Los nuevos estándares obligatorios de ciberseguridad están preparados para impactar profundamente a los más de 300,000 fabricantes en los Estados Unidos, incluso en West Michigan, que componen la cadena de suministro de la base industrial de defensa (DIB) del país.
El 31 de enero, el Departamento de Defensa de los Estados Unidos (DoD) publicó la versión 1.0 de lo que se llama la Certificación del Modelo de Madurez de Ciberseguridad (CMMC), que establece estándares unificados para la seguridad cibernética que todos los miembros de la DIB deben cumplir para poder contrato con el DoD.
“He visto muchos requisitos regulatorios, esta es la primera vez que veo caer una regulación que literalmente va a evitar que la gente haga negocios”, dijo Chad Paalman, director ejecutivo de NuWave Technology Partners LLC, un I.T. firma con oficinas en Grand Rapids, Kalamazoo y Lansing que se especializa en cumplimiento de CMMC.
“Esto llamará la atención de la alta gerencia … porque si no puede ofertar por el trabajo, eso significa que todo se detiene porque no cumple con una determinada certificación”
El marco de CMMC se compone de cinco niveles diferentes, que miden la madurez de la empresa con respecto a la ciberseguridad. Cada nivel prescribe indicadores de madurez organizacional.
El nivel 1, por ejemplo, consiste en medidas que podrían considerarse ciberseguridad básica para las pequeñas empresas, como la seguridad física y la instalación de actualizaciones de seguridad para computadoras.
Los contratos existentes requieren que las empresas implementen la Publicación especial 800-171 del NIST. CMMC Nivel 3 incluye estos mismos requisitos, lo que permite a las organizaciones que ya han comenzado los esfuerzos de ciberseguridad obtener la certificación CMMC más rápidamente.
Si bien los fabricantes pertenecientes a la DIB siguen siendo responsables de implementar, monitorear y certificar la seguridad de su I.T. sistemas, el gobierno también forzará el tema a través de evaluaciones de terceros.
El organismo de acreditación de CMMC capacitará a cientos de evaluadores externos. Estos evaluadores, que trabajan o son subcontratados por Organizaciones Evaluadoras Terceras Certificadas, viajarán por todo el país para proporcionar evaluaciones CMMC. Esto significa que los fabricantes deben mostrar una prueba de cumplimiento a los evaluadores y estar certificados por el organismo de acreditación de CMMC para calificar para los contratos de defensa que tienen un requisito de CMMC.
El Departamento de Defensa planea incluir los requisitos de CMMC en nuevas oportunidades de contratos en los próximos meses. CMMC se incorporará a todos los nuevos contratos durante los próximos cinco años. Los subcontratistas probablemente se enterarán de los requisitos de CMMC a través de contratistas “principales” más grandes que hacen negocios directamente con las agencias.
.
Urgencia requerida
El efecto de la nueva certificación es profundo y un número abrumador de fabricantes se está quedando atrás, dicen los expertos.
“El momento de empezar a pensar en la preparación para CMMC es ayer”, dijo Paalman. “Puedo decírselo de primera mano, dado que apoyo las redes de estas empresas, será una cantidad increíble de trabajo para estas empresas y no es solo el aspecto técnico, también es la documentación del cumplimiento”.
El costo es un gran obstáculo, especialmente para una industria que notoriamente no invierte en ciberseguridad.
“Mi experiencia es que muchas empresas de fabricación no tienen suficiente asignación presupuestaria para I.T. y ciberseguridad ”, dijo Paalman. “Y eso es sin CMMC”.
Otro obstáculo es la ausencia de expertos internos que puedan abordar este abrumador proceso. Incluso la TI interna experimentada Es probable que los profesionales se encuentren incapaces de asumir las complejidades del cumplimiento de CMMC.
Sue Tellier, presidenta de la empresa de logística y gestión de la cadena de suministro con sede en Grand Rapids JetCo Federal, describió el nuevo proceso de CMMC como “profundo” y “muy subestimado”.
Tellier calculó que el 80 por ciento del trabajo de su empresa se encuentra dentro de la base industrial de defensa, trabajando como contratista principal del gobierno y también junto a fabricantes más pequeños en ventas gubernamentales.
Otros dos fabricantes con sede en Michigan que abastecen a la industria de defensa con los que MiBiz contactó para esta historia se negaron a hablar oficialmente sobre el proceso de cumplimiento de CMMC.
Tellier dijo que algunos contratistas principales esperan perder un asombroso 80 a 90 por ciento de la cadena de suministro de las empresas porque las empresas no estarán listas para el nivel CMMC requerido.
Mientras tanto, JetCo Federal ha tomado las medidas necesarias. La compañía cumple con NIST 800-171 y Tellier estima que cumplirá con el nivel 3 de CMMC en febrero.
“Nos lo estamos tomando en serio y es una ventaja competitiva”, dijo Tellier. “Si mis competidores no se lo toman en serio, es bueno para mí, pero no es bueno para la base industrial de defensa, hablar como alguien que se preocupa por nuestra nación y la seguridad nacional y saber que nuestra cadena de suministro nacional es fundamental para eso. Quiero que la gente le preste más atención y se lo tome en serio “.
Si bien Tellier simpatizaba con las pequeñas empresas que podrían ser tímidas a la hora de realizar grandes inversiones para satisfacer un conjunto de estándares que continúan cambiando y transformándose, dijo que las medidas asociadas con lograr el cumplimiento de CMMC crean una mejor empresa.
“Ninguna de las cosas que hemos hecho ha empeorado nuestra empresa”, dijo Tellier. “Todos estos son pasos que nos hacen más seguros y tienen más honor y sensibilidad con respecto a la información de nuestros clientes”.
.
Primeros pasos
Paalman y Tellier coincidieron en que los pasos iniciales para el cumplimiento de CMMC comienzan cuando los líderes empresariales deciden si quieren que sus empresas formen parte de la base industrial de defensa. Si las empresas ya trabajan con contratistas principales existentes, el liderazgo debe averiguar ahora qué nivel de cumplimiento de CMMC necesitarán para continuar el trabajo.
A partir de ahí, las empresas pueden beneficiarse de trabajar con un I.T. consultor para un análisis de brechas y diseñar un plan y presupuesto que conduzca al cumplimiento de CMMC.
La urgencia se debe en parte al hecho de que el cumplimiento de CMMC puede llevar meses.
Las nuevas regulaciones de CMMC llegan en un momento oportuno para Angela Hill y su Jadex Strategic Group con sede en Spring Lake, que respalda la base industrial de defensa al trabajar con los clientes para construir configuraciones de sistemas que equipen a los proveedores de defensa con un espacio seguro.
Hill aporta una perspectiva única al trabajo con su experiencia global en inteligencia y contraterrorismo. Hill se desempeñó como analista de inteligencia militar de la Marina de los EE. UU. Y contratista federal para organizaciones de inteligencia de nivel 1 como la Agencia Central de Inteligencia, la Agencia de Inteligencia de Defensa y la Agencia Nacional de Inteligencia Geoespacial. Hill aplicó recientemente esta experiencia en el espacio comercial al formar Jadex a principios de este año.
Desde su punto de vista, las nuevas medidas de ciberseguridad son una adición bienvenida.
“Esta nueva regulación de CMMC realmente garantiza que el gobierno esté protegiendo su información a través de sus proveedores”, dijo Hill. “Los actores del estado-nación y sus respectivas agencias de inteligencia apuntan activamente a las organizaciones y empresas estadounidenses para recopilar información para operaciones en curso y futuras y trabajar para robar secretamente los secretos nacionales, los diseños y las tecnologías emergentes de nuestra nación. El nuevo marco de CMMC, en esencia, es la forma en que el gobierno toma medidas enérgicas y dice que es necesario proteger nuestra relación y la información que compartimos con usted “.
Por Jayson Bussa, 25 de octubre de 2020, publicado en MiBiz