La certificación del modelo de madurez de ciberseguridad: son …



Seamos realistas: el riesgo de amenazas de ciberseguridad no va a ninguna parte y solo va a empeorar. Este descubrimiento hizo que el Departamento de Defensa (DoD) creara la Certificación del Modelo de Madurez de Ciberseguridad (CMMC) a principios de este año. Este es un estándar unificado para la implementación exitosa de la ciberseguridad en las más de 300,000 empresas de la cadena de suministro.

El CMMC tiene en cuenta cómo la mayoría de las empresas no pueden mantenerse al día con la afluencia de vulnerabilidades que afectan su infraestructura y computer software. Es la respuesta del DoD a los compromisos generalizados de información de defensa crítica que generalmente se almacena en los sistemas de información de los contratistas.

¿Por qué es tan important el cumplimiento de CMMC?
Ha habido un aumento constante en el número de violaciones de datos y otros delitos cibernéticos en los últimos años. Teniendo esto en cuenta, las empresas han comenzado implementar inteligencia artificial y aprendizaje automático en ciberseguridad para frenar las actividades delictivas cibernéticas: estas soluciones aún son un trabajo en progreso.

Las empresas deben trabajar para mejorar su seguridad de las miradas indiscretas de los piratas informáticos proteger sus identidades en línea y simultáneamente bloquear el malware que podría dañar su pink.

En 2015, el DoD publicó el Suplemento de Regulación Federal de Adquisición de Defensa (DFRS). Como resultado, los contratistas debían garantizar el cumplimiento del marco de ciberseguridad NIST SP 800-171.

Comprender e implementar los requisitos de DFARS ha sido una lucha constante para los contratistas. Si bien algunas empresas tenían los recursos para cumplir con la normativa, otras subcontrataban sus responsabilidades de ciberseguridad a proveedores de servicios gestionados.

Aunque el Departamento de Defensa tomó medidas para facilitar la adopción de DFARS, muchas empresas aún estaban rezagadas con la implementación del marco anterior. Algunas empresas incluso dijeron falsamente que estaban cumpliendo mediante un engaño deliberado o alegando ignorancia. Por lo tanto, se introdujo CMMC para resolver este problema.

Estos estándares aseguran que existan los niveles adecuados de controles y procesos de ciberseguridad, lo que, a su vez, protegerá la información no clasificada controlada (CUI) en los sistemas de contratistas del DoD.

CUI es la información que necesita protección o controles de difusión que estén de acuerdo y sean consistentes con las leyes y políticas aplicables bajo la Ley de Energía Atómica. En otras palabras, son los datos los que deben estar estrictamente protegidos dentro de un sistema de información. Esto incluye muchos tipos de datos, como documentos de salud, substance lawful, dibujos y planos técnicos y propiedad intelectual.

Los cuatro niveles de cumplimiento de CMMC que los vendedores deben conocer
El cumplimiento de CMMC tiene cinco niveles definidos que incluyen diferentes áreas que van desde la higiene básica hasta la seguridad avanzada. Además, cada uno de estos niveles tiene su propio conjunto de prácticas y procesos. Los proveedores tienen que cumplir con las prácticas y procesos de cada uno de estos niveles, lo que termina creando un enfoque de «todo o nada».

Nivel 1:
Toda empresa debe realizar prácticas de «ciber-higiene básica». Esto incluye asegurarse de que las empresas cambien las contraseñas con regularidad para proteger la información de los contratos federales y utilizar computer software antivirus para mantener su crimson segura y protegida de amenazas.

Este nivel excluye información pública o información transaccional específica.

Nivel 2:
Las empresas deben documentar las prácticas de «higiene cibernética intermedia» para mejorar sus esfuerzos para proteger cualquier CUI, y deben implementar algunas de las NIST 800-171 r2 requerimientos de seguridad.

Archivos Nacionales describe CUI como «cualquier información que la ley, reglamento o política gubernamental requiera tener controles de protección o difusión». Sin embargo, no incluye cierta información clasificada.

Nivel 3:
Para implementar con éxito prácticas de «buenas ciber-higiene» para salvaguardar la CUI, las empresas deben tener un program de gestión institucionalizado. Este program incluye todos los requisitos de seguridad NIST 800-171 r2, junto con otros estándares adicionales.

Nivel 4:
Los dueños de la empresa deben tomar las medidas necesarias para implementar procesos para medir y revisar la efectividad de las prácticas.

Además, también se deben implementar prácticas mejoradas ya establecidas para detectar y responder a tácticas, técnicas y procedimientos cambiantes de amenazas persistentes avanzadas (APT).

¿Qué pueden hacer los proveedores para asegurarse de que cumplen con la CMMC?
Los siguientes son los cinco pasos a través de los cuales los contratistas del DoD pueden prepararse para aprobar una auditoría de cumplimiento de CMMC:

1. Aprender los 17 requisitos técnicos
Los contratistas deben aprender y comprender los 17 requisitos técnicos diferentes mencionados en el programa, incluido el control de acceso, la auditoría y la rendición de cuentas, la protección de los medios, la gestión de riesgos, la evaluación de la seguridad y la integridad del sistema y la información.

2. Elección entre cumplimiento interno y subcontratación
Los contratistas deben decidir si desean lograr el cumplimiento interno o si desean subcontratar este proceso subcontratando algunas de sus infraestructuras de TI.

3. Realización de una evaluación de la preparación y un análisis de las deficiencias
La realización de una evaluación de la preparación y un análisis de las deficiencias es necesaria para el crecimiento de una empresa. La información útil sobre el almacenamiento de datos, los planes de respuesta a incidentes, el private de TI y la capacitación del personal y la implementación del protocolo de seguridad podría ayudarlos obtener información clave sobre su industria, especialmente en esta period de digitalización.

4. Implementación de la supervisión de la ciberseguridad
Los contratistas que trabajan en proyectos de alto valor deben implementar una supervisión sólida de la ciberseguridad, que incluye invertir en un sistema de detección de amenazas de alta calidad.

5. Desarrollar un plan de seguridad del sistema
Desarrollar un program de seguridad del sistema detallado es critical. Los contratistas deben describir claramente las políticas de la empresa, las tareas administrativas y las responsabilidades de seguridad de los empleados en este approach.

Objetivo typical
CMMC es complejo, pero lograr el cumplimiento de este marco de ciberseguridad podría ayudar a las organizaciones a prevenir violaciones de datos y detener el acceso no autorizado a sus redes.

Las empresas deben darse cuenta de que el cumplimiento de este marco de ciberseguridad es por su propio bien. Esto no solo puede ayudarlos a seguir siendo solventes, sino que también evitará que la información crítica caiga en las manos equivocadas.

Nahla Davies es desarrolladora de program y redactora de tecnología. Antes de dedicar su trabajo a tiempo completo a la redacción técnica, se las arregló, entre otras cosas interesantes, para servir como programadora principal en una organización de marca experiencial de Inc.5.000 cuyos clientes incluyen Samsung, Time … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first