El tan esperado programa de Certificación de Modelo de Madurez de Ciberseguridad (CMMC) del Departamento de Defensa de los Estados Unidos comenzó oficialmente su fase de aplicación el 10 de noviembre de 2025.

Este programa, que se introduce como una enmienda al Suplemento de la Regulación Federal de Adquisiciones de Defensa (DFARS), exige a los contratistas y subcontratistas de defensa que adopten medidas específicas de ciberseguridad para salvaguardar la información confidencial. Para más información, puede consultar el programa CMMC.

El Departamento de Defensa, también conocido como el Departamento de Guerra, ahora puede exigir el cumplimiento de CMMC como requisito para nuevos contratos en la base industrial de defensa (DIB).

El propósito es asegurar que tanto contratistas como subcontratistas puedan proteger la Información Federal del Contrato (FCI) y la Información No Clasificada Controlada (CUI). La FCI se refiere a información no destinada a la divulgación pública que es proporcionada o generada por un contratista, mientras que la CUI implica información gubernamental sensible que no está clasificada, pero que requiere protección contra divulgaciones no autorizadas.

Durante los últimos ocho años, los contratistas tenían la opción de autocertificarse en ciberseguridad, pero ahora algunas organizaciones deberán someterse a una evaluación formal por parte de una organización de evaluadores de terceros certificada (C3PAO).

Dependiendo de la sensibilidad de la información que manejan, los contratistas deberán cumplir con uno de los tres niveles del CMMC.

El nivel 1, que incluye la protección básica de la FCI, exige una autoevaluación anual y el cumplimiento de 15 requisitos. El nivel 2, que aborda la protección más amplia de la CUI, puede requerir una autoevaluación o una evaluación por un C3PAO para validar el cumplimiento de los 110 requisitos establecidos en el marco de ciberseguridad NIST SP 800-171.

El nivel 3 se enfoca en la protección avanzada de la CUI contra amenazas persistentes avanzadas (APT) y requiere una evaluación por parte del Centro de Evaluación de Ciberseguridad de la Base Industrial de Defensa (DIBCAC) cada tres años, además de cumplir con los 110 requisitos del NIST SP 800-171 y 24 requisitos adicionales del NIST SP 800-172 (que detallan requisitos de seguridad mejorados).

La fecha del 10 de noviembre de 2025 marcará el inicio de la primera fase de implementación de CMMC, durante la cual los contratistas deberán completar las autoevaluaciones de los niveles 1 y 2. La segunda fase está programada para comenzar el 10 de noviembre de 2026, momento en el que los contratistas tendrán que realizar evaluaciones de terceros para obtener certificaciones de nivel 2 en nuevos contratos.

La tercera fase se prevé para el 10 de noviembre de 2027, y establecerá los requisitos de nivel 3. La cuarta y última fase, que se iniciará el 10 de noviembre de 2028, implicará la completa implementación de los requisitos de CMMC en todos los contratos relevantes.

Aunque los niveles 1 y 2 permiten autocertificaciones, los contratistas se enfrentan a riesgos significativos si son sorprendidos falsificando su cumplimiento. No es inusual que los contratistas de defensa enfrenten multas millonarias por fallos en ciberseguridad, como es el caso de MORSE, Aerojet Rocketdyne y Raytheon/Nightwing.

«Esto es un evento a nivel de GDPR», comentó Shrav Mehta, CEO de Secureframe, una empresa que ofrece servicios de cumplimiento CMMC y que esta semana publicó una guía al respecto.

«Muchos contratistas de defensa todavía utilizan correos electrónicos personales o soluciones comerciales que no cumplen con los estándares requeridos para almacenar información clasificada, frecuentemente empresas manufactureras sin departamentos de TI», explicó Mehta. «La verdadera vulnerabilidad no está con los grandes contratistas, sino con los subcontratistas que carecen de recursos o experiencia para asegurar estos datos de manera efectiva».

Un informe publicado a finales de septiembre por CyberSheath, un proveedor de servicios de cumplimiento de ciberseguridad del Departamento de Defensa, reveló que solo el 1 % de los contratistas de defensa se sentían completamente preparados para CMMC, una baja del 4 % en comparación con 2024.

«Ochenta mil contratistas de defensa necesitan certificación de Nivel 2, sin embargo, solo 270 de estas organizaciones actualmente cuentan con las certificaciones finales de CMMC», afirmó Emil Sayegh, CEO de CyberSheath en ese momento. «Las cifras son simples y preocupantes. Los contratistas que no estén preparados quedarán excluidos de miles de millones en contratos del Departamento de Defensa, mientras que sus competidores que han invertido en cumplimiento y ciberseguridad se harán con el negocio».

En respuesta a la implementación de CMMC, diversas empresas de ciberseguridad han lanzado nuevos productos y actualizado sus plataformas existentes para ayudar a las organizaciones a cumplir con estos requisitos. Recientemente, se anunciaron iniciativas de cumplimiento CMMC por parte de AWS y Wiz (en asociación), Huntress, Strike Graph, USX Cyber y Sensiba.

Fuente principal: Security Week

Con Información de elradar.cl