El hecho de que no haya auditores no significa que las empresas no deban prepararse para la certificación CMMC, dijo un alto funcionario del Departamento de Defensa. (Foto de George Frey/Getty Images)
El Pentágono espera tener la primera clase de auditores para evaluar la seguridad cibernética de los contratistas para abril, dijo un alto funcionario del Departamento de Defensa el 5 de marzo.
Los auditores serán responsables de certificar las empresas en el marco del nuevo Modelo de Madurez de Seguridad Cibernética (CMMC), que es un marco de seguridad cibernética por niveles que califica a las empresas en una escala de uno a cinco. Una puntuación de uno designa la higiene básica y un cinco representa la higiene avanzada.
La Subsecretaria de Defensa para Adquisición y Sostenimiento Ellen M. Lord celebra una rueda de prensa para actualizar a los medios de comunicación sobre adquisición, reforma e innovación, en el Pentágono, Washington, D.C., el 26 de agosto de 2019. (Foto del Departamento de Defensa por el suboficial de la Marina de EE.UU. de segunda clase James K. Lee)
El Pentágono finaliza el primer conjunto de normas cibernéticas para los contratistas
El Pentágono ha finalizado las normas de seguridad cibernética que los contratistas tendrán que seguir antes de obtener contratos del Departamento de Defensa, un nuevo proceso llamado Certificación del Modelo de Madurez de la Seguridad Cibernética (CMMC) 1.0.
Mark Pomerleau
Actualmente, no hay auditores - conocidos como Organizaciones de Evaluación de Terceros Certificados (C3PAO) - ya que la junta de acreditación se creó oficialmente en enero.
"Nuestro objetivo es tener, a finales de abril, nuestra guía piloto sobre la formación de las C3PAO", dijo Katie Arrington, jefe de seguridad de la información de la Oficina del Subsecretario de Defensa para la Adquisición, en un evento organizado por DreamPort en Columbia, Maryland.
La junta de acreditación está trabajando en la formación de los auditores y en el material de formación que los acompaña.
Arrington dijo que el hecho de que no haya auditores trabajando no significa que las empresas no deban prepararse.
"Hay que prepararse para la auditoría", dijo. "Debes ser capaz de decir 'Creo que he hecho mi autoevaluación, creo que estoy a este nivel de CMMC'. Esperar a que llegue la auditoría y luego decidirme a ser bueno o a ponerme en camino no es la forma en que posicionaría mi negocio".
Si todo va según lo previsto, todos los nuevos contratos en 2025 contarán con los requisitos de seguridad.
Arrington también sugirió que el marco ha recibido interés fuera del Departamento de Defensa.
"¿Creo que otras agencias federales se están subiendo a bordo? Sí, lo están haciendo. Están esperando a que yo pase por mi explorador", dijo.
También se refirió a los comentarios hechos por la Subsecretaria de Defensa para Adquisición y Sostenimiento Ellen Lord, quien explicó que casi una docena de naciones y organizaciones internacionales están interesadas en adoptar la CMMC