Los funcionarios del Departamento de Defensa (DoD) de EE. UU. han recibido el poder de evaluar mejor las protecciones de ciberseguridad de los contratistas de defensa con la finalización de la última versión del programa de Certificación del Modelo de Madurez de Ciberseguridad (CMMC). Los contratistas de defensa deberán aprobar el programa para ofertar por contratos con el Departamento de Defensa. El CMMC verificará que los miles de contratistas utilizados por el Departamento cumplan con las protecciones existentes para la información de contratos federales (FCI) y la información no clasificada controlada (CUI) y estén salvaguardando esa información a un nivel igual al riesgo de amenazas de ciberseguridad. Esta regla final alinea el programa con los requisitos de ciberseguridad descritos en el Reglamento Federal de Adquisiciones parte 52.204-21 y las Publicaciones Especiales (SP) 800-171 Rev 2 y -172 del Instituto Nacional de Estándares y Tecnología (NIST). «CMMC proporciona las herramientas para responsabilizar a las entidades o individuos que ponen en riesgo la información o los sistemas de EE. UU. tergiversando deliberadamente sus prácticas o protocolos de ciberseguridad, o violando deliberadamente sus obligaciones de monitorear e informar incidentes y violaciones de ciberseguridad», dijo el Departamento de Defensa en un comunicado de prensa. «El Programa CMMC implementa un requisito de afirmación anual que es un elemento clave para monitorear y hacer cumplir la responsabilidad del estado de ciberseguridad de una empresa», agregó el Departamento. Se espera que el marco finalizado se publique en el Registro Federal el martes 15 de octubre y entrará en vigor 60 días después de la publicación. Evolución del programa CMMC Actualmente, el Departamento de Defensa depende de la autocertificación para la seguridad de los contratistas de defensa. El gobierno de EE. UU. lanzó la primera versión del CMMC en enero de 2020, poco después del ataque a la cadena de suministro de SolarWinds que afectó a casi 40 contratistas federales de defensa. El programa CMMC inicial estaba compuesto por cinco niveles progresivamente avanzados de estándares de ciberseguridad. Tras una revisión interna, el Departamento de Defensa publicó un programa CMMC actualizado, 2.0, en noviembre de 2021, que perfeccionó las reglas a tres niveles de CMMC. La reducción de niveles fue diseñada para agilizar y simplificar el proceso para las pequeñas y medianas empresas. En diciembre de 2023, el Departamento publicó una regla propuesta para modificar el CMMC en el registro federal, que implementó la visión del Departamento de Defensa para el programa revisado descrito en noviembre de 2021. Luego de un período de comentarios para la regla propuesta que concluyó el 26 de febrero de 2024, un Se realizaron varios cambios significativos en el CMMC. Esto incluyó la creación de una nueva taxonomía que diferenciara el nivel y el tipo de evaluación realizada del estatus CMMC logrado como resultado. Con el Programa CMMC revisado, el Departamento también ha introducido Planes de Acción e Hitos (POA&M). Los POA&M se otorgarán para requisitos específicos como se describe en la regla para permitir que una empresa obtenga una certificación condicional durante 180 días mientras trabaja para cumplir con los estándares del NIST. Lograr el cumplimiento de CMMC La regla actualizada permitirá a los contratistas del Departamento de Defensa autoevaluar su cumplimiento cuando sea apropiado. Los tres niveles del CMMC están diseñados para brindar una mayor seguridad al Departamento de que los contratistas de defensa pueden proteger adecuadamente a FCI y CUI a un nivel acorde con el riesgo. Los contratistas de defensa pueden lograr un estado CMMC específico para toda su red empresarial o enclave(s), dependiendo de dónde se procese, almacene o transmita la información a proteger. Nivel 1. Esto proporciona una autoevaluación para la protección básica de FCI Nivel 2. Esto requiere protección general de CUI, demostrada ya sea por una evaluación de terceros o una autoevaluación en CMMC nivel 2 Nivel 3. Esto requiere un nivel más alto de protección de CUI contra el riesgo de amenazas persistentes avanzadas (APT), con evaluación dirigida por el Centro de evaluación de ciberseguridad de la base industrial de defensa. La versión final del programa identifica claramente los 24 requisitos NIST SP 800-172 exigidos para la certificación CMMC Nivel 3.