¿Qué es el CMMC y por qué es importante?

El número de cibercrímenes va cada vez más en aumento. Se estima que para el año 2025, los costos que ocasionan los crímenes cibernéticos ascenderán a 10.5 trillones de dólares al año. Además, los cibercriminales se vuelven cada vez más sofisticados.

Es por esto que el Departamento de Defensa de Estados Unidos ha desarrollado la certificación CMMC, para poder establecer un estándar más apropiado de ciberseguridad. Sigue leyendo y conoce los beneficios de implementar el CMMC.

¿Qué es el CMMC?

El Cybersecurity Maturity Model Certification o CMMC (traducido al español como Certificación del Modelo de Madurez de Ciberseguridad) es un programa desarrollado por el Departamento de Defensa (DoD) de los EE.UU. para optimizar la ciberseguridad de todas aquellas empresas que trabajan como proveedores de la Base Industrial de Defensa (DIB) y del gobierno federal.

Su principal objetivo es proteger la información no clasificada controlada (CUI o Confidential Unclassified Information) asociada a redes de la cadena de suministro del Departamento de Defensa y la información de contratos federales (FCI o Federal Contract Information). 

La CUI es un tipo de información qué necesita controles de salvaguardia o difusión, a pesar de no ser información clasificada. Por otro lado. La FCI no está destinada al público y es generada por el gobierno en virtud de un contrato que desarrolle un producto o servicio. 

Tanto la CUI como la FCI son tipos de información importante para la seguridad nacional y, por lo tanto, deben ser protegidas.

La creación del CMMC ha sido motivada debido al aumento exponencial que ha habido en cibercriminales de distinta naturaleza en los últimos años, siendo estos ataques cada vez más sofisticados, causando daños y robos a las bases de datos, información sensible, entre otros.

Características clave

A grandes rasgos, podemos entender mejor el CMMC viendo cuáles son sus tres características principales que lo definen. Estas son:

• Es un modelo por niveles y cada empresa debe cumplir con cierto nivel de ciberseguridad según el tipo de información que manejen.
• Contiene los requisitos de evaluación que el DoD utilizará para verificar que se apliquen correctamente las políticas de ciberseguridad correspondientes.
• Funciona como un contrato que los subcontratistas del DoD deben cumplir para manejar información confidencial de estado.

¿Quiénes deben cumplir con el CMMC?

Todas las empresas que trabajan como contratistas o subcontratistas del DoD de los Estados Unidos que manejen CUI o FCI deben cumplir con el proceso de certificación y con los requisitos de CMMC. En este sentido, el Organismo de Acreditación de la CMMC (AB en inglés) es quien se encarga de la autorización de las evaluaciones y capacitaciones del CMMC.

Niveles de madurez del CMMC

El primer modelo de CMMC fue creado en el año 2020. Este modelo de ciberseguridad incluía cinco niveles de seguridad o madurez, cada uno de los cuales funcionaba como la optimización del nivel anterior. Los 5 niveles de la versión original son:

• Nivel 1: este nivel se enfoca en la seguridad de FCI. Se realiza a través de 17 prácticas de ciberseguridad básica.
• Nivel 2: este nivel se enfoca en prepararse para la protección de la CUI. Es realizado a través de 55 prácticas de ciber higiene adicionales. En este nivel se empiezan a documentar estas prácticas.
• Nivel 3: en el tercer nivel se establece la ciberseguridad para la CIU a través de 58 prácticas adicionales conocidas como buenas prácticas de ciber higiene.
• Niveles 4: en el cuarto nivel se protege la CIU y se comienza a prepararse para reducir los riesgos de las Amenazas Persistentes Avanzadas (APTs o Advanced Persistent Threats). Es realizado a través de 26 prácticas adicionales. En este nivel, las prácticas son documentadas, administradas y revisadas.
• Nivel 5: en el último nivel de CMMC se maximiza la ciberdefensa de la CUI y las APTs. Se realizan 15 prácticas adicionales las cuales son documentadas, revisadas y optimizadas.

Modelo CMMC 2.0

En el 2022, se creó la versión 2.0 del CMMC. En esta versión, los cinco niveles del CMMC original fueron sustituidos por tres niveles en esta versión. Muchas de las prácticas de ciberseguridad se mantienen en ambas versiones, pero la versión moderna contiene algunas prácticas más modernas.

Nivel 1 o fundamental

El nivel básico se aplica a las organizaciones que manejan FCI. Requiere que dentro de las cargas de trabajo las organizaciones cumplan con requisitos de seguridad mínimos, tales como: 

• Tener contraseñas seguras y destinar un ciclo de vida que permita cambiarlas periódicamente.
• Realizar copias de seguridad de los datos importantes y almacenarlas en un lugar seguro.
• Usar software antivirus y mantenerlo actualizado.
• Proteger los dispositivos, el sistema operativo y las redes con cortafuegos y cifrado (tener en cuenta el Internet de las cosas, IoT).

Este nivel se basa en los requisitos establecidos en CFR 52.204-21, que es una norma federal que especifica los controles de seguridad que deben implementar las organizaciones que manejan CUI. El nivel básico incluye un total de 17 prácticas básicas de ciberseguridad.

Nivel 2 o avanzado

El nivel intermedio requiere que las organizaciones cumplan con los requisitos avanzados de ciberhigiene, las cuales son prácticas adicionales de seguridad que deben seguir las organizaciones que manejan información sensible. Algunas de estas prácticas son: 

• Tener políticas y procedimientos documentados para la gestión de la seguridad.
• Realizar auditorías internas para verificar el cumplimiento y la eficacia de las medidas de seguridad.
• Implementar controles para limitar el acceso a la información según el principio de mínimos privilegios, autenticación multifactorial mejorada, entre otros.

El nivel intermedio se basa en los requisitos establecidos en el marco de la norma NIST SP 800-171. Es equivalente al nivel 3 de la versión anterior de CMMC, pero elimina algunas prácticas específicas al CMMC 1.0.2. En total cuenta con 110 controles de seguridad agrupados en 14 dominios.

Nivel 3 o experto

El nivel avanzado se aplica a las organizaciones que manejan información crítica para los programas del DoD con mayor prioridad. Este nivel se enfoca en disminuir los riesgos asociados con las amenazas persistentes avanzadas (conocidas como ATPs por sus siglas en inglés). Algunas de las prácticas más avanzadas son: 

• Adoptar un enfoque proactivo para detectar y responder a las amenazas cibernéticas, utilizando inteligencia y análisis.
• Aplicar técnicas de ofuscación y engaño para dificultar el reconocimiento y el ataque por parte de los adversarios.
• Utilizar tecnologías innovadoras y emergentes para mejorar la seguridad y la eficiencia.

El nivel experto se basa en los requisitos establecidos por las normas NIST SP 800-171 y NIST SP 800-172 teniendo en total más de 100 prácticas de ciberseguridad que deben ser habilitadas.

Importancia de la certificación CMMC

La Base Industrial de Defensa ha sido víctima de múltiples ciberataques en los últimos años. Esto fue lo que impulsó el desarrollo del CMMC y de su versión 2.0: la necesidad de proteger información de seguridad nacional de hackers malintencionados.

Al tener un modelo de ciberseguridad que guíe las conductas más apropiadas y permita optimizar los procesos, disminuye el riesgo de que un ataque cibernético sea efectivo o que tenga consecuencias considerables en materia de seguridad de la información.

Beneficios de implementar el CMMC

La implementación del CMMC es beneficioso para una organización ya que puede ayudar a mejorar su postura de seguridad cibernética y proteger mejor la información confidencial. A continuación, te comentamos los principales beneficios que se obtienen al implementar el CMMC.

Acceso a nuevas oportunidades de contratación

Al obtener la certificación CMMC, las organizaciones podrán acceder a nuevas oportunidades de contratación con el DoD y sus proveedores, ya que esta certificación será un requisito obligatorio para todos los contratos del DoD que manejen información confidencial no clasificada. 

Esto les dará una ventaja competitiva frente a otras organizaciones que no cuenten con dicha certificación.

Optimizar las políticas de ciberseguridad

Otro beneficio de esta certificación es que las organizaciones podrán optimizar sus políticas de ciberseguridad, alineándose con los estándares y las mejores prácticas reconocidas a nivel nacional e internacional, como el NIST SP 800-171 y el NIST SP 800-172. 

Esto les permitirá mejorar su postura de seguridad y su resiliencia frente a las amenazas cibernéticas.

Mejora la confianza de los clientes

Gracias a la certificación, las organizaciones podrán mejorar la confianza de sus clientes, demostrando que tienen un compromiso con la protección de la información confidencial no clasificada del DoD y que cumplen con los requisitos de ciberseguridad establecidos por el Gobierno. 

Esto les ayudará a fortalecer sus relaciones con el DoD y sus proveedores, así como con otros clientes potenciales que valoren la seguridad de la información.

Promueve una cultura de ciberseguridad dentro de la empresa

El CMMC promueve una cultura de ciberseguridad al exigir que las organizaciones tengan procesos documentados, gestionados, revisados y optimizados para la seguridad, según su nivel de madurez. 

Esto implica que las organizaciones deben tener planes establecidos, recursos asignados (como dispositivos móviles), responsabilidades definidas y actividades supervisadas y evaluadas para la seguridad.

La ciberseguridad es un área en constante evolución y su manejo a nivel empresarial puede ser un reto que requiere la colaboración de expertos en el área y así operar de forma segura en cualquier ámbito de la empresa.

Es por esto que te ofrecemos uno de los complementos de Apolo: CISO as a Service, con el cual puedes contar con expertos en ciberseguridad que te ayuden a reforzar todas las vulnerabilidades cibernéticas que tu empresa u organización posee.

¡Agenda una demo de Apolo para averiguar más sobre cómo podemos ayudarte a darle cumplimiento al CMMC y otras normativas!