Si es un contratista o subcontratista del gobierno, debe seguir ciertas normas y políticas relacionadas con el cumplimiento. Una gran área de enfoque para el gobierno y sus contratistas es la ciberseguridad.
El DoD anunció recientemente que reemplazará una certificación regulatoria clave, la Certificación del Modelo de Madurez de Ciberseguridad (CMMC) versión 1.0, con un programa simplificado llamado CMMC 2.0.
Hablaremos más sobre el cumplimiento de CMMC y lo que significa para los contratistas a continuación, pero primero analizaremos los requisitos del contrato de seguridad cibernética en general y, en general, en relación con la seguridad cibernética.
Ciberseguridad para contratos gubernamentales
En los últimos años, se ha prestado más atención a los requisitos de seguridad cibernética aplicables a los contratistas del gobierno federal. Como resultado del aumento de las obligaciones de cumplimiento, existe un mayor riesgo de responsabilidad en virtud de la Ley de Reclamaciones Falsas en relación con la ciberseguridad.
Según el Departamento de Justicia de los EE. UU., si la protección de la seguridad cibernética es una parte necesaria del pago o la participación en un contrato o programa del gobierno, saber que el incumplimiento de ciertas protecciones podría resultar en responsabilidad según la Ley de Reclamaciones Falsas.
Al menos un tribunal de distrito concluyó que el incumplimiento de los requisitos de seguridad cibernética por parte de una empresa, incluida la publicación especial 800-171 del Instituto Nacional de Estándares y Tecnología (NIST), podría ser relevante en virtud de la Ley de Reclamos Falsos.
También se están implementando nuevos requisitos de ciberseguridad como parte del programa de certificación del “Modelo de Madurez de la Ciberseguridad”. En respuesta a la orden ejecutiva promulgada recientemente diseñada para mejorar la seguridad cibernética de la nación, es posible que una cantidad significativa de contratistas deba cumplir con nuevos requisitos que podrían considerarse importantes según la Ley de Reclamos Falsos.
La orden ejecutiva para mejorar la seguridad cibernética de la nación aborda una serie de nuevas obligaciones relacionadas con la seguridad cibernética.
Por ejemplo, hay nuevas disposiciones del Reglamento Federal de Adquisiciones (FAR) y disposiciones relacionadas con el Suplemento del Reglamento Federal de Adquisiciones de Defensa (DFARS) que se relacionan con la recopilación, retención, informe y divulgación de datos relacionados con incidentes cibernéticos. Corresponde a los contratistas entender lo que se les pide y tomar las medidas necesarias para asegurar una implementación oportuna.
Los proveedores de software crítico también deben asegurarse de cumplir con los requisitos del NIST.
¿Qué es la Certificación del Modelo de Madurez de Ciberseguridad?
El CMMC es un término importante en ciberseguridad y también en toda la industria de TI. Afecta a cientos de miles de empresas en todo el mundo.
El CMMC fue desarrollado por el Departamento de Defensa para la certificación a fin de garantizar que los contratistas tengan controles para proteger los datos confidenciales. Los datos confidenciales incluyen información de contratos federales (FCI) e información no clasificada controlada (CUI) para evitar la divulgación no autorizada.
El modelo CMMC integra las mejores prácticas de múltiples estándares de ciberseguridad. Estos incluyen NIST SP 800-171, NIST SP 800-53 e ISO 27001.
En el pasado, los clientes públicos y también los contratistas generales eran responsables de la implementación y certificación de la seguridad de sus sistemas de información. Todavía son responsables de implementar los controles de seguridad, pero la CMMC ahora requiere que se realice una evaluación de terceros para garantizar el cumplimiento.
CMMC se formó en respuesta a un número creciente de amenazas contra los contratistas del Departamento de Defensa.
Más de 300 000 fabricantes de defensa, contratistas y pequeñas empresas involucradas en la Base Industrial de Defensa (DIB) requieren la certificación.
Los requisitos se implementaron en algunas RFP y RFI en noviembre de 2020. Para el año fiscal 2026, todas las adquisiciones del Departamento de Defensa requerirán cierto nivel de certificación CMMC.
Si trabaja con información del Departamento de Defensa, es probable que necesite una certificación de CMMC. Si está trabajando con información no clasificada del Departamento de Defensa, es posible que solo necesite una autorización de Nivel 3. Si está trabajando con información de mayor valor, es probable que necesite al menos una autorización de Nivel 4, pero el proyecto dicta las clasificaciones .
Niveles de certificación para CMMC 1.0
Hay cinco niveles de certificación CMMC 1.0 en total. El más fácil es el nivel 1 y el más alto es el nivel 5.
La mayoría de las empresas ya deberían poder cumplir con el Nivel 1. Este nivel incluye cosas como la higiene de contraseñas, tener un software antivirus y sistemas de seguridad básicos. Es un nivel muy básico de ciberseguridad.
El nivel 5, por otro lado, incluye formas proactivas de identificar y mitigar una amenaza antes de que surja. La certificación de nivel 5 requiere sistemas y procesos que puedan revisar la infraestructura e identificar brechas para que puedan abordarse.
CMMC 2.0
CMMC 1.0 está diseñado para proteger la información de contratos federales (FCI) y la información no clasificada controlada (CUI), las cuales son compartidas y procesadas por contratistas y subcontratistas del Departamento de Defensa en sistemas de información no federales.
CMMC 1.0 incluía los cinco niveles progresivos de estándares de seguridad y exigía que los contratistas se sometieran a un proceso de certificación.
En marzo de 2021, el Ministerio inició una evaluación inicial de la implementación de CMMC 1.0. En ese momento hubo más de 850 declaraciones públicas sobre el régimen transitorio.
Esto condujo a esfuerzos para refinar las estrategias y la implementación de los programas. Así surgió CMMC 2.0.
CMMC 2.0 actualiza la estructura del programa y sus requisitos con la esperanza de simplificar y mejorar la implementación del programa CMMC. CMMC 2.0 también tiene la intención de construir sobre el marco original mientras mejora la seguridad cibernética contra las amenazas en evolución.
Estos cambios incluyen la eliminación de los niveles 2 y 4 pero manteniendo los tres niveles restantes.
El nivel 1 se llama Fundacional y sigue siendo el mismo que el 1.0 Nivel 1. El Nivel 2 es Avanzado y es similar al Nivel 3 en CMMC 1.0. Luego estará el Nivel 3, que es Experto y es similar a la versión 1.0 del Nivel 5.
La etapa 3 elimina las prácticas específicas de CMMC y los procesos de maduración de todas las etapas. El requisito del Nivel 1 permite autoevaluaciones anuales.
El nivel 3 requiere una evaluación independiente de un tercero.
Hasta que los cambios de CMMC 2.0 entren en vigencia a través de los procesos de reglamentación del Título 32 CFR y el Título 48 CFR, el Departamento suspenderá la prueba piloto. No incluirán el requisito de CMMC en las solicitudes del DoD hasta que el programa se vuelva obligatorio después de que se complete la reglamentación del Título 32 CFR.