Descubre las 5 cosas que tu empresa debe saber sobre el cumplimiento de CMMC.

5 cosas que tu empresa debe saber sobre el cumplimiento de CMMC

En noviembre de 2020, el Departamento de Defensa de EE. UU. (DoD) implementó un nuevo estándar de certificación para contratistas conocido como Cybersecurity Maturity Model Certification (CMMC). El objetivo de esta certificación es reforzar los protocolos de ciberseguridad y disminuir las vulnerabilidades ante posibles ciberataques. 

En el pasado, varias regulaciones han incluido componentes de ciberseguridad. Sin embargo, el CMMC se desarrolló específicamente para abordar los problemas de seguridad digital . Este es un cambio de reglas importante para las industrias y empresas que trabajan con el Departamento de Defensa y otras agencias gubernamentales, uno que podría cambiar la forma en que abordan sus herramientas y procesos de ciberseguridad. 

Este artículo enumeró algunos de los puntos clave que debe conocer a medida que los estándares de certificación CMMC comienzan a entrar en vigencia. 

CMMC es para todos los contratistas del Departamento de Defensa con una implementación gradual

La mayoría de las empresas se preguntan si realmente necesitan CMMC y, de ser así, cuándo. Bueno, hay varias partes para responder a esto. Generalmente, el DoD no incluye los requisitos de CMMC en los contratos actuales. 

Sin embargo, para fines de 2021, al menos 15 contratos deberían contener requisitos de CMMC. Se espera que este número aumente exponencialmente cada año. Y para 2025, el DoD espera que casi 480 contratos tengan cláusulas CMMC, y más de 45,000 sean contratistas certificados. 

Dicho esto, si usted es un contratista o subcontratista del Departamento de Defensa que trabaja en un proyecto del Departamento de Defensa, debe esperar que los requisitos de CMMC se apliquen a su empresa antes. 

La certificación tiene un costo variable

Con cualquier certificación, no existe un costo de “talla única” para la certificación CMMC. El costo de obtener una certificación CMMC puede ser bastante alto, según escenarios específicos. 

En general, el costo para las empresas individuales por cumplir con los requisitos de CMMC puede variar según:

  • El tamaño de la empresa
  • El nivel de seguridad en el lugar
  • La complejidad de los sistemas internos
  • El nivel CMMC para el que la empresa está tratando de certificarse

Si desea saber más sobre el costo de la certificación CMMC, puede consultarlo en este sitio web . 

Hay 5 niveles de CMMC

CMMC tiene 5 niveles escalonados y el nivel de certificación que necesita su negocio dependerá del tipo de contactos que desee ofertar. 

Nivel uno

La certificación de nivel uno sigue las mejores prácticas de seguridad cibernética más básicas y lo que todos los contratistas gubernamentales deberían estar haciendo ya. Tiene el mismo requisito que los requisitos actuales de FAR 52.204-21, incluido el mantenimiento del software antivirus, el seguimiento de protocolos de contraseña seguros y la ejecución de actualizaciones de software periódicas. 

Nivel dos

Una certificación de nivel dos requiere el cumplimiento de estándares intermedios de ciberseguridad. Es como una etapa de transición para el nivel tres y es imprescindible para cualquier empresa que trabaje con información no clasificada controlada (CUI). 

Nivel tres

Para las empresas que almacenan o procesan CUI, poseen datos gubernamentales, tienen información de contratos federales o datos controlados por exportación, un cumplimiento de CMMC de nivel tres es imprescindible. Un CMMC de nivel tres es a lo que deberían aspirar la mayoría de los contratistas gubernamentales. 

Nivel cuatro

Al igual que el nivel dos, el nivel cuatro es una etapa de transición para el nivel cinco. Los requisitos para este nivel de CMMC pueden ser bastante desafiantes, lo que requiere que tome medidas no solo para protegerse contra los ciberataques comunes y corrientes, sino también contra las amenazas persistentes avanzadas, incluidas las organizaciones terroristas y los estados-nación deshonestos. 

Nivel cinco

Como el nivel de certificación CMMC más alto, las empresas en este nivel deben tener un proceso totalmente optimizado, así como herramientas de ciberseguridad de vanguardia para prevenir los métodos de piratería más sofisticados. 

Necesita obtener la certificación con un evaluador designado

Para las empresas que quieran trabajar con contratos del Departamento de Defensa, usted será responsable de cumplir con los requisitos de CMMC y obtener la certificación. Esto significa que debe comunicarse con un C3PAO y contratarlo para que revise sus prácticas de seguridad para asegurarse de que cumple con el nivel de certificación deseado. 

Además, los subcontratistas también deben cumplir con los requisitos de CMMC antes de trabajar con contratistas primarios. Sin embargo, los subcontratistas no necesitan tener el mismo nivel de certificación que los contratistas primarios si no manejan tantos datos como los contratistas primarios.

Esto permite que la implementación de CMMC sea lo más fluida posible para las empresas, especialmente para las pequeñas empresas. 

Los requisitos de CMMC son muy similares a los de NIST 800-171

Antes de CMMC, existía el NIST 800-171. Este es un estándar de ciberseguridad que describe varios aspectos de la seguridad empresarial. Se implementó como una autoevaluación; sin embargo, se descubrió que la mayoría de las organizaciones no siguen ni hacen cumplir estas regulaciones. 

CMMC se basa en NIST 800-171, por lo que comparte numerosos requisitos. Sin embargo, CMMC tiene algunas medidas adicionales y se espera que se aplique de manera más estricta con auditorías, evaluaciones y certificaciones de terceros. 

Conclusión

El DoD depende en gran medida de los contratistas para lograr sus objetivos. Sin embargo, también consideran la ciberseguridad como una parte fundamental de la seguridad nacional. Y los contratistas que deseen servir y trabajar con el DoD deben comenzar a priorizar la certificación CMMC, mostrando cuánto priorizan la ciberseguridad, dándoles una ventaja competitiva. 


Conviertete en un programador más sociable

Patrocinadores