El departamento de defensa de los Estados Unidos publicó recientemente el programa de Cybersecurity Maturity Model Certification (CMMC). Esta es la evolución más reciente del programa del departamento de defensa para proteger la información no clasificada controlada (CUI) del gobierno.
El departamento de defensa impone los requisitos a través de cláusulas contractuales en el Suplemento de Regulación Federal de Adquisiciones de Defensa (DFARS). Si su empresa suministra equipos o servicios al departamento de defensa - directamente o a través de uno de sus proveedores - entonces su empresa tiene que aceptar estas cláusulas.
Las cláusulas contractuales del departamento de defensa incluyen requisitos para manejar la CUI, y estos han evolucionado en los últimos años:
DFARS 252.204-7012 describe los requisitos básicos para proteger la CUI. Esto se basa en 110 controles definidos en el NIST 800-171. Las organizaciones deben afirmar que están cumpliendo la mayoría de estos controles, con un plan de acción y expectativas (POAM) para cumplir con los controles restantes. Esta cláusula también requiere que la organización notifique al cliente del gobierno si hay un incidente cibernético que pone en riesgo la CUI del gobierno.
La cláusula -7012 se introdujo por primera vez en 2017. En 2023, el gobierno introdujo 3 nuevas cláusulas que se relacionaban con CUI: -7019, -7020 y -7021.
El DFARS 252.204-7019 amplía los requisitos de presentación de informes del 7012. Las organizaciones deben realizar una evaluación de sus sistemas para generar una puntuación. Esa puntuación debe comunicarse al sitio web del Supplier Performance Risk System (SPRS), donde las agencias gubernamentales y los contratistas principales pueden revisar estas puntuaciones. Estas evaluaciones y puntuaciones deben actualizarse cada 3 años.
El DFARS 252.204-7020 define diferentes niveles de evaluación para -7019. Dependiendo del tipo de datos de CUI, la evaluación la puede realizar la organización o un equipo de gobierno. Esta cláusula establece que el organismo gubernamental tendrá acceso a realizar esos exámenes, si así lo deciden.
DFARS 252.204-7021 crea el programa CMMC. Este programa define 3 niveles de proveedores con diferentes requisitos de evaluación para cada nivel. Los proveedores de nivel 1 deben cumplir con 15 controles básicos del NIST 800-171 y la evaluación la realiza esa organización. Los proveedores de nivel 2 deben cumplir con los 110 controles y ser evaluados por una organización de evaluación de terceros (C3PAO) de CMMC certificada. Los proveedores de nivel 3 deben ser evaluados directamente por funcionarios gubernamentales. En una carta de aclaración, el departamento de defensa confirmó que CMMC se alineará con NIST 800-171 rev. 2, aunque la rev. 3 se emitió en 2024.
El programa de CMMC completo se lanzó a finales de 2024, con los primeros contratos que requieren -7021 se emitieron a principios de 2025.
CMMC tiene un claro impacto en los equipos de TI. Esos equipos deben garantizar que los sistemas de datos de la organización, correo electrónico, almacenamiento de datos, herramientas ofimáticas y herramientas de desarrollo cumplan con los requisitos de la CMMC. En la mayoría de las empresas, IT es el grupo responsable de cumplir con CMMC, obtener las evaluaciones y firmar las declaraciones que afirman el cumplimiento.
Durante las últimas décadas, los sistemas de pruebas han sido excluidos de muchos de estos programas de seguridad. Pero los sistemas de pruebas están manejando datos confidenciales del gobierno, incluyendo la CUI. Los sistemas de pruebas se conectan a los sistemas que se están implementando en las redes gubernamentales, y un ataque malicioso a un sistema de pruebas resulta en sistemas gubernamentales comprometidos. Los sistemas de pruebas son una parte importante de un sistema de defensa de seguridad, y deben incluirse en una evaluación de CMMC.
Esto significa que los sistemas de pruebas deben cumplir con los controles NIST 800-171. Pero el cumplimiento de estos controles debe enfocarse de manera diferente a los sistemas de TI convencionales. Por ejemplo, los controles de TI requieren actualizaciones frecuentes para mantener los sistemas actualizados. Los sistemas de pruebas no pueden actualizarse con la misma frecuencia: la actualización debe probarse completamente para garantizar el funcionamiento continuo, y la actualización debe aplicarse entre pruebas. Aplicar una actualización en medio de una prueba puede resultar en retrasos en la prueba, o incluso en problemas de seguridad.
Para dar sentido a estas diferencias, los equipos de pruebas se agrupan con Operational Technology (OT) en lugar de Information Technology (IT). NIST 800-82, Guía para la Seguridad de la Tecnología Operacional (OT), ofrece algunas orientaciones para comprender la diferencia de seguridad entre los sistemas de TI y OT. Este es un documento importante para los equipos de TI que crean una estrategia de seguridad para los sistemas de pruebas.
NI trabaja en estrecha colaboración con equipos de pruebas de todo el mundo para proteger sus sistemas de prueba contra ataques maliciosos. Los equipos exitosos implementan estos principios de seguridad:
Crear un canal de comunicación claro y abierto con el equipo de seguridad de TI lo antes posible. Trabajar para entender sus mandatos y directrices, y tomarse el tiempo para presentarles cómo funcionan las operaciones de prueba.
Adoptar un framework de desarrollo seguro en su proceso de desarrollo. NIST 800-218 proporciona un conjunto de prácticas que su equipo debe seguir para producir soluciones seguras.
Trabaje con proveedores de buena reputación que puedan proporcionar las características y la documentación que necesitará. Es mucho más fácil demostrar que su sistema es seguro si los componentes provienen de empresas que se toman en serio la seguridad. Reducirá la carga de papeleo si el proveedor puede proporcionar documentos como SBOM, cartas de volatilidad, matrices de cumplimiento y guías de implementación seguras.
Desarrolle una cultura de seguridad y capacite a su equipo para tomarse la seguridad en serio.
Genere un plan de seguridad continua. Actualizar los sistemas de pruebas supone una carga real para un equipo de prueba. Es perturbador probar los flujos de trabajo. Puede requerir la revalidación del sistema. Debe considerar el plan en curso para estas actualizaciones que coincida con su flujo operativo, y debe asegurarse de que su cliente o su empresa estén listos para financiar estas actualizaciones en curso.
Aprenda de los demás. NI organiza una Cumbre de Seguridad del Sistema de Pruebas dos veces al año y publica las presentaciones en el Foro de Seguridad del Sistema de Pruebas. Participe en estas reuniones para hacer sus preguntas y aprender sobre las mejores prácticas de la industria.
Para obtener más información sobre los requisitos descritos por NIST 800-171, consulte Requisitos de CMMC.
Linux® se utiliza conforme a una sublicencia otorgada por LMI, el licenciatario exclusivo de Linus Torvalds, propietario de la marca en todo el mundo.