La falta de evaluadores C3PAO resta valor al objetivo de certificación CMMC del DoD

08:34 13/09/2021 | 2 Lượt xem

Si hace negocios con el Departamento de Defensa (DoD), está familiarizado con la Certificación del Modelo de Madurez de Ciberseguridad (CMMC). El Centro de Evaluación de Ciberseguridad de la Base Industrial de Defensa (DIBCAC) aprobó la primera empresa en convertirse en asesor certificado en mayo de 2021. Desde entonces, se han aprobado tres empresas más. Es eso. Cuatro empresas han sido aprobadas para ser una Organización de Evaluación de Terceros Certificada (C3PAO) y han evaluado el cumplimiento de ciberseguridad del contratista del DoD con el CMMC.

Aproximadamente 300,000 proveedores del Departamento de Defensa se verán afectados por la implementación de CMMC.

Solo 100 evaluadores CMMC disponibles: se necesitan 5,000

En una entrevista con Federal News Network, Chris Goldman, miembro fundador del organismo de acreditación de CMMC y director de Infosec para Horizon Blue Cross Blue Shield de Nueva Jersey, opinó sobre cómo CMMC tenía algunas deficiencias. Él detalló cómo el Departamento de Defensa planea invocar el proceso con 500 contratos piloto que requieren las evaluaciones. Esto equivale a cinco evaluaciones por evaluador intermedio, ya que actualmente hay 100 evaluadores intermedios. Goldman señaló: “Ciertamente, necesitaremos escalar a más de 5,000 evaluadores en el ecosistema para hacer más de 100,000 evaluaciones por año”.

Una posible desventaja del esfuerzo CMMC del DoD afecta a las PYMES. El costo de adherirse al proceso CMMC puede hacer que muchas entidades se auto-seleccionen porque, según Goldman, “es demasiado caro, ya no puedo participar en el ecosistema”. Como resultado, las empresas que proporcionan los bienes y servicios que el Departamento de Defensa necesita ya no están disponibles porque buscan clientes más rentables.

Lo que esto significa, según Don Kulp, director de desarrollo empresarial de Saalex, es que el gobierno está utilizando el proceso CMMC para promover una buena higiene cibernética en los ecosistemas del sector privado, incluidas las instituciones educativas. El DoD tendrá “el nivel de madurez de los licitadores contenido en la oferta real e incluirá toda la cadena de suministro asociada con el contrato”. Continúa cómo la implementación incluirá exenciones, con el objetivo final de asegurar “el nivel de madurez que deben certificar todos los postores, así como toda la cadena de suministro asociada a estos contratos”. Eso no quiere decir que será un camino de rosas, señala que estas comunidades contratantes pueden dificultar el cumplimiento de los contratos por parte de quienes hacen negocios con el gobierno.

Submarinos de la Armada no auditados por falta de auditores

Solo se necesita mirar a la Marina de los EE. UU. Para ver el efecto potencial de no tener auditorías oportunas de las posturas de ciberseguridad. El Navy Times obtuvo una auditoría interna de los submarinos de la Fuerza Submarina Naval de los EE. UU. En el Pacífico, que reveló que los 41 submarinos y sus barcos de apoyo no tenían sus “inspecciones de ciberseguridad internas y externas” realizadas de 2016 a 2018.

Los controles y equilibrios integrados en un sistema para garantizar que se mitiguen las vulnerabilidades conocidas no se estaban llevando a cabo. El Navy Times continuó ya que la Marina carecía del personal y el ancho de banda para llevar a cabo las inspecciones. La publicación obtenida a través de una FOIA genera una respuesta más precisa, “El personal nos ha informado que no tienen suficiente personal para cumplir con el requisito de inspección de tres años para todos los sistemas de información, por lo que han excluido las redes submarinas de la Armada”.

El fundamento: “Los barcos se desconectan de la red” mientras están en el mar, ¿el riesgo para la red de información del Departamento de Defensa? Los auditores opinaron: “La exclusión de las redes submarinas de la carga de trabajo de inspección puede exponer a la Red de Información del Departamento de Defensa a un nivel de riesgo inaceptable”.

El ejemplo del submarino demuestra lo que sucede cuando el cribado se produce por falta de recursos. Los auditores cibernéticos de la Marina de los EE. UU. Solo tuvieron unos pocos ciclos en su día y, por lo tanto, tuvieron que elegir entre dos opciones incorrectas, auditar todas las entidades rápidamente (tal vez de manera superficial) o no inspeccionar una entidad y garantizar que la seguridad de otras entidades sea la mejor posible.

Con miles de empresas que necesitan certificación y aproximadamente 100 evaluadores interinos aprobados para realizar el C3PAO, se pueden hacer los cálculos. La escasez de firmas de auditoría es una realidad, lo que hace que la fecha límite de 2023 se parezca un poco a la Espada de Damocles sobre los procesos de contratación del Departamento de Defensa. Habrá estreñimiento. El organismo de acreditación CMMC DIBCAC necesitará duplicar e invertir fuertemente en la capacitación eficiente de evaluadores en un mundo donde el personal experimentado en ciberseguridad en todos los niveles es un producto muy buscado.

Copyright © 2021 IDG Communications, Inc.

Related Posts

Agregar fondos a archivos PDF

Este artículo explicará cómo agregar un fondo a un PDF con Foxit PDF Editor. Para agregar un nuevo fondo, haga lo siguiente: 1. Abra un documento al que desee agregar un fondo y elija...

lên đầu trang