Las nuevas normas de ciberseguridad para los contratistas del Departamento de Defensa de EE. UU. (DOD) están entrando en la recta final. El normasque establecen un mecanismo de evaluación integral y escalable dentro del programa de Certificación del Modelo de Madurez de Ciberseguridad (CMMC) de la agencia, tienen como objetivo garantizar que los contratistas y subcontratistas estén implementando las medidas de seguridad de la información requeridas por el DOD.
El departamento, que en el pasado ha dependido en gran medida de las autoevaluaciones de seguridad de sus proveedores, ha sido criticado durante algún tiempo por su inspector general por su débil supervisión de sus proveedores. en un informe Publicado en diciembre, IG Robert P. Storch señaló que su agencia emitió cinco informes de 2018 a 2023 que consistentemente encontraron que los funcionarios contractuales del DOD no establecieron procesos para verificar que los contratistas cumplieran con los requisitos federales de ciberseguridad seleccionados para información controlada no clasificada (CUI) como lo requiere el Instituto Nacional de Estándares y Tecnología (NIST).
Storch también señaló que, desde 2022, su oficina ha participado en cinco investigaciones del Departamento de Justicia de EE. UU. dirigidas a contratistas gubernamentales y beneficiarios de subvenciones sospechosos de certificar de manera fraudulenta su cumplimiento de los estándares de ciberseguridad del NIST.
CMMC una forma de garantizar la seguridad en la cadena de suministro del DOD
«Los requisitos de CMMC son una respuesta a los informes del inspector general del DOD como una forma de evaluar y verificar el cumplimiento de los requisitos de seguridad del departamento», dice Brian Kirk, gerente senior de aseguramiento de la información y ciberseguridad de la firma de contabilidad y consultoría Cherry Bekaert. «La pérdida agregada de propiedad intelectual y CUI de la cadena de suministro del Departamento de Defensa socava gravemente la ventaja técnica de Estados Unidos y altera las oportunidades comerciales y, en última instancia, amenaza nuestra defensa y economía nacionales».
“Al incorporar la ciberseguridad en los programas de adquisición”, continúa Kirk, “el programa CMMC brinda al departamento la garantía de que los contratistas y subcontratistas cumplen con los requisitos de ciberseguridad del DOD y proporciona mecanismos clave para adaptarse al panorama de amenazas en evolución. Es una forma que tiene el departamento de garantizar la seguridad en la cadena de suministro”.
Cambio importante en cómo las reglas CMMS tratan a los proveedores de servicios administrados
Robert Metzger, presidente de práctica de ciberseguridad en el bufete de abogados Rogers Joseph O’Donnell, dice: «Considero que la norma reafirma la decisión de que la autocertificación es insuficiente para la mayoría de los proveedores del DOD que tienen CUI y mantiene el listón alto a la hora de esperar los estándares del NIST». se encontraran.»