El robo de propiedad intelectual e información sensible de todos los sectores industriales debido a la actividad cibernética maliciosa amenaza la seguridad económica y la seguridad nacional. El Council of EconomicAdvisorsestima que la actividad cibernética maliciosa le cuesta a la economía de Estados Unidos entre 57 mil millones de dólares y 109 mil millones de dólares. El Center for Strategic and International Studies estima que el costo global total del cibercrimen fue constituyó la suma de 600 mil millones de dólares en 2017.

Los actores cibernéticos maliciosos han atacado, y continúan haciéndolo, al sector de la Defense Industrial Base (DIB) y a la cadena de suministro del Department of Defense (DoD). El sector de la DIB consiste en más de 300.000 empresas que apoyan y contribuyen a la investigación, ingeniería, desarrollo, adquisición, producción, entrega, mantenimiento y operaciones de los sistemas, redes, instalaciones, capacidades y servicios del DoD. La pérdida agregada de propiedad intelectual y de cierta información no clasificada de la cadena de suministro del DoD puede socavar las ventajas técnicas y la innovación de Estados Unidos, así como aumentar considerablemente el riesgo para la seguridad nacional.

Como parte de las múltiples líneas de esfuerzo centradas en la seguridad y la resistencia del sector de la DIB, el Departamento de Defensa de los EE.UU. está trabajando con la industria para mejorar la protección de los siguientes tipos de información no clasificada dentro de la cadena de suministro:

• Información de contratos federales (Federal Contract Information,FCI): FCI es información proporcionada por o generada para el Gobierno bajo contrato no destinada a la divulgación pública.

• Información Controlada y No Clasificada (Controlled Unclassified Information,CUI): La CUI es información que requiere la salvaguardia o los controles de difusión de conformidad y en consonancia con las leyes, reglamentos y políticas de todo el Gobierno, con exclusión de la información que está clasificada en virtud del ExecutiveOrder 13526,ClassifiedNationalSecurityInformation,December29,2009, o cualquier orden anterior o sucesora, o la Atomic Energy Act of 1954, en su forma enmendada.

Con este fin, la Office of the Under Secretary of Defense for Acquisition and Sustainment (OUSD(A&S)) ha desarrollado el marco de Cybersecurity Maturity Model Certification (Certificación del Modelo de Madurez de la Ciberseguridad) en concierto con las partes interesadas: DoD stakeholders, University Affiliated Research Centers (UARCs), Federally Funded Research and Development Centers (FFRDCs), y el sector DIB.

El presente documento se centra en el modelo CMMC, que mide la madurez de la ciberseguridad con cinco niveles y ajusta un conjunto de procesos y prácticas al tipo y la sensibilidad de la información que se ha de proteger y a la gama de amenazas asociadas. El modelo consiste en procesos de madurez y prácticas óptimas de ciberseguridad a partir de múltiples normas, marcos y otras referencias de ciberseguridad, así como de aportaciones de la comunidad en general.

Descárgalo aquí.