1.

Avanzando más en el modelo, un contratista alcanzaría el nivel 3 de CMMC cuando entregue las 130 Prácticas L3 contenidas en los 16 Dominios aplicables a L3 y obtenga una evaluación de Procesos de ML3 en cada uno de esos Dominios.

NOTA: Las prácticas son acumulativas en cada Nivel. Los contratistas deben certificar en cada nivel para pasar al siguiente.

Ilustración del CMMC de las industrias de mayor riesgo

Recapitulación del Marco

El CMMC tiene muchas partes interconectadas y en movimiento, por lo que puede ayudar a resumir las medidas clave y visualizar sus relaciones como se ve en la imagen superior.

  • Dominios: 17
  • Capacidades: 43 (Son colecciones de Prácticas)
  • Prácticas: 171
  • Procesos: Niveles de madurez 1 – 5
  • Niveles de certificación: 5

Los procesos se evalúan por niveles de madurez correspondientes al nivel de certificación. Los dominios se componen de y Prácticas (organizadas por Capacidades) y engloban los Procesos realizados en ellos. La certificación de un nivel requiere el dominio de los Dominios en ese nivel que incluye sus Prácticas y Procesos.

Cómo obtener la certificación CMMC

DoD ha creado el Organismo de Acreditación CMMC (AB) que es una organización independiente y sin ánimo de lucro para acreditar a las Organizaciones de Evaluación de Terceros (3PAOs) además de a los evaluadores individuales. Los detalles sobre la mecánica de la certificación son inminentes, pero el DoD planea establecer un mercado para que las 3PAO sean evaluadas y contratadas por los contratistas que buscan la certificación.

Acelerar la CMMC con Varonis

Empezar con la CMMC puede parecer una tarea desalentadora, y la realidad es que la certificación es simplemente un programa demasiado grande para ser manejado por una persona o tal vez incluso un equipo dentro de una organización. Sin embargo, la certificación será un requisito no negociable para los contratistas del Departamento de Defensa en el futuro, y Varonis puede ayudar a los contratistas federales a comenzar de inmediato.

El mejor lugar para comenzar a poner en funcionamiento el CMMC es en los Dominios. Recordemos que se trata de «centros de excelencia» con tareas y gestión que deben realizarse y optimizarse continuamente para que las organizaciones alcancen y avancen en sus niveles de certificación. Recuerde también que el objetivo principal de CMMC es la protección de la Información No Clasificada Controlada (CUI) y la Información de Contratos Federales (FCI).

La Plataforma de Seguridad de Datos de Varonis puede facilitar, ejecutar y automatizar un gran número de las 171 Prácticas y sus Procesos relacionados dentro del cuerpo de requisitos de CMMC.

DatAdvantage

Obtenga visibilidad en tiempo real y pistas de auditoría de archivos, datos sensibles y servidores a través de los ecosistemas Microsoft y UNIX/Linux. Llegue al menor privilegio rápidamente con un conjunto completo de informes para acelerar -y mantener- la certificación.

Motor de clasificación de datos + paquete de políticas, etiquetas de clasificación de datos, motor de transporte de datos &Motor de automatización

Ponga el poder del aprendizaje automático detrás de sus procesos de CUI y FCI para encontrar rápidamente y limpiar completamente los almacenes de datos on-prem y en la nube. Varonis cuenta con un potente conjunto de productos con modelos de clasificación incorporados para más de 60 tipos de archivos que ayudan a los contratistas federales a nivelar y mantener su CMMC al tiempo que garantizan la continuidad del negocio y el acceso a los datos importantes.

DatAlert + Edge

Detenga las amenazas a la CUI y la FCI con alertas de alta fidelidad en archivos, carpetas, cuentas y dominios. Utilice las reglas incorporadas o cree acciones personalizadas para cerrar automáticamente el acceso y remediar la exposición en cualquier punto de la cadena de destrucción.

Mapeo de productos de Varonis a dominios CMMC

Clave de mapeo de productos:

  • DatAdvantage
  • DatAlert + Edge
  • DataPrivilege
  • DatAnswers
  • Motor de clasificación de datos + paquete de políticas
  • Etiquetas de clasificación de datos
  • Motor de transporte de datos
  • Motor de automatización
  • Servicios profesionales
  • Equipo de respuesta a incidentes
Dominio Capacidades Producto(s)
AC – Control de Acceso
  • Establecer los requisitos de acceso al sistema
  • Controlar el acceso al sistema interno
  • Controlar el acceso al sistema remoto
  • Limitar el acceso a los datos a los usuarios y procesos autorizados
 DatAdvantage

DataPrivilege
AM – Gestión de activos
  • Identificar y documentar los activos
  • Gestionar el inventario de activos
 Motor de clasificación de datos + paquete de políticas
AU – Auditoría &Responsabilidad
  • Definir los requisitos de auditoría
  • Realizar auditoría
  • Identificar y proteger la información de auditoría
  • Revisar y gestionar los registros de auditoría
 DatAdvantage

Motor de transporte de datos
AT – Concienciación & Formación
  • Realizar actividades de concienciación sobre seguridad
  • Realizar actividades de formación
 Servicios profesionales
CM – Gestión de la configuración
  • Establecer líneas de base de la configuración
  • Realizar la gestión de la configuración y los cambios
 DatAdvantage

DatAlert + Edge

DataPrivilege

Motor de Automatización
IA – Identificación &Autenticación
  • Otorgar acceso a entidades autenticadas
 DatAdvantage

DataPrivilege
IR – Respuesta a incidentes
  • Planificar la respuesta a incidentes
  • Detectar y reportar eventos
  • Desarrollar e implementar una respuesta a un incidente declarado
  • Realizar revisiones post incidente
  • Probar la respuesta a incidentes
 DatAdvantage

DatAlert + Edge

Equipo de respuesta a incidentes
MA – Mantenimiento
  • Gestionar el mantenimiento
 DatAlert + Edge
MP – Media Protection
  • Identificar y marcar los medios
  • Proteger y controlar los medios
  • Desinfectar los medios
  • Proteger los medios durante el transporte
 DatAdvantage

DataPrivilege

Etiquetas de clasificación de datos
PS – Seguridad del personal
  • Proteger al personal
  • Proteger la CUI durante las acciones del personal
 DatAdvantage

DataPrivilege
PE – Physical Protección
  • Limitar el acceso físico
RE – Recuperación
  • Gestionar las copias de seguridad
  • Gestionar la continuidad de la seguridad de la información
 DatAlert + Edge

Motor de transporte de datos
RM – Gestión de riesgos
  • Identificar y evaluar el riesgo
  • Gestionar el riesgo
  • Gestionar la cadena de suministro riesgo
 DatAdvantage

DatAlert + Edge

Motor de automatización
CA – Evaluación de la seguridad
  • Desarrollar y gestionar un plan de seguridad del sistema
  • Definir y gestionar controles
  • Realizar revisiones de código

    • .

DatAdvantage

DatAlert + Edge

Servicios profesionales
SA – Situational Awareness
  • Implementar la supervisión de amenazas
 DatAlert + Edge
SC – System & Protección de las comunicaciones
  • Definir los requisitos de seguridad para los sistemas y las comunicaciones
  • Controlar la comunicación en los límites del sistema
 DatAdvantage

DatAlert + Edge
SI – Sistema & Integridad de la información
  • Identificar y gestionar los fallos del sistema de información
  • Identificar el contenido malicioso
  • Realizar la monitorización de la red y del sistema
  • Implantar protecciones avanzadas de correo electrónico
 DatAdvantage

DatAlert + Edge

Deja un comentario