CMMC y gestión de riesgos de terceros
En noviembre de 2021, la Oficina del Subsecretario de Defensa para Adquisiciones y Mantenimiento del Departamento de Defensa de los Estados Unidos (DoD) publicó la versión 2.0 dela Certificación del Modelo de Madurez de Ciberseguridad (CMMC), un marco integral para proteger la base industrial de defensa de los ciberataques cada vez más frecuentes y complejos y garantizar que toda nuestra cadena de suministro de defensa nacional sea segura y resistente.
El CMMC exige a las empresas que obtengan la certificación en materia de ciberseguridad y buenas prácticas en el manejo de información no clasificada controlada (CUI), y dicha certificación determinará en última instancia si una empresa puede obtener un contrato del Departamento de Defensa.
Todos los proveedores del Departamento de Defensa deben estar certificados en uno de los tres niveles, desde el Nivel 1 (Básico) hasta el Nivel 3 (Experto), según los requisitos de seguridad para la información controlada no clasificada (CUI) de la cláusula 204-21 del FAR, la publicación especial (SP) 800-171del Instituto Nacional de Estándares y Tecnología (NIST)y controles adicionales delapublicación especial (SP)800-172 del NIST Requisitos de seguridad mejorados para la protección de la información controlada no clasificada: Suplemento de la publicación especial 800-171 del NIST.
Las empresas y las organizaciones de auditoría externas certificadas (C3PAO) pueden aprovechar la plataforma de gestión de riesgos externos Prevalent, que incluye cuestionarios integrados para evaluar los tres niveles de certificación CMMC.
Descripción general de los niveles de certificación CMMC
- Nivel 1: autoevaluación realizada por el proveedor en función de 17 controles. Este nivel de certificación se considera básico y está destinado a proveedores que gestionan información que no es crítica para la seguridad nacional.
- Nivel 3: considerado un nivel experto para los proveedores del Departamento de Defensa con la máxima prioridad, este nivel se basa en el nivel 2 y añade un subconjunto de controles NIST SP 800-172. El gobierno federal llevará a cabo las auditorías de las empresas de este nivel.
- Nivel 2: un nivel de certificación más avanzado realizado por auditores externos que evalúan 110 controles de la norma NIST SP 800-171. Este nivel se considera adecuado para empresas que han controlado información no clasificada (CUI).
Prevalente para los auditores CMMC
Los auditores certificados por CMMC pueden utilizar la plataforma Prevalent Third-Party Risk Management Platform con los tres niveles de cuestionarios de controles CMMC incluidos.
Prevalente para los respondedores CMMC
Los proveedores y contratistas del Departamento de Defensa pueden utilizar la plataforma Prevalent Third-Party Risk Management Platform para realizar autoevaluaciones de nivel 1 y nivel 2.
Cumplimiento de los requisitos CMMC TPRM
Consulte la tabla siguiente para obtener un resumen de los requisitos CMMC por nivel, organizados según los controles de seguridad pertinentes de NIST SP 800-171r2, que se incluyen como cuestionarios integrados en la plataforma Prevalent. La información sobre el nivel 3 será publicada por el Departamento de Defensa de los Estados Unidos en una fecha posterior y contendrá un subconjunto de los requisitos de seguridad especificados en NIST SP 800-172.
Control de acceso
Nivel 1
3.1.1 Control de acceso autorizado
3.1.2 Control de transacciones y funciones
3.1.20 Conexiones externas
3.1.22 Información pública de control
Nivel 2
3.1.3 Control del flujo de CUI
3.1.4 Separación de funciones
3.1.5 Privilegio mínimo
3.1.6 Uso de cuentas sin privilegios
3.1.7 Funciones privilegiadas
3.1.8 Intentos de inicio de sesión fallidos
3.1.9 Avisos de privacidad y seguridad
3.1.10 Bloqueo de sesión
3.1.11 Finalización de sesión
3.1.12 Control del acceso remoto
3.1.13 Configurabilidad del acceso remoto
3.1.14 Enrutamiento del acceso remoto
3.1.15 Acceso remoto privilegiado
3.1.16 Autorización de acceso inalámbrico
3.1.17 Protección del acceso inalámbrico
3.1.18 Conexión de dispositivos móviles
3.1.19 Cifrado de CUI en dispositivos móviles
3.1.21 Uso de dispositivos de almacenamiento portátiles
Concienciación y formación
Nivel 1
N/A
Nivel 2
3.2.1 Concienciación sobre los riesgos basada en las funciones
3.2.2 Formación basada en las funciones
3.2.3 Concienciación sobre las amenazas internas
Auditoría y rendición de cuentas
Nivel 1
N/A
Nivel 2
3.3.1 Auditoría del sistema
3.3.2 Responsabilidad del usuario
3.3.3 Revisión de eventos
3.3.4 Alerta de fallos de auditoría
3.3.5 Correlación de auditorías
3.3.6 Reducción y generación de informes
3.3.7 Fuente de tiempo autorizada
3.3.8 Protección de auditorías
3.3.9 Gestión de auditorías
Gestión de la configuración
Nivel 1
N/A
Nivel 2
3.4.1 Establecimiento de bases de referencia del sistema
3.4.2 Aplicación de la configuración de seguridad
3.4.3 Gestión de cambios del sistema
3.4.4 Análisis del impacto en la seguridad
3.4.5 Restricciones de acceso para cambios
3.4.6 Funcionalidad mínima
3.4.7 Funcionalidad no esencial
3.4.8 Política de ejecución de aplicaciones
3.4.9 Software instalado por el usuario
Identificación y autenticación
Nivel 1
3.5.1 Identificación
3.5.2 Autenticación
Nivel 2
3.5.3 Autenticación multifactorial
3.5.4 Autenticación resistente a la repetición
3.5.5 Reutilización de identificadores
3.5.6 Manejo de identificadores
3.5.7 Complejidad de las contraseñas
3.5.8 Reutilización de contraseñas
3.5.9 Contraseñas temporales
3.5.10 Contraseñas protegidas criptográficamente
3.5.11 Comentarios oscuros
Respuesta a incidentes
Nivel 1
N/A
Nivel 2
3.6.1 Gestión de incidentes
3.6.2 Notificación de incidentes
3.6.3 Pruebas de respuesta ante incidentes
Mantenimiento
Nivel 1
N/A
Nivel 2
3.7.1 Realizar el mantenimiento
3.7.2 Control del mantenimiento del sistema
3.7.3 Desinfección del equipo
3.7.4 Inspección de los medios
3.7.5 Mantenimiento no local
3.7.6 Personal de mantenimiento
Protección de los medios de comunicación
Nivel 1
3.8.3 Eliminación de soportes
Nivel 2
3.8.1 Protección de soportes
3.8.2 Acceso a soportes
3.8.4 Marcado de soportes
3.8.5 Responsabilidad sobre los soportes
3.8.6 Cifrado de soportes de almacenamiento portátiles
3.8.7 Soportes extraíbles
3.8.8 Soportes compartidos
3.8.9 Protección de copias de seguridad
Seguridad del personal
Nivel 1
N/A
Nivel 2
3.9.1 Selección de personas
3.9.2 Medidas relativas al personal
Protección física
Nivel 1
3.10.1 Limitar el acceso físico
3.10.3 Acompañar a los visitantes
3.10.4 Registros de acceso físico
3.10.5 Gestionar el acceso físico
Nivel 2
3.10.2 Instalaciones de supervisión
3.10.6 Lugares de trabajo alternativos
Evaluación de riesgos
Nivel 1
N/A
Nivel 2
3.11.1 Evaluaciones de riesgos
3.11.2 Análisis de vulnerabilidades
3.11.3 Corrección de vulnerabilidades
Evaluación de seguridad
Nivel 1
N/A
Nivel 2
3.12.1 Evaluación del control de seguridad
3.12.2 Plan de acción
3.12.3 Supervisión del control de seguridad
3.12.4 Plan de seguridad del sistema
Protección del sistema y las comunicaciones
Nivel 1
3.13.1 Protección de límites
3.13.5 Separación del sistema de acceso público
Nivel 2
3.13.2 Ingeniería de seguridad
3.13.3 Separación de funciones
3.13.4 Control de recursos compartidos
3.13.6 Comunicación de red por excepción
3.13.7 Túnel dividido
3.13.8 Datos en tránsito
3.13.9 Terminación de conexiones
3.13.10 Gestión de claves
3.13.11 Cifrado CUI
3.13.12 Control colaborativo de dispositivos
3.13.13 Código móvil
3.13.14 Voz sobre protocolo de Internet
3.13.15 Autenticidad de las comunicaciones
3.13.16 Datos en reposo
Integridad del sistema y de la información
Nivel 1
3.14.1 Corrección de fallos
3.14.2 Protección contra código malicioso
3.14.4 Actualización de la protección contra código malicioso
3.14.5 Análisis del sistema y los archivos
Nivel 2
3.14.3 Alertas y avisos de seguridad
3.14.6 Supervisar las comunicaciones en busca de ataques
3.14.7 Identificar usos no autorizados
Prevalente y el CMMC
La plataforma Prevalent Third-Party Risk Managementofrece cuestionarios integrados para cada nivel de certificación CMMC. Esto permite al Departamento de Defensa evaluar a los proveedores de alta prioridad; a los auditores evaluar a sus clientes; y a los proveedores evaluarse a sí mismos y a sus proveedores para verificar el cumplimiento de cada nivel.
Las C3PAO y el gobierno federal pueden:
- Invite a los clientes a la plataforma Prevalent para que completen su evaluación de control estandarizada de nivel 2 o nivel 3 en un entorno fácil de usar y seguro.
- Automatizar los recordatorios a los clientes para reducir el tiempo necesario para completar las evaluaciones.
- Centralizar los documentos justificativos presentados como prueba de la existencia de controles.
- Ver un único registro de riesgos planteados en función de cómo responde el cliente a las preguntas.
- Recomendaciones para la corrección de problemas en controles fallidos.
- Proporcione informes personalizados sobre el nivel actual de cumplimiento, demostrando el impacto de la aplicación de controles futuros en la reducción de riesgos.
Cualquier proveedor del Departamento de Defensa puede realizar una autoevaluación de nivel 1 o nivel 2 para:
-
- Evaluar según los 17 controles necesarios para medir el cumplimiento del Nivel 1.
- Evaluar según los 110 controles necesarios para medir el cumplimiento del Nivel 2.
- Suba la documentación y las pruebas que respalden las respuestas a las preguntas.
- Obtenga visibilidad sobre el estado actual del cumplimiento normativo.
- Aproveche la orientación de remediación integrada para abordar las deficiencias con terceros.
- Elaborar informes para medir el cumplimiento normativo para los auditores.
