Cumplimiento del CMMC: Lo que debe saber

La Certificación del Modelo de Madurez de Ciberseguridad (CMMC ) se está convirtiendo rápidamente en un término familiar en la comunidad de TI y seguridad. ¿Por qué? La nueva norma de seguridad afecta a más de 300.000 empresas de todo el mundo.

En este blog trataremos qué es, quién necesita la certificación CMMC y por qué es importante para el estado general de la seguridad en las complejas cadenas de suministro que apoyan al Departamento de Defensa (DoD) de EE.UU. y a la seguridad nacional.

El CMMC es un procedimiento de certificación desarrollado por el DoD para certificar que sus contratistas disponen de los controles adecuados para proteger los datos sensibles, incluida la Información Contractual Federal (FCI) y la Información No Clasificada Controlada (CUI), contra la divulgación no autorizada. El modelo CMMC se basa y armoniza las mejores prácticas de una serie de normas de ciberseguridad, incluidas NIST SP 800-171, NIST SP 800-53 e ISO 27001.

Anteriormente, los poderes adjudicadores y los contratistas principales eran responsables de implantar y certificar la seguridad de sus propios sistemas de información. Los contratistas siguen siendo responsables de implantar los controles de seguridad, sin embargo, la CMMC exige ahora evaluaciones de terceros para garantizar el cumplimiento de las prácticas y procedimientos obligatorios.

CMMC surgió como respuesta al creciente número de ciberamenazas dirigidas a los contratistas del DoD. La misión y las operaciones del DoD dependen en gran medida de extensas y complejas cadenas de suministro. Las lagunas en las políticas y prácticas de ciberseguridad aplicadas por esta vasta red de proveedores del DoD suponen un enorme riesgo cibernético.

Hay más de 300.000 contratistas de defensa, fabricantes e incluso pequeñas empresas que participan en la base industrial de defensa (DIB). Se trata tanto de contratistas "principales", que colaboran directamente con el Departamento de Defensa, como de subcontratistas, que pueden realizar tareas de cumplimiento o ejecución para los contratistas principales.

A partir del 30 de noviembre de 2020, el DoD comenzó a incorporar requisitos CMMC en determinadas RFP / RFI. Para el año fiscal 2026, todas las adjudicaciones de contratos del DoD requerirán al menos algún nivel de certificación CMMC.

El marco CMMC evalúa la madurez de la ciberseguridad dentro de cinco niveles de madurez. Cada nivel CMMC consiste en un conjunto de procesos y prácticas que se corresponden con el tipo, la sensibilidad y los riesgos de la información que debe protegerse. Los procesos se organizan en dominios, mientras que las prácticas se alinean con un conjunto de capacidades por dominio.

El marco CMMC consta de 17 ámbitos que van desde el control de acceso hasta la integridad de los sistemas y la información. Cada dominio representa un grupo o "cubo" de prácticas de seguridad que debe cumplir la organización. Las empresas se certifican con arreglo a cinco niveles de cumplimiento en todos estos ámbitos de seguridad.

El morado claro representa áreas en las que la PKI y las identidades de máquina desempeñan un papel importante.

El modelo CMMC incluye 171 prácticas que abarcan los 17 ámbitos. Estas prácticas se asignan a cinco niveles de madurez. Para alcanzar niveles de madurez superiores se requieren prácticas más avanzadas.

Cada nivel de madurez incluye procesos, y el proveedor debe demostrar la madurez de los procesos integrando las actividades en las operaciones de la organización. La ciberhigiene básica comienza en el Nivel 1 y cada nivel requiere el cumplimiento de prácticas, procedimientos y capacidades adicionales hasta llegar a la ciberhigiene avanzada en el Nivel 5.

Garantizar la confidencialidad e integridad de la Información No Clasificada Controlada (CUI) es un componente clave del cumplimiento de la CMMC. Una vez que los contratistas del DoD identifican y clasifican sus datos, necesitan protegerlos criptográficamente tanto en reposo como en tránsito.

• La práctica SC.3.185 requiere la implementación de mecanismos criptográficos para evitar la divulgación no autorizada de CUI durante la transmisión.
• Práctica SC.3.191 pide a los contratistas del DoD que protejan la confidencialidad de la CUI en reposo.

Además de proteger la confidencialidad e integridad de la CUI, también es esencial proteger la autenticidad de las comunicaciones.

• La práctica SC.3.190 determina que la autenticidad de las comunicaciones debe protegerse contra los ataques de intermediarios, el secuestro de sesiones y la inserción de información falsa. Este requisito establece la confianza en ambos extremos de las sesiones de comunicaciones sobre la identidad de las partes y la validez de la información transmitida.

Sin embargo, estos controles no serán suficientes si no se complementan con un mecanismo eficaz para la gestión del ciclo de vida de las identidades de las máquinas, como claves criptográficas y certificados digitales.

• Práctica SC.3.187 exige a los contratistas del DoD que gestionen las claves criptográficas utilizadas para proteger la CUI y autenticar las comunicaciones.

De acuerdo con la CMMC, las organizaciones deben "desarrollar procesos y mecanismos técnicos para proteger la confidencialidad, autenticidad y uso autorizado de las claves criptográficas de acuerdo con las normas y reglamentos del sector."

En otras palabras, los contratistas de defensa y las empresas de la cadena de suministro de defensa deben crear una Infraestructura de Clave Pública (PKI) sólida para emitir claves y certificados fiables, actualizados y conformes con las normas establecidas. 

No sólo eso, sino que deben asegurarse de que disponen de un inventario completo de todos los activos criptográficos, aplicar políticas estandarizadas en torno a su uso y automatizar el ciclo de vida de las claves y los certificados para evitar su pérdida, puesta en peligro o uso indebido.

Aquí hemos cubierto sólo algunas de las prácticas más importantes de PKI y gestión de identidades de máquinas dentro del modelo CMMC. Sin embargo, se necesita más que unas pocas prácticas para proteger cada identidad de máquina en toda la cadena de suministro de defensa.

Teniendo en cuenta las vastas y complejas cadenas de suministro que respaldan la misión y las operaciones del Departamento de Defensa, es fundamental garantizar la seguridad. Tómese un minuto para reflexionar sobre el impacto de los ataques de SolarWinds para darse cuenta de por qué los contratistas del DoD necesitan una estrategia sólida para gestionar la identidad de cada máquina, incluyendo SSL/TLS, SSH y certificados de firma de código.

Se están introduciendo más máquinas, como contenedores, cargas de trabajo en la nube, IoT, y dispositivos móviles, en la cadena de suministro, lo que aumenta el riesgo de que la identidad de la máquina se vea comprometida. Cumplir los requisitos de la CMMC es un comienzo, pero se necesita algo más que marcar casillas para garantizar que su organización esté protegida frente a costosas interrupciones y riesgos de seguridad.

¿Desea obtener más información sobre cómo puede tomar el control de las identidades de las máquinas y garantizar el cumplimiento de los requisitos de seguridad del CMMC? Solicite una demostración hoy mismo.