Cómo avanzar en tu viaje hacia CMMC

La última iteración del Cybersecurity Maturity Model Certification (CMMC) acaba de entrar en vigor, y hay mucho que discutir sobre cómo los profesionales de la seguridad pueden actualizarse para cumplir con sus requisitos.

¿Para quién es este blog?

¿Trabaja para una organización que actúa como contratista principal o subcontratista para el Departamento de Defensa (DoD)? ¿Es su empresa miembro de la Base Industrial de Defensa (DIB)? ¿Su empresa gestiona Información No Clasificada Controlada (CUI) y/o Información de Contratos Federales (FCI)? ¿Le han asignado la tarea de hacer que su organización cumpla con CMMC?

Si la respuesta a alguna de esas preguntas es sí, entonces este artículo es para ti.

¿De qué se trata esto?

Este blog está diseñado para ayudarte a comprender cómo abordar de la mejor manera tu proyecto de cumplimiento CMMC desde el primer día. Si necesitas más información sobre CMMC, lee este DOD article.

Mucho ha cambiado desde la versión 1

Actualmente estamos en la versión 3 de CMMC. La mayor diferencia con respecto a la original es cómo categoriza el nivel de seguridad requerido de las entidades que cumplen. En general, hay 3 niveles y, dependiendo de la gravedad de los datos que manejas, es más probable que cumplas con un nivel superior.

Nivel 1: Consiste en 15 técnicas básicas de higiene de seguridad y se centra en la seguridad de FCI pero no en la de CUI.

Nivel 2: 110 requisitos que provienen directamente de NIST SP 800-171 y se centran en la protección de CUI.

Nivel 3: 134 requisitos provenientes de NIST SP 800-172 enfocados nuevamente en CUI, pero la diferencia clave es que todas las herramientas, políticas y procedimientos implementados deben ser aprobados por el DoD.

Bien, ¿y ahora qué?

Entonces, entendemos cuáles son los niveles, pero necesitamos darles sentido para ver cuál es relevante para su organización. Para eso evaluemos el tipo de datos que gestiona.

Para futuras referencias, aquí están las definiciones oficiales del gobierno para la Información de Contratos Federales FCI y la Información No Clasificada Controlada CUI.

En resumen, FCI es información proporcionada por o generada para el gobierno de EE. UU. bajo un contrato del DoD que no está destinada a ser divulgada públicamente. Puede ser especificaciones de contrato, propuestas técnicas, informes de proyectos internos o comunicación con agencias del DoD.

Mientras tanto, CUI es: información sensible pero no clasificada que requiere protección bajo leyes, regulaciones y políticas federales. Puede ser cualquier cosa como dibujos técnicos, esquemas y datos de ingeniería, información controlada por exportación (ITAR, EAR, etc.), registros de personal y PII (por ejemplo, información de personal militar), documentos de adquisiciones (RFPs, contratos, informes del DoD).

¿En qué nivel estoy?

Lo mejor que se puede hacer al inicio de un proyecto de cumplimiento de CMMC es decidir qué tipo de información gestiona su organización. ¿Es FCI, es CUI o son ambos? Si solo es FCI, necesita cumplir con CMMC en el nivel 1, tan simple como eso. Si es CUI, entonces depende de su gravedad. Si la información que posee pudiera, de cualquier manera, amenazar la seguridad nacional de EE. UU., probablemente necesite apuntar al nivel 3; de lo contrario, el nivel 2 es su mejor opción.

¿Cómo decido?

La mejor manera de comenzar es realizando un barrido de Netwrix Data Classification en toda tu infraestructura. Identifica todos los datos que tienes, dónde residen y quién tiene acceso a ellos. De esta manera, primero puedes etiquetarlos todos con precisión (por ejemplo, es PII, es FCI o es CUI). Luego, puedes asignar niveles de confidencialidad, es decir, cuán críticos son para el negocio o la nación. Después puedes ver dónde se encuentran actualmente en tu entorno. ¿Están expuestos al acceso público o no? Finalmente, puedes definir quién puede acceder a ellos y en qué medida. Una buena clasificación siempre debe ir acompañada de una buena redacción basada en derechos.

Lo último que quieres es que algunos de tus datos terminen apareciendo en un foro de War Thunder.

Al menos uno abajo, faltan 109

Identificar sus datos, su ubicación y las personas que pueden acceder es un excelente punto de partida, pero esto es solo donde comienza la diversión. Viniendo de alguien que ha leído CMMC al menos 5 veces, la diferencia entre NIST 800-171 y 172 no es tanta como uno piensa. Solo incorpora 24 requisitos adicionales que ya existen en 171 pero están descritos en un formato más estricto.

La mejor opción para todos, independientemente del nivel que se supone que debes alcanzar, es tratarlo primero como un nivel 2. Si necesitas estar por debajo de eso, entonces concéntrate solo en los 15 requisitos que son relevantes para ti. Aún así vale la pena hacerlo de acuerdo con 800-171 ya que facilita las transiciones posteriores al nivel 2. Mientras tanto, si necesitas apuntar más alto que primero cumplir con un nivel 2 y ajustar los restantes después. La razón de ambos es la simplicidad y una transición más fácil a largo plazo.

¿Cómo podemos ayudar?

No estaría haciendo bien mi trabajo si no mencionara cómo podemos ayudar a las organizaciones a cumplir. Si alguna empresa intenta decirte que resolverá todas tus necesidades de cumplimiento, probablemente estés hablando con un mentiroso. Lamentablemente, no existe algo así como una solución de cumplimiento todo en uno.

Pero empresas como Netwrix ofrecen múltiples soluciones, cada una cubriendo diferentes áreas de seguridad y regulación, que combinadas pueden cubrir una parte significativa de los requisitos del CMMC, ya sea basados en 800-171 o 172.

Aquí tiene un resumen rápido de cómo nuestra cartera respalda los requisitos de CMMC. Si desea saber más, consulte nuestros documentos detallados de mapeo de cumplimiento aquí.