Existen multitud de estándares que las organizaciones de TI deben cumplir; uno de ellos es el Cybersecurity Maturity Model Certification (CMMC). Este post explicará qué es el CMMC, su importancia, sus distintos niveles y qué empresas lo necesitan.
Explicación del CMMC
El Cybersecurity Maturity Model Certification, más conocido como CMMC, es un estándar unificado implementado por el Departamento de Defensa de Estados Unidos (DoD) para mejorar la postura de ciberseguridad de la Base Industrial de Defensa (DIB). Comprende un conjunto de prácticas y procesos de ciberseguridad destinados a proteger los datos sensibles, en particular la información de contratos federales (FCI) y la información no clasificada controlada (CUI) que circulan en la DIB.
Su primer modelo, CMMC 1.0, se publicó el 31 de enero de 2020. El CMMC 1.0 presentaba cinco niveles de madurez diferentes, que iban desde la ciberhigiene básica hasta las prácticas avanzadas o progresivas.
Sin embargo, tras recibir comentarios negativos de la industria en torno a la complejidad y el coste de CMMC 1.0, el DoD llevó a cabo una revisión interna y decidió que sustituiría el marco original por CMMC 2.0.
Publicado en octubre de 2024, el CMMC 2.0 era la versión simplificada de su predecesor. El modelo tenía tres niveles de control, frente a los cinco niveles de madurez de CMMC 1.0.
Niveles del CMMC 2.0: visión general
Los cinco niveles de madurez del CMMC 1.0 se redujeron a tres en el marco 2.0.
Nivel 1 – Básico
Este nivel se centra en las medidas básicas de ciberseguridad y es un requisito para las organizaciones que trabajan con información contractual federal (FCI). Incluye los 15 controles de seguridad descritos en la cláusula 52.204-21 del Reglamento Federal de Adquisiciones (FAR).
Se puede considerar el punto de partida de la ciberseguridad; incluye prácticas básicas de seguridad, como proteger adecuadamente los accesos y asegurar que solo personal autorizado pueda acceder a la información.
Nivel 2 – Avanzado
Los contratistas federales que manejen información no clasificada controlada (CUI) deben cumplir este nivel de certificación. Esta etapa va más allá de las simples salvaguardias exigidas por el Nivel 1. Se trata de crear un manual de ciberseguridad repleto de procesos y estrategias bien documentados.
En pocas palabras, se trata de establecer un sistema de seguridad completo.
Nivel 3 – Experto
El Nivel 3 está orientado a contratistas federales que participan en programas de alta prioridad que implican el manejo de CUI y se enfocan en capacidades avanzadas de defensa cibernética proactiva. Solo unos pocos contratistas del Departamento de Defensa de EE. UU. tendrán que alcanzar este nivel de cumplimiento.
Cada uno de estos niveles se basa en el otro, lo que significa que para completar el Nivel 2 es necesario haber completado el Nivel 1.
¿Todas las empresas deben cumplir el CMMC?
Todas las empresas que trabajan con contratos del DoD deben cumplir el CMMC, desde los mayores contratistas hasta los proveedores más pequeños.
La adjudicación o continuación de un contrato del DoD depende en gran medida de que las entidades implicadas cumplan los requisitos del CMMC 2.0, lo que significa que una organización debe cumplir el CMMC durante toda la duración de su contrato.
Sin embargo, teniendo en cuenta el aumento de las ciberamenazas, cualquier empresa que valore la seguridad de sus datos podría considerar beneficioso adoptar las prácticas descritas en el CMMC.
¿Por qué es importante el CMMC?
En una era en la que las ciberamenazas son cada vez más frecuentes, el CMMC sirve de marco fundamental para garantizar unas medidas de ciberseguridad sólidas. No es solo una certificación; representa el compromiso de una organización con la seguridad de los datos y demuestra su capacidad para salvaguardar la información sensible.
Más importante aún, el CMM constituye para los MSP una oportunidad perfecta para asistir a sus clientes en la implementación de controles de ciberseguridad reforzados.
Conclusión
El CMMC es más que un estándar de ciberseguridad; es una prueba del compromiso de una organización con la protección de datos. Aunque actualmente es obligatorio para los contratistas del DoD, sus principios son de aplicación universal y pueden mejorar significativamente la postura de ciberseguridad de cualquier organización.
Al comprender en profundidad el funcionamiento del CMMC, las organizaciones pueden evaluar su nivel de madurez en ciberseguridad y determinar si la adopción del marco puede reforzar sus operaciones antes de someterse al proceso de certificación.
