BLOG

Lo que las organizaciones gubernamentales deben saber sobre la Certificación del Modelo de Madurez de Ciberseguridad (CMMC)

Miniatura de Ryan Johnson
Ryan Johnson
Publicado el 22 de octubre de 2020

A principios de año, el Departamento de Defensa (DoD) lanzó la versión 1.0 de la Certificación del Modelo de Madurez de Ciberseguridad (CMMC), un estándar unificado muy esperado destinado a proteger la vasta cadena de suministro de la agencia. Cuando aumentan las tensiones con otros países, por ejemplo, a muchos les preocupa que las represalias no sólo lleguen a través del ciberespacio, sino también a través de “ contratistas de defensa potencialmente vulnerables ”.

El CMMC, tal como se implementará a lo largo de cinco años, tiene como objetivo reducir, si no eliminar, dichas vulnerabilidades y abordar un desafío crítico para la seguridad nacional. La base industrial de defensa (DIB) incluye más de 300.000 empresas, sobre las cuales ha habido una evidente falta de supervisión previa. Estas empresas acceden y almacenan información de defensa confidencial en sus propios sistemas. CMMC representa un paso importante hacia la protección de esta información.

A pesar de los beneficios a largo plazo, el CMMC puede generar confusión a corto plazo para muchos contratistas. Dependiendo de su trabajo, los contratistas deben cumplir uno de los cinco nuevos niveles de seguridad. Sin embargo, el punto de partida para mejorar la postura de seguridad es más o menos el mismo.

Preparándose para CMMC

Para aquellos que buscan ponerse al día con respecto a las mejores prácticas de seguridad a raíz del CMMC, el Marco de Seguridad Cibernética del Instituto Nacional de Estándares y Tecnología ( NIST ) , que enfatiza la seguridad continua, es un buen punto de partida. El marco del NIST está segmentado en cinco grupos o funciones: identificar, proteger, detectar, responder y recuperar.

El primer cubo es, por supuesto, la base. Para identificar amenazas, las empresas primero deben poder identificar la amplitud de sus propios sistemas, lo que puede ser un desafío en la era de BYOD y shadow IT. No hay forma de proteger un sistema si no se tiene un conocimiento completo de los empleados, los activos y los datos. Sin embargo, existen numerosas herramientas que ayudan a que esta visibilidad se haga realidad, desde la visualización centrada en la aplicación hasta la visibilidad SSL . Este último descifra y vuelve a cifrar el tráfico para garantizar que no contenga malware.

Monitoreo continuo

Solo al tener visibilidad completa de los sistemas y los datos las empresas pueden implementar las protecciones necesarias, como protección contra exploits web comunes, IP maliciosas y tipos de ataques coordinados . La gestión de acceso , como el inicio de sesión único, la VDI segura y el acceso de usuario privilegiado, ofrece una forma de protegerse de los actores maliciosos. En pocas palabras, el gobierno federal necesita poder verificar que los contratistas son quienes dicen ser y otorgar el nivel de acceso adecuado en consecuencia.

Aún así, la seguridad no puede detenerse en la puerta. Incluso después de que los usuarios estén autenticados, las empresas deben seguir monitoreando y registrando sus actividades para lograr el tercer componente del marco del NIST: la detección rápida. Para ello se pueden utilizar el análisis del comportamiento, la inteligencia artificial y el aprendizaje automático, analizando el tráfico y detectando comportamientos riesgosos o inusuales.

Sin estos tres primeros pasos, los dos últimos (desarrollar un plan de respuesta y un plan para restaurar los sistemas y activos afectados) son casi imposibles. Por supuesto, el objetivo de CMMC es hacer que estos dos últimos pasos sean una rareza. Con un monitoreo continuo, el objetivo es evitar que los contratistas y subcontratistas del Departamento de Defensa se vean comprometidos.

El resultado final

A corto plazo, las empresas de la cadena de suministro del Departamento de Defensa deberían invertir en tecnologías que respalden la visibilidad, la protección y la detección rápida. Esto sentará las bases necesarias para la certificación y la seguridad. Si bien para muchos contratistas la perspectiva de CMMC puede resultar desalentadora, la realidad es que esto representa una respuesta necesaria a años de negligencia.

Aun así, es importante que este nuevo nivel de seguridad no excluya a los subcontratistas más pequeños , que también desempeñan un papel crucial en la cadena de suministro. La buena noticia es que el Departamento de Defensa ha estimado que la mayoría de los contratistas solo necesitarán una certificación de nivel uno, que se centra en la higiene cibernética básica. Estas son las mejores prácticas que las empresas deberían implementar incluso si no acceden a datos gubernamentales confidenciales. Para quienes trabajan en la base industrial de defensa, el momento de proteger y detectar fue ayer.