CMMC Rulemaking Updates | How to Avoid Delays to Your CMMC Readiness

Teal
16 Oct 202313:34

Summary

TLDREl cofundador de Aligned Technology, Gar Wayy, y el vicepresidente de seguridad cibernética y cumplimiento, Justin Weeks, discuten la reciente propuesta de regla del CMMC y su revisión en la Oficina de Asuntos Reguladores de Información (OIRA). Se explora la importancia de esta regulación para la implementación del programa de certificación de madurez en seguridad cibernética del Departamento de Defensa (DOD). Se enfatiza que, a pesar de la espera por la aprobación de la regla, las obligaciones de cumplimiento del CMMC para los proveedores del DOD siguen siendo actuales, y se aconseja a las OSC que se preparen activamente para cumplir con estos requisitos.

Takeaways

  • 📅 La propuesta de regla CMCC ya está en manos de OIRA (Oficina de Asuntos Reguladores de Información) y está siendo revisada.
  • ⏳ La revisión en OIRA no ha cambiado significativamente el cronograma previsto para la implementación del CMCC.
  • 🔍 Desde 2020, se esperaba que el programa CMCC estuviera completamente implementado para el año fiscal 2026.
  • 🆕 En noviembre de 2021, se lanzó el CMCC 2.0, que cambió algunos aspectos pero no eliminó los requisitos fundamentales.
  • 📉 Se espera que la implementación del CMCC tome de 9 a 24 meses, lo que nos lleva hasta noviembre de 2023.
  • 📉 Se anticipa que la conformidad con el CMCC en todos los contratos se alcanzará antes del 1 de octubre de 2025.
  • 🏢 Las OSC (Organizaciones de Soporte Cualificado) probablemente ya tengan obligaciones bajo DFARS (Dirección de la Defensa Federal de Adquisición de Recursos) desde 2017.
  • 📑 Las OSC deben revisar sus contratos, identificar los que involucran la DOD y los que reciben CUI (Información de Interés de la Contratación).
  • 🛠️ Se recomienda crear diagramas de flujo de datos y diagramas de límites para comprender mejor el manejo de la CUI en la organización.
  • 📝 Es crucial tener un Plan de Seguridad del Sistema y un POAM (Plan de Acción de Hitos) para mostrar el progreso hacia la conformidad con el CMCC.
  • ⏳ Aunque se puede esperar una variación de clase entre las revisiones de N 800-171, no se debe confiar en obtener una variación de clase para aplazar la conformidad.
  • 🚀 Las OSC deben comenzar inmediatamente su camino hacia la conformidad con el CMCC, ya que la competencia puede estar más avanzada o en la lista de espera para la certificación.

Q & A

  • ¿Quiénes son los presentadores del video y en qué se especializan?

    -Los presentadores del video son Gar Wayy, cofundador de Aligned Technology Solutions en Washington DC, y Justin Weeks, vicepresidente de ciberseguridad y cumplimiento, quien también es practicante y evaluador registrado de CMMC para el nivel dos.

  • ¿Cuál es la noticia importante sobre CMMC que se discute en el video?

    -La noticia importante es que hay una propuesta de regla que ha sido enviada a OIRA (Oficina de Asuntos Reguladores de Información) y está siendo revisada, lo que indica que el Departamento de Defensa (DOD) lo toma muy en serio y quiere poder evaluar el entorno de las organizaciones para asegurar el cumplimiento de sus obligaciones.

  • ¿Qué significa que la regla esté siendo revisada por OIRA?

    -La revisión por OIRA es un proceso de control y equilibrio para asegurarse de que los nuevos programas o cambios en programas existentes no afecten negativamente el funcionamiento del sistema gubernamental. Esto incluye revisar aspectos como los costos y las consecuencias de implementar la regla.

  • ¿Cómo ha cambiado la línea de tiempo de CMMC debido a la revisión por OIRA?

    -El video sugiere que no hay un cambio apreciable en la línea de tiempo debido a la revisión por OIRA. El DOD había planeado una implementación completa del programa CMMC para el año fiscal 2026, y la propuesta de regla parece estar a tiempo o incluso un poco adelantada.

  • ¿Cuál es el significado de la fecha del 1 de octubre de 2025 en el contexto de CMMC?

    -La fecha del 1 de octubre de 2025 es importante porque se espera que todas las contrataciones cumplan con la conformidad de CMMC antes de esa fecha, lo que indica que el DOD busca lograr este objetivo antes del año fiscal 2026.

  • Si aún no se ha comenzado con la preparación para CMMC, ¿qué se recomienda hacer?

    -Si aún no se ha comenzado, se recomienda revisar los contratos, identificar los que son para el DOD y los que pueden incluir Control de Información Clave (CUI), y comenzar a trabajar en la creación de diagramas de flujo de datos y diagramas de límites para comprender y proteger la información del gobierno dentro de la organización.

  • ¿Qué es un 'variance' en el contexto de CMMC y por qué es relevante?

    -Un 'variance' es una excepción o modificación a una regla o requisito. En el contexto de CMMC, se discute si es probable que el DOD otorgue variaciones de clase, lo cual podría afectar a múltiples organizaciones. Sin embargo, se sugiere que no se debería esperar una variación de clase basada en la historial de obligaciones y la falta de incentivos para el DOD para otorgarlas.

  • ¿Qué es un POAM y por qué es importante en el proceso de CMMC?

    -Un POAM (Plan of Action and Milestones) es un documento que indica lo que una organización ha logrado en términos de cumplimiento con CMMC o NIST 800-171 y lo que aún no ha logrado. Es importante para rastrear el progreso y planificar las acciones futuras para alcanzar la conformidad con CMMC.

  • ¿Qué sugiere el video sobre la disponibilidad de recursos para la preparación y evaluación de CMMC?

    -El video sugiere que hay una limitada cantidad de personas que pueden preparar a una organización para su evaluación de CMMC y también una limitada cantidad de evaluadores disponibles. Esto implica que las organizaciones deben actuar rápidamente para asegurarse de que obtengan los recursos necesarios para lograr la conformidad.

  • ¿Qué recursos adicionales se ofrecen para obtener más información sobre CMMC?

    -El video menciona que se enviará un correo electrónico a los asistentes con detalles sobre lo discutido y que el sitio web de la empresa está lleno de blogs y webinars relacionados con CMMC. Además, se ofrecen llamadas para discutir temas de cumplimiento, especialmente CMMC.

  • ¿Qué es la importancia de la fecha fiscal 2026 en relación con la conformidad de CMMC?

    -La fecha fiscal 2026 es importante porque el DOD esperaba que el programa CMMC estuviera completamente implementado para ese año. Esto establece un marco temporal para las organizaciones para asegurarse de que sus sistemas y prácticas estén alineados con los requisitos de CMMC.

Outlines

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Mindmap

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Keywords

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Highlights

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Transcripts

plate

This section is available to paid users only. Please upgrade to access this part.

Upgrade Now

Browse More Related Video

Administración de la TI Aspectos Éticos y Legales

CURSO DC3 NOM-005 SUSTANCIAS QUÍMICAS PELIGROSAS COMPLETO

Propuesta de política pública

CIGRAS 2015 - Caso de Exito COBIT 5 Una experiencia práctica - Pablo Caneo

Módulo I, Cultura Tributaria

ISO 45001 INTERPRETACION E IMPLEMENTACION MODULO 17/ALEX CARDENAS

Rate This

5.0 / 5 (0 votes)

Summary
Outlines
Mindmap
Keywords
Highlights
Transcripts
Related Tags
CMMCSeguridadCertificaciónDODComplianceRegulacionesAuditoríaCybersecurityIndustriaNormativas
Do you need a summary in English?