Nueve de las 13 compañías de seguros que rastreamos no escribirán una póliza a menos que tenga MFA. Lo mismo ocurre con CMMC 2.0, y no se aceptará un Plan de acción e hitos (POA&M) si no tiene los conceptos básicos, como MFA, antivirus y capacitación sobre seguridad. – Foster Charles, fundador y director ejecutivo, Charles IT
MIDDLETOWN, Connecticut (PRWEB) Marzo 27, 2023
El Departamento de Defensa (DoD) anunció la nueva Certificación del Modelo de Madurez de Ciberseguridad, CMMC 2.0, en noviembre de 2021. El cambio se produjo después de que se determinó que el modelo CMMC 1.0 original era demasiado engorroso y confuso para los contratistas. Sin embargo, la intención sigue siendo la misma: garantizar que los contratistas de la Base Industrial de Defensa (DIB) tengan las medidas y los procedimientos adecuados para proteger la información confidencial, incluida la información no clasificada controlada (CUI) y la información de contratos federales (FCI).
Lo que es importante entender es que CMMC 2.0 en realidad no es nada nuevo. Los requisitos se basan en el Instituto Nacional de Estándares y Tecnología (NIST) SP 800-171 y están directamente alineados con el Suplemento de Regulación de Adquisiciones Federales de Defensa (DFARS), que se requiere desde hace algún tiempo.
Lo que importa es qué tan estrictamente está implementando estas mejores prácticas para la seguridad de TI, ya que las nuevas regulaciones se aplicarán firmemente en 2023. Para tener éxito, los contratistas deben cambiar su enfoque de cumplimiento o arriesgarse a perder contratos lucrativos o incurrir en fuertes multas.
Cambios de alto nivel en CMMC 2.0
CMMC 1.0 tenía como objetivo agregar varios requisitos de seguridad en un solo estándar de cumplimiento para el gobierno federal. Si bien la intención era buena, las reglas eran muy complicadas. CMMC 2.0 es una simplificación de CMMC 1.0, lo que hace que sea mucho más fácil para los contratistas de DIB lograr el cumplimiento para mejorar la seguridad de la defensa federal.
El nivel uno requiere una autoevaluación de 17 mejores prácticas similar al marco de seguridad cibernética (CSF) de NIST. El nivel dos se alinea con NIST SP 800-171 y requiere la certificación de una Organización de Evaluación de Terceros de CMMC (C3PAO). Por último, los contratistas de DIB que manejan información ultrasecreta deben alcanzar el nivel tres de cumplimiento según NIST 800-172.
CMMC 2.0 elimina los requisitos no incluidos en NIST SP 800-171 para que lograr y hacer cumplir el cumplimiento sea más práctico. También cubre a los subcontratistas de DIB para garantizar la seguridad en toda la cadena de suministro a medida que más actores malintencionados se dirigen a empresas más pequeñas que contratan a gigantes de la industria (por ejemplo, Lockheed Martin). “Los piratas informáticos pueden obtener solo una pieza de CUI de un proveedor. Pero si juntan un montón de ellos, pueden obtener una imagen bastante completa: así es como se filtran los secretos. CMMC 2.0 se trata de proteger los secretos de estado”, dice Charles.
La guerra cibernética es la preocupación más reciente, y por buenas razones. Por ejemplo, los actores de amenazas pueden lanzar un ataque cibernético en la infraestructura (por ejemplo, el ataque del oleoducto colonial) y luego aprovechar el tiempo de inactividad prolongado para lanzar un ataque físico más devastador, que podría detener a toda la nación.
¿Cuál es la conclusión clave de estos cambios y qué necesita saber al actualizar sus procesos?
Un objetivo clave de CMMC 2.0 es aportar claridad y eliminar la complejidad. Por ejemplo, requiere una certificación de terceros cada tres años (en lugar de una evaluación anual) para el cumplimiento de los niveles dos y tres.
Además, los procedimientos son más fáciles de entender, por lo que su enfoque puede estar en actualizar su postura de seguridad.
Cómo CMMC 2.0 beneficia a los contratistas DIB
CMMC 2.0 permite una mejor protección de CUI para evitar filtraciones de datos y espionaje. Fortalece la seguridad nacional y ayuda a proteger contra la cadena de suministro o ataques patrocinados por el estado. Sin embargo, entienda que también beneficia a los contratistas de DIB en sus operaciones: “La industria manufacturera está muy rezagada en TI y seguridad. Las empresas aún ejecutan muchos procesos manualmente, lo cual es muy inseguro. Su higiene de seguridad de TI deficiente a menudo conduce a ransomware costoso y otros ataques. CMMC 2.0 obliga a estos contratistas a establecer buenos hábitos comerciales que, en última instancia, son buenos para sus organizaciones”, dice Charles.
La idea de otra regulación más puede ser intimidante. La buena noticia es que la mitad de CMMC 2.0 ya está en NIST SP 800-171, que detalla las prácticas de seguridad cibernética que los contratistas de DIB ya deberían seguir, por ejemplo, usar software antivirus, implementar la autenticación multifactor (MFA) y mapear y etiquetar todas las CUI. .
Críticamente, las empresas ni siquiera pueden obtener cobertura de seguro de ciberseguridad sin implementar muchas de las medidas descritas en CMMC 2.0. “Nueve de las 13 compañías de seguros que rastreamos no escribirán una póliza a menos que tenga MFA. Lo mismo ocurre con CMMC 2.0, y no se aceptará un Plan de acción e hitos (POA&M) si no tiene los conceptos básicos, como MFA, antivirus y capacitación en seguridad”, dice Charles.
CMMC 2.0 es un paso necesario para que toda la industria de defensa se ponga al día desde la perspectiva tecnológica.
Por qué cambiar su enfoque es clave
Como se mencionó, el concepto erróneo más común acerca de CMMC 2.0 es que es un nuevo estándar de cumplimiento cuando, de hecho, no lo es.
El otro concepto erróneo crucial es que muchos contratistas asumen que pueden esperar hasta que se apruebe el fallo de CMMC 2.0 antes de tomar medidas. Muchos contratistas subestiman cuánto tiempo llevará evaluar su postura de seguridad, implementar acciones de remediación y obtener su evaluación de terceros. Algunos también juzgan mal el nivel técnico de sus sistemas y procesos y la inversión requerida para lograr el cumplimiento. También es esencial recordar que cumplir con estos estándares requiere coordinación con los proveedores, lo que puede llevar tiempo completar. “Muchos contratistas pasan por alto la complejidad de sus cadenas de suministro y la cantidad de proveedores externos que utilizan. Por ejemplo, puede descubrir que algunos proveedores todavía usan Windows 7 y se niegan a actualizar. Por lo tanto, podría encontrarse en un aprieto si sus proveedores no cumplen con las normas y debe esperar a que actualicen su tecnología”, dice Charles.
También hay problemas con el cumplimiento de la nube, señala Charles. Muchos contratistas tampoco se dan cuenta de que no pueden procesar CUI en ninguna nube: su plataforma debe estar en una nube media o alta de Fedramp. Por ejemplo, en lugar de Office 365, debe usar Microsoft 365 Government Community Cloud High (GCC High).
Cómo prepararse para CMMC 2.0
Comience a prepararse tan pronto como pueda si aún no lo ha hecho y espere que el proceso tome uno o dos años. CMMC 2.0 probablemente entrará en vigencia en 2023 y, tan pronto como lo haga, aparecerá en todos los contratos dentro de los 60 días. No puedes darte el lujo de esperar hasta el último minuto.
En otras palabras, los contratistas se beneficiarán de un sentido de urgencia. “Lograr el cumplimiento de una sola vez puede ser un gran impacto para una organización y sus procesos comerciales diarios. Recomiendo realizar una evaluación y diseñar una hoja de ruta de varios años”, dice Charles. Este plan debe responder preguntas como: ¿Qué máquinas/hardware necesita reemplazar? ¿Qué proveedores externos requieren actualizaciones? ¿Tienen planes de hacerlo en los próximos tres años?”.
El envío de un plan de seguridad del sistema (SSP) es esencial para el cumplimiento de CMMC 2.0. El SSP es también un documento esencial que un proveedor de servicios gestionados (MSP) puede utilizar para ayudar a su empresa con el cumplimiento. La hoja de puntaje describe los requisitos de seguridad de CMMC y lo ayuda a obtener una descripción general de las actualizaciones que necesita. “Lo primero que suelo preguntar es, '¿sabes tu puntaje SSP?'”, dice Charles. Otras compañías pueden no estar tan avanzadas. En ese caso, Charles IT puede realizar una evaluación de brechas o riesgos para nuestros clientes como primer paso para redactar un SSP y un plan de acción e hitos (POA&M). “Lo llamamos una evaluación de la brecha. Necesitamos saber qué tan profunda es el agua, y luego la identificaremos y los ayudaremos a escribir un SSP”, aconseja Charles.
Si tiene una postura de seguridad relativamente madura y sigue las mejores prácticas de seguridad cibernética más recientes, lograr el cumplimiento de CMMC 2.0 debería llevar entre seis y nueve meses. De lo contrario, podría estar viendo una línea de tiempo de 18 meses. Nuevamente, no espere hasta que haya un contrato sobre la mesa: comience ahora para evitar perder negocios.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.prweb.com/releases/2023/3/prweb19246469.htm
- :es
- $ UP
- 1
- 2021
- 2023
- 7
- a
- Nuestra Empresa
- Lograr
- el logro de
- adquisición
- a través de
- la columna Acción
- acciones
- los actores
- Ventaja
- Después
- en contra
- alineado
- Alinea
- Todos
- ya haya utilizado
- En medio de
- y
- anunció
- anual
- Otra
- https://www.youtube.com/watch?v=xB-eutXNUMXJtA&feature=youtu.be
- antivirus
- Aparecer
- enfoque
- adecuado
- aprobado
- somos
- en torno a
- AS
- evaluación
- ayudar
- At
- atacar
- ataques
- Autenticación
- conciencia
- bases
- basado
- conceptos básicos
- BE
- antes
- detrás de
- es el beneficio
- beneficios
- MEJOR
- y las mejores prácticas
- mejores
- llevar
- Manojo
- negocios
- llamar al
- PUEDEN
- Puede conseguir
- portadores
- case
- ceo
- de Padi
- cadena
- cadenas
- el cambio
- Cambios
- cambio
- Charles
- transparencia
- clientes
- Soluciones
- Algunos
- vibrante e inclusiva
- Empresas
- compañía
- completar
- complejidad
- compliance
- obediente
- Complicado
- Protocolo de Tratamiento
- Conducir
- conductible
- confuso
- contrato
- contratistas
- contratos
- controlado
- coordinación
- podría
- cobertura
- Cubiertas
- crucial
- Ataque cibernetico
- La Ciberseguridad
- datos
- Fecha
- día a día
- Días
- profundo
- Defensa
- Departamento
- Departamento de Defensa
- diseño
- detallando
- determina
- devastador
- directamente
- descrubrir
- documento
- el tiempo de inactividad
- e
- más fácil
- efecto
- permite
- hacer cumplir
- garantizar
- Todo
- espionaje
- esencial
- establecer
- evaluar
- Incluso
- Cada
- ejemplo
- esperar
- Federal
- Gobierno federal
- pocos
- Encuentre
- multas
- firmemente
- Nombre
- Focus
- seguir
- siguiendo
- Fuerzas
- adelante
- Cuidados de acogida
- fundador
- Marco conceptual
- Desde
- Obtén
- brecha
- GCC
- obtener
- conseguir
- Go
- candidato
- Gobierno
- los piratas informáticos
- A Mitad
- encargarse de
- Tienen
- ayuda
- ayuda
- Alta
- Cómo
- Sin embargo
- HTTPS
- i
- imagen
- implementar
- implementación
- importante
- mejorar
- in
- incluido
- Incluye
- industrial
- energético
- información
- EN LA MINA
- ejemplo
- Innovadora
- aseguradora
- intención
- Intención
- intimidante
- inversión extranjera
- cuestiones
- IT
- seguridad informatica
- SUS
- tan siquiera solo una
- Clave
- Saber
- etiquetado
- Apellido
- más reciente
- lanzamiento
- Prospectos
- Fugas
- Nivel
- que otros
- Lockheed Martin
- mirando
- no logras
- lucrativo
- gran
- para lograr
- Realizar
- a mano
- Fabricación
- industria manufacturera
- muchos
- cartografía
- Martin
- Cuestiones
- un estudiante adulto
- madurez
- Modelo de madurez
- medidas
- mediano
- reunión
- mencionado
- MFA
- Microsoft
- Hitos
- minuto
- modelo
- meses
- más,
- MEJOR DE TU
- multianual
- UR DONATIONS
- Nacional
- seguridad nacional
- necesario
- ¿ Necesita ayuda
- Nuevo
- noticias
- Next
- nist
- Noviembre
- Noviembre 2021
- número
- objetivo
- of
- Oficina
- on
- ONE
- Operaciones
- solicite
- organización
- para las fiestas.
- reconocida por
- Otro
- esbozado
- contornos
- visión de conjunto
- fiesta
- la perspectiva
- los libros físicos
- imagen
- pieza
- industrial
- plan
- jubilación
- plataforma
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- puntos
- política
- pobre
- Metodología
- prácticas
- Preparar
- preparación
- evitar
- procedimientos
- en costes
- proteger
- Protección
- proveedor
- Preguntas
- ransomware
- más bien
- darse cuenta de
- razones
- recomiendan
- Regulación
- reglamentos
- relativamente
- permanece
- recordarlo
- remove
- reemplazar
- exigir
- Requisitos
- Requisitos
- requiere
- Riesgo
- evaluación de riesgos
- hoja de ruta
- reglas
- fallo
- Ejecutar
- s
- mismo
- dice
- Puntuación
- asegurar
- EN LINEA
- Conciencia de seguridad
- sentido
- sensible
- de coches
- Proveedor de servicios
- tienes
- similares
- soltero
- SEIS
- menores
- So
- Software
- algo
- velocidad
- montón
- estándar
- estándares de salud
- fundó
- Estado
- paso
- Sin embargo
- Fortalece
- exitosos
- tal
- proveedores
- suministro
- cadena de suministro
- Cadenas de suministro
- te
- Todas las funciones a su disposición
- mesa
- ¡Prepárate!
- toma
- Discursos
- Target
- Tecnología
- esa
- La
- Lo esencial
- su
- Les
- Estas
- cosa
- Código
- terceros.
- pensamiento
- amenaza
- actores de amenaza
- Tres
- equipo
- calendario
- a
- juntos
- demasiado
- seguir
- Formación
- Finalmente, a veces
- entender
- actualización
- actualizar
- actualizaciones
- urgencia
- utilizan el
- generalmente
- diversos
- vendedores
- esperar
- Agua
- ¿
- que
- mientras
- seguirá
- ventanas
- dentro de
- sin
- Won
- palabras
- escribir
- la escritura
- año
- años
- Usted
- tú
- a ti mismo
- zephyrnet
