CMMC

La Certificación del Modelo de Madurez de Ciberseguridad (CMMC) es un marco de seguridad implementado por el Departamento de Defensa de los Estados Unidos (DoD) para mejorar la protección de la base industrial de defensa. Al igual que otros marcos de seguridad, el CMMC cuenta con una colección de controles para procesos y prácticas con el objetivo de alcanzar un determinado nivel de madurez de ciberseguridad. El objetivo principal del CMMC es garantizar al Departamento de Defensa que una empresa que tiene contratos federales cuenta con las medidas adecuadas para salvaguardar la Información No Clasificada Controlada (CUI) y la Información de Contratos Federales (FCI), y dar cuenta de cómo fluye esa información. También es un marco poderoso que puede aplicarse a cualquiera que desee mejorar su postura de seguridad.

Si estás leyendo esto porque el CMMC puede aplicarse a tus clientes, estupendo. Si estás leyendo esto porque no estás seguro de lo que es el CMMC, aún mejor. Comprenderás mejor el CMMC y posiblemente lo que presagia para el futuro de la autocertificación del cumplimiento.

El CMMC es un marco escalable, por lo que, dependiendo de la sensibilidad de los datos en cuestión, un contrato federal exigirá que se apliquen controles específicos del CMMC. Por el momento, el CMMC tiene cinco niveles. Cuanto más alto es el nivel, más controles se requieren. Y como son acumulativos, el nivel 3 del CMMC exigiría implementar también todo lo que hay en los dos anteriores.

CMMC Nivel 1: Ciberhigiene básica, centrada en la protección de la información de los contratos federales (FCI)

CMMC Nivel 2: Ciberhigiene intermedia – sirve como paso de transición en la madurez de la ciberseguridad

CMMC Nivel 3: Ciberhigiene buena: proteger la información no clasificada controlada (CUI)

CMMC Nivel 4: Proactivo: protege la CUI y reduce el riesgo de amenazas persistentes avanzadas (APT)

CMMC Nivel 5: Avanzado/progresivo: protege la CUI y reduce el riesgo de APTs

¿En qué se diferencia CMMC de otros marcos de seguridad?

Para los MSP, la CMMC no es diferente de cualquier otro conjunto de normas o marcos: contiene una base establecida de mejores prácticas y controles y procesos que deben implementarse. De hecho, la mayoría de los controles de CMMC se corresponden directamente con NIST 800-171. Por lo tanto, si ya has estado creando tus servicios gestionados en torno a NIST 800-171, deberías considerar CMMC como una oportunidad para ayudarte a diferenciarte.
Para los MSP que no han implementado tradicionalmente NIST u otros marcos de seguridad porque no era un requisito para sus clientes, esta es una oportunidad para asumir el riesgo y cosechar las recompensas.

Si has decidido implantar los controles del nivel 3 de CMMC -incluso si no recibes la certificación- tendrás una postura de ciberseguridad más madura, una mayor cartera de servicios que puedes ofrecer a los clientes y una mayor escalabilidad.
Si has llegado hasta aquí y crees que el CMMC no se aplica a ti ya que no das soporte a este tipo de clientes, el CMMC tiene el potencial de funcionar en toda la jerarquía, desde los gobiernos federales hasta los estatales y locales. Cuando el NIST 800-53 se publicó originalmente en 2005 como controles de seguridad recomendados para los sistemas de información federales, estaba destinado a los sistemas de información federales. En agosto de 2017, se eliminó el término federal para indicar que puede aplicarse a cualquier organización. Muchos gobiernos estatales, municipios locales, proveedores de seguros y entidades públicas y privadas de todo tipo han exigido que se sigan los controles y procesos del NIST 800-53 durante años.

Un día, la CMMC, o una evolución de la misma, puede ser tan frecuente como la NIST 800-53. Con la mayor concienciación del público sobre el riesgo que suponen las amenazas a la ciberseguridad, es probable que con el tiempo veamos que la auto-atención es una reliquia del pasado.

Descubre todo lo que necesitas sobre N-Able