Compañías tecnológicas comunican a Defensa que sus estándares cibernéticos no funcionan

Tras el lanzamiento oficial de la iniciativa de certificación del modelo de madurez de la ciberseguridad del Departamento de Defensa, seis asociaciones de la industria advierten que sin más claridad, la iniciativa podría flaquear.

La Alianza para la Innovación Digital, BSA: La Alianza de Software, la Coalición de Ciberseguridad, el Consejo de la Industria de la Tecnología de la Información (ITI), la Asociación de Internet y la Asociación de la Industria de la Tecnología Informática (CompTIA) escribieron una carta a Ellen Lord, la subsecretaria de Defensa para la adquisición y el sostenimiento, y a Katie Arrington, la directora de seguridad de la información de la Oficina del Subsecretario para la Adquisición y el Sostenimiento, en la que esbozan una serie de recomendaciones para mejorar el programa CMMC antes de que realmente se ponga en marcha.

«Nos preocupa que los planes actuales para implementar la CMMC carezcan de la suficiente claridad y previsibilidad en áreas clave, y que como resultado puedan generar innecesariamente confusión, retrasos y costos asociados. Estos desafíos podrían llevar a que la Base Industrial de Defensa (DIB) sea aún menos segura, si se deja sin abordar», dice la carta. «Apoyamos firmemente los esfuerzos para mejorar la ciberseguridad de la DIB y apreciamos la franqueza del departamento para reunirse y aceptar las aportaciones de la industria sobre la CMMC durante el otoño de 2019. Nos comprometemos a continuar esta asociación, ya que es imperativo que las partes interesadas de la industria y el gobierno continúen trabajando juntos para asegurar que la CMMC cumpla sus objetivos generales».

El memorándum de entendimiento está firmado
La carta llega cuando el Departamento de Defensa y la Junta de Acreditación de la CMMC firmaron su memorándum de entendimiento -según un correo en LinkedIn de Arrington- el 25 de marzo para iniciar oficialmente el programa, incluyendo la formación de asesores externos y la publicación de los documentos necesarios para ayudar a los proveedores a prepararse para cumplir las normas.

La junta anunció que estaba tratando de hacer más información disponible sobre el MOU, que fue la pieza final para comenzar el impulso de seis meses para poner las normas de la CMMC en las adquisiciones. El Departamento de Defensa publicó la versión 1 de las normas a finales de enero, y desde entonces la industria ha estado esperando el siguiente paso.