CMMC y gestión de riesgos de terceros
En noviembre de 2021, la Oficina del Subsecretario de Defensa para Adquisiciones y Mantenimiento del Departamento de Defensa de los Estados Unidos (DoD) publicó la versión 2.0 dela Certificación del Modelo de Madurez de Ciberseguridad (CMMC), un marco integral para proteger la base industrial de defensa de los ciberataques cada vez más frecuentes y complejos y garantizar que toda nuestra cadena de suministro de defensa nacional sea segura y resistente.
El CMMC exige a las empresas que obtengan la certificación en materia de ciberseguridad y buenas prácticas en el manejo de información no clasificada controlada (CUI), y dicha certificación determinará en última instancia si una empresa puede obtener un contrato del Departamento de Defensa.
Todos los proveedores del Departamento de Defensa deben estar certificados en uno de los tres niveles, desde el Nivel 1 (Básico) hasta el Nivel 3 (Experto), según los requisitos de seguridad para la información controlada no clasificada (CUI) de la cláusula 204-21 del FAR, la publicación especial (SP) 800-171del Instituto Nacional de Estándares y Tecnología (NIST)y controles adicionales delapublicación especial (SP)800-172 del NIST Requisitos de seguridad mejorados para la protección de la información controlada no clasificada: Suplemento de la publicación especial 800-171 del NIST.
Las empresas y las organizaciones de auditoría externas certificadas (C3PAO) pueden aprovechar la plataforma de gestión de riesgos externos Prevalent, que incluye cuestionarios integrados para evaluar los tres niveles de certificación CMMC.
Descripción general de los niveles de certificación CMMC
- Nivel 1: autoevaluación realizada por el proveedor en función de 17 controles. Este nivel de certificación se considera básico y está destinado a proveedores que gestionan información que no es crítica para la seguridad nacional.
- Nivel 3 - Considerado un nivel experto para los proveedores del Departamento de Defensa de mayor prioridad, este nivel se basa en el Nivel 2 añadiendo un subconjunto de controles NIST SP 800-172 en la parte superior. El gobierno federal realizará las auditorías de las empresas de este nivel.
- Nivel 2: un nivel de certificación más avanzado realizado por auditores externos que evalúan 110 controles de la norma NIST SP 800-171. Este nivel se considera adecuado para empresas que han controlado información no clasificada (CUI).
Prevalente para los auditores CMMC
Los auditores certificados por CMMC pueden utilizar la plataforma Prevalent Third-Party Risk Management Platform con los tres niveles de cuestionarios de controles CMMC incluidos.
Prevalente para los respondedores CMMC
Los proveedores y contratistas del Departamento de Defensa pueden utilizar la plataforma Prevalent Third-Party Risk Management Platform para realizar autoevaluaciones de nivel 1 y nivel 2.
Cumplimiento de los requisitos CMMC TPRM
Consulte la tabla siguiente para ver un resumen de los requisitos CMMC por nivel, organizados por Controles de seguridad relevantes NIST SP 800-171r2, que se incluyen como cuestionarios integrados en la Plataforma Prevalent. La información sobre el nivel 3 será publicada por el DoD de EE.UU. en una fecha posterior y contendrá un subconjunto de los requisitos de seguridad especificados en NIST SP 800-172.
Control de acceso
Nivel 1
3.1.1 Control de acceso autorizado
3.1.2 Control de transacciones y funciones
3.1.20 Conexiones Externas
3.1.22 Control de Información Pública
Nivel 2
3.1.3 Controlar el flujo de CUI
3.1.4 Separación de funciones
3.1.5 Mínimo Privilegio
3.1.6 Uso de cuentas sin privilegios
3.1.7 Funciones Privilegiadas
3.1.8 Intentos fallidos de inicio de sesión
3.1.9 Avisos de Privacidad y Seguridad
3.1.10 Bloqueo de Sesión
3.1.11 Terminación de Sesión
3.1.12 Control de Acceso Remoto
3.1.13 Configurabilidad de Acceso Remoto
3.1.14 Enrutamiento de Acceso Remoto
3.1.15 Acceso Remoto Privilegiado
3.1.16 Autorización de acceso inalámbrico
3.1.17 Protección de acceso inalámbrico
3.1.18 Conexión de dispositivos móviles
3.1.19 Encriptar CUI en Móviles
3.1.21 Uso de Almacenamiento Portátil
Sensibilización y formación
Nivel 1
N/A
Nivel 2
3.2.1 Concienciación sobre riesgos basada en funciones
3.2.2 Formación basada en funciones
3.2.3 Concienciación sobre amenazas internas
Auditoría y rendición de cuentas
Nivel 1
N/A
Nivel 2
3.3.1 Auditoría del sistema
3.3.2 Responsabilidad de los usuarios
3.3.3 Revisión de Eventos
3.3.4 Alerta de Fallo de Auditoría
3.3.5 Correlación de Auditorías
3.3.6 Reducción e Informes
3.3.7 Fuente de tiempo autorizada
3.3.8 Protección de Auditoría
3.3.9 Gestión de Auditoría
Gestión de la configuración
Nivel 1
N/A
Nivel 2
3.4.1 Establecimiento de la base del sistema
3.4.2 Aplicación de la configuración de seguridad
3.4.3 Gestión de cambios del sistema
3.4.4 Análisis de impacto de seguridad
3.4.5 Restricciones de acceso para cambios
3.4.6 Funcionalidad mínima
3.4.7 Funcionalidad no esencial
3.4.8 Política de ejecución de aplicaciones
3.4.9 Software Instalado por el Usuario
Identificación y autenticación
Nivel 1
3.5.1 Identificación
3.5.2 Autentificación
Nivel 2
3.5.3 Autenticación multifactor
3.5.4 Autenticación a prueba de repeticiones
3.5.5 Reutilización de identificadores
3.5.6 Manejo de identificadores
3.5.7 Complejidad de las contraseñas
3.5.8 Reutilización de contraseñas
3.5.9 Contraseñas temporales
3.5.10 Contraseñas protegidas criptográficamente
3.5.11 Retroalimentación Oscura
Respuesta a incidentes
Nivel 1
N/A
Nivel 2
3.6.1 Gestión de incidentes
3.6.2 Reporte de Incidentes
3.6.3 Pruebas de respuesta a incidentes
Mantenimiento
Nivel 1
N/A
Nivel 2
3.7.1 Realizar el mantenimiento
3.7.2 Control del mantenimiento del sistema
3.7.3 Higienización de Equipos
3.7.4 Inspección de Medios
3.7.5 Mantenimiento No Local
3.7.6 Personal de mantenimiento
Protección de los medios de comunicación
Nivel 1
3.8.3 Eliminación de soportes
Nivel 2
3.8.1 Protección de soportes
3.8.2 Acceso a los soportes
3.8.4 Marcado de los medios
3.8.5 Responsabilidad de los medios
3.8.6 Cifrado de almacenamiento portátil
3.8.7 Medios extraíbles
3.8.8 Medios compartidos
3.8.9 Proteger las copias de seguridad
Seguridad del personal
Nivel 1
N/A
Nivel 2
3.9.1 Selección de personas
3.9.2 Acciones relativas al personal
Protección física
Nivel 1
3.10.1 Limitar el acceso físico
3.10.3 Escoltar a los Visitantes
3.10.4 Registros de Acceso Físico
3.10.5 Gestionar el Acceso Físico
Nivel 2
3.10.2 Instalación del monitor
3.10.6 Lugares de trabajo alternativos
Evaluación de riesgos
Nivel 1
N/A
Nivel 2
3.11.1 Evaluación de riesgos
3.11.2 Exploración de vulnerabilidades
3.11.3 Corrección de vulnerabilidades
Evaluación de la seguridad
Nivel 1
N/A
Nivel 2
3.12.1 Evaluación de los controles de seguridad
3.12.2 Plan de Acción
3.12.3 Monitoreo del Control de Seguridad
3.12.4 Plan de seguridad del sistema
Protección de sistemas y comunicaciones
Nivel 1
3.13.1 Protección de límites
3.13.5 Separación de sistemas de acceso público
Nivel 2
3.13.2 Ingeniería de seguridad
3.13.3 Separación de roles
3.13.4 Control de recursos compartidos
3.13.6 Comunicación de red por excepción
3.13.7 Túnel dividido
3.13.8 Datos en tránsito
3.13.9 Terminación de conexiones
3.13.10 Gestión de claves
3.13.11 Cifrado CUI
3.13.12 Control colaborativo de dispositivos
3.13.13 Código móvil
3.13.14 Protocolo de voz sobre Internet
3.13.15 Autenticidad de las comunicaciones
3.13.16 Datos en reposo
Integridad del sistema y de la información
Nivel 1
3.14.1 Corrección de fallos
3.14.2 Protección contra código malicioso
3.14.4 Actualización de la protección contra código malicioso
3.14.5 Escaneo de Sistema y Archivos
Nivel 2
3.14.3 Alertas y avisos de seguridad
3.14.6 Monitorear comunicaciones por ataques
3.14.7 Identificar uso no autorizado
Prevalente y el CMMC
La plataforma Prevalent Third-Party Risk Managementofrece cuestionarios integrados para cada nivel de certificación CMMC. Esto permite al Departamento de Defensa evaluar a los proveedores de alta prioridad; a los auditores evaluar a sus clientes; y a los proveedores evaluarse a sí mismos y a sus proveedores para verificar el cumplimiento de cada nivel.
Las C3PAO y el gobierno federal pueden:
- Invite a los clientes a la plataforma Prevalent para que completen su evaluación de control estandarizada de nivel 2 o nivel 3 en un entorno fácil de usar y seguro.
- Automatizar los recordatorios a los clientes para reducir el tiempo necesario para completar las evaluaciones.
- Centralizar los justificantes presentados como prueba de la presencia de controles
- Ver un único registro de riesgos planteados en función de cómo responde el cliente a las preguntas.
- Emitir recomendaciones para remediar los controles fallidos
- Entregar informes personalizados sobre el nivel actual de cumplimiento, demostrando el impacto en la reducción de riesgos de la aplicación de futuros controles.
Cualquier proveedor del DoD puede realizar una autoevaluación de nivel 1 o 2 para:
-
- Evaluar según los 17 controles necesarios para medir el cumplimiento del Nivel 1.
- Evaluar según los 110 controles necesarios para medir el cumplimiento del Nivel 2.
- Cargar documentación y pruebas que respalden las respuestas a las preguntas
- Obtenga visibilidad del estado actual de cumplimiento
- Aproveche la orientación de remediación integrada para abordar las deficiencias con terceros.
- Elaborar informes para medir el cumplimiento para los auditores
