Compartir

Los líderes de Olson Custom Designs dicen que el trabajo asociado con CMMC es, hasta ahora, similar a lo que han hecho para lograr certificaciones de control de calidad, como AS9100 e ISO.

Los líderes de Olson Custom Designs dicen que el trabajo asociado con CMMC es, hasta ahora, similar a lo que han hecho para lograr certificaciones de control de calidad, como AS9100 e ISO. Al igual que estos requisitos (y a diferencia de los estándares de ciberseguridad anteriores), CMMC requerirá la certificación de terceros. Crédito de la foto: Olson Custom Designs

Algunos responsables de talleres de mecanizado CNC se han instruido en la moneda digital bitcóin, pero por la razón equivocada: se han visto obligados a pagar un rescate en línea por datos sensibles que esencialmente habían sido usurpados por los hackers.

Una anécdota sobre uno de estos incidentes fue compartida conmigo por Olson Custom Designs, un taller especializado en contratos de la industria de defensa. Aunque la seguridad de los datos propios de la compañía nunca se ha visto comprometida (al menos no que alguno conozca), ha tenido en cuenta las lecciones de los incidentes vividos de primera mano por los miembros del equipo con sus empleadores anteriores. La historia del secuestro de datos es solo un ejemplo.

Contenido destacado

Ese incidente ocurrió hace casi una década, y la amenaza ha evolucionado significativamente desde entonces. La seguridad nacional ahora exige que los contratistas de defensa, como Olson, cumplan con un nuevo conjunto de requisitos, a saber: la Certificación del Modelo de Madurez de Ciberseguridad (CMMC). CMMC se basa en gran medida en el DFARS (Suplemento del Reglamento Federal de Adquisiciones del Departamento de Defensa) e incorpora gran parte de los requisitos de ciberseguridad preexistentes del NIST (Instituto Nacional de Estándares y Tecnología) 800-171. Sin embargo, CMMC es diferente de los estándares de ciberseguridad anteriores en que el cumplimiento de autoinformes ya no es suficiente. Más bien, la certificación por auditores externos será una condición previa para cotizar el trabajo.

En el momento de escribir este artículo, estas auditorías a la cadena de proveeduría aún no se han realizado, y varias preguntas sobre CMMC siguen sin respuesta. No obstante, Chris Jaynes, gerente de operaciones, confía en la capacidad del equipo para abordar los desafíos futuros. La protección de los datos es solo un aspecto de la administración de datos, y esta empresa relativamente nueva ha logrado avances significativos en la administración de datos de manera efectiva.

Estos avances han sido posibles, en parte, porque Olson Custom Designs es un negocio nacido sin nociones preconcebidas sobre cómo iniciar un taller de máquinas. Los datos digitalizados, los flujos de trabajo digitalizados y toda la infraestructura de software y tecnología de la información necesaria forman parte de la infraestructura original de esta instalación. El liderazgo entendió desde el principio que la capacidad de administrar (y mantener la seguridad de) los datos de manera efectiva es esencial no solo para cumplir con los nuevos requisitos, sino también para competir por los contratos del Departamento de Defensa (DoD) en primer lugar. Como dice Jaynes, “no se trata solo de lo bien que puedes hacer la pieza. Se trata de lo bien que puedes demostrar lo bien que hiciste la pieza”.

Ojos puestos en el premio

Los “Olson”, en Olson Custom Designs, son Mitch y Brian Olson, los hermanos que fundaron el taller de Indianápolis en 2014. Al comienzo, en un espacio alquilado de 5,000 pies cuadrados, los Olson siempre habían tenido la intención de avanzar desde sus raíces en las carreras de automóviles. También reconocieron que su nicho de trabajo elegido —tallar piezas fundidas y otras piezas de la industria aeroespacial y de defensa, de aleaciones con alto contenido de níquel en centros de mecanizado de cinco ejes— requiere más que la tecnología y la técnica adecuadas. “Debes tener un control de los datos”, dice Jaynes.

Con computadoras en cada estación de trabajo y flujos de trabajo digitalizados, los líderes del taller consideran que los servicios de su MSP interno son esenciales. Crédito de la foto: Olson Custom Designs.

Jaynes había administrado talleres de máquinas más grandes antes de que los hermanos Olson lo contrataran en 2017 como el cuarto empleado de la compañía. Con base en esa experiencia, su primer pedido fue investigar sobre software de planificación de recursos empresariales (ERP). “Sabíamos que tendríamos que empezar en ese momento porque lo necesitaríamos en el futuro —dice—. Si esperas hasta que creces a 10 a 15 personas, entonces tienes esta cultura arraigada de ‘pero así es como siempre lo hemos hecho’. Eso hace las cosas más difíciles”.

Olson Custom Designs se expandió rápidamente más allá de sus raíces en partes de automóviles de carreras. Hoy, más del 80 % del trabajo del taller se dirige a proyectos del Departamento de Defensa.

Olson Custom Designs se expandió rápidamente más allá de sus raíces en partes de automóviles de carreras. Hoy, más del 80 % del trabajo del taller se dirige a proyectos del Departamento de Defensa. Crédito de la foto: Olson Custom Designs

En febrero de 2018, el taller recién conectado gestionaba sus operaciones con Proshop ERP. Los hermanos Olson también habían decidido que, finalmente, tenían las personas y la infraestructura adecuadas y suficiente trabajo para competir por contratos de la industria de defensa. Durante el transcurso del año siguiente compraron una nueva instalación de 24,000 pies cuadrados, ampliaron el personal a 35 empleados y obtuvieron las certificaciones de calidad necesarias. “Agregamos una gran cantidad de gastos generales en un corto periodo”, recuerda Mitch Olson.

Mantener un flujo de caja suficiente para impulsar el crecimiento ha sido esencial. Proshop ayuda a que el negocio de mecanizado sea escalable al facilitar un flujo de trabajo en gran parte sin papel, que los clientes y posibles clientes tienden a notar, dice Jaynes. Desde el momento en el que se introduce una solicitud de presupuesto (RFQ) en el sistema ERP, toda la documentación digital asociada a un trabajo permanece asociada a ese trabajo, desde órdenes de compra y certificaciones de materiales hasta documentos y datos de calidad relacionados con proveedores de tratamiento térmico, revestimiento y otros servicios externos.

Los procedimientos de gestión de calidad están “integrados en el sistema”, y cualquier información que un auditor ISO o AS9100 pueda solicitar generalmente está a unos pocos clics de distancia, dice. “Desde el punto de vista de la cadena de evidencia, nunca hay ninguna duda sobre lo que hemos hecho”.

El ERP cuida la CMMC

Establecer una cadena clara de evidencia será igualmente importante para cumplir con los nuevos requisitos de ciberseguridad del Departamento de Defensa, dice Jaynes. Los informes indican que los equipos de auditoría de CMMC podrían comenzar a visitar a los contratistas de defensa ya desde este otoño. Además de las prácticas específicas, evaluarán los procesos utilizados para implementar y hacer cumplir esas prácticas en 17 “dominios de capacidad” (categorías como “gestión de activos” y “respuesta a incidentes”). “Se trata de demostrar cómo las prácticas están vinculadas a los procesos para garantizar que se mantengan en el futuro”, explica.

La CMMC evalúa tanto los procesos como las prácticas específicas. El nivel que se debe cumplir como condición previa para hacer negocios depende de la naturaleza de la información que requiere protección, que incluye la información de contratos federales (FCI) y la información no clasificada controlada (CUI). Crédito de la imagen: Departamento de Defensa

Jaynes confía en que el taller podrá cumplir con el nivel 2 de CMMC (que denota ciberhigiene “intermedia”) para finales de año. Las prácticas de nivel 2 cubren todos los requisitos relevantes de la Regulación Federal de Adquisiciones, FAR (que deben implementarse para la certificación de nivel 1 o “higiene cibernética básica”), así como una gran parte de los controles del estándar NIST anterior autoevaluado.

Los ejemplos incluyen la autenticación multifactor (es decir, requerir algo más que una contraseña u otra clave única para acceder a sistemas confidenciales); implementar un modelo de acceso de “privilegios mínimos” que restrinja al personal solo los datos requeridos para sus trabajos (por ejemplo, los maquinistas de taller no tienen necesidad de órdenes de compra u otra información contractual), y protección contra riesgos in situ (como el uso malicioso de memorias USB o incluso la instalación accidental de malware).

El ERP Proshop ofrece funcionalidad específica de CMMC para ayudar a guiar los talleres de máquinas a través del cumplimiento. Crédito de la foto: Proshop USA.

Todas estas prácticas ya estaban en su lugar en el momento en que el taller comenzó a centrarse específicamente en CMMC. Por lo tanto, la mayor parte del trabajo hasta ahora ha consistido en documentar lo que el taller ya estaba haciendo como parte de los requisitos del proceso de nivel 2. El sistema ERP ofrece herramientas específicas de CMMC, incluidas las “órdenes de trabajo” que guían al personal a través de la comprobación de los requisitos, de la misma manera que las órdenes de trabajo en el piso de producción los guían a través del mecanizado de piezas.

Trabajar con las diversas plantillas, listas de verificación, explicaciones de requisitos y otros recursos integrados en el software le recuerda a Jaynes los esfuerzos anteriores del taller para lograr la certificación ISO y AS9100. “Había mucho de ‘Oh, hacemos eso, simplemente no lo documentamos’ ―dice―. Hasta ahora, estoy viendo mucho de lo mismo con el CMMC”.

Esta captura de pantalla anotada del ERP Proshop (una orden de trabajo) representa el uso de hipervínculos para conectar todos los datos asociados con un trabajo. Crédito de la foto: Proshop USA.

Aunque el ERP es una herramienta crítica, Proshop hace hincapié en que la funcionalidad CMMC de su sistema no lo lleva de la mano, sino más bien proporciona una plantilla para que los talleres desarrollen políticas de ciberseguridad individualizadas. Reconociendo esto, y aun enfrentando preguntas sin respuesta, los hermanos Olson no tienen intención de empujar a la compañía hacia el cumplimiento solo por sus propios esfuerzos. Dos socios ayudan a llevar la carga.

Se requieren expertos

Para cuando el lenguaje CMMC comience a aparecer en las solicitudes de cotizaciones, Olson Custom Designs debe alcanzar el nivel 3, dice Jaynes. El nivel 3 (“buena” ciberhigiene) cubre 130 prácticas de ciberseguridad (incluido todo el NIST 800-171, más 20 más), en comparación con 72 para el nivel 2 y 17 para el nivel 1. En el lado del proceso, el nivel 3 requiere no solo realizar (nivel 1) y documentar (nivel 2) todas las prácticas requeridas, sino también administrarlas. Esencialmente, esto significa esbozar los detalles de quién hace qué; la naturaleza de la capacitación, las herramientas y otros recursos necesarios; el progreso hacia hitos importantes, y otras evidencias para mostrar a los auditores con precisión cómo los procesos internos contribuyen a cumplir con los requisitos de CMMC.

Para ayudar, el taller ha contratado a Reveal Risk, un grupo de consultoría que ayuda a escribir políticas y procedimientos en preparación para una eventual auditoría de CMMC. Los equipos de personal de Reveal Risk han visitado regularmente el taller para consultar sobre posibles amenazas y estrategias de respuesta. Gran parte de este trabajo es práctico, implica no solo consultoría, sino ejercicios para probar varias medidas de ciberseguridad. “Su equipo es particularmente agudo en la realización de ejercicios de escritorio, o como se refieren a él, wargaming, para pensar en los problemas de seguridad y las soluciones óptimas”, dice Jaynes.

El desafío para un taller de máquinas, pequeño o mediano, es que nada de esto resulta gratis.

Eso incluye el tiempo dedicado fuera de línea a prepararse para las reuniones, alinear la capacitación, comprar software y protecciones, y de otra manera, acoger las recomendaciones del socio. A diferencia de los requisitos de certificación de calidad, la preparación para CMMC es simplemente un costo de hacer negocios en un sector de fabricación cada vez más exclusivo. “Cada minuto que gasto en CMMC cuesta dinero”, dice Jaynes.

Los programadores CAM utilizan ordenadores de última tecnología con mejores tarjetas gráficas y otras características de punta. Crédito de la foto: Olson Custom Designs.

Una ventaja para Olson Custom Designs es una relación especial con el segundo socio: Teknabyte, el proveedor de servicios gestionados (MSP) que configuró la infraestructura de TI de la empresa. Cuando la compañía se mudó a sus instalaciones actuales, el MSP también llegó y alquiló una parte del espacio de oficinas no utilizado. La proximidad fomenta el tipo de relaciones estrechas, respuesta rápida y servicio profesional, que de otro modo solo sería posible con personal de TI interno dedicado.

Además de solucionar problemas de más de cuarenta computadoras cuando algo sale mal (incluidos modelos más potentes para programadores CAM), los servicios MSP incluyen la actualización e instalación de estaciones de trabajo, software e infraestructura de red; incorporación de nuevos empleados (y eliminación de los que se van), y una infinidad de otras tareas irregulares pero esenciales. “La mayoría de las empresas de nuestro tamaño no pueden permitirse el lujo de tener el personal de TI adecuado en su propio equipo”, dice Jaynes.

Hacia adelante con audacia

En el momento de escribir este artículo, Jaynes y el resto del equipo de Olson Custom Designs tienen muchas preguntas sin respuesta sobre CMMC. Los ejemplos más urgentes incluyen calendarios precisos para las auditorías y la aparición del lenguaje CMMC en las solicitudes de presupuesto; la medida en que las nuevas regulaciones se aplicarán a los contratos con carácter retroactivo; el grado de cumplimiento requerido para los proveedores de servicios de acabado externos y otros subcontratistas, y quizás lo más importante: cómo todo el mundo va a pagar por esto a medida que los costos asociados con el cumplimiento de CMMC se filtran a través de la cadena de suministro.

Cualesquiera que sean las respuestas a estas preguntas, talleres como Olson Custom Designs presionan audazmente hacia adelante. Al empezar bien, es decir, con un plan de acción claro y sin nociones preconcebidas sobre cómo dirigir un taller de maquinaria, esta empresa sentó una base ideal para crecer con rapidez en un sector que presenta barreras de entrada cada vez más onerosas. En el futuro es probable que este equipo aplique la misma visión en la búsqueda de oportunidades de mecanizado cada vez más exclusivas.

CONTENIDO RELACIONADO