Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosLista de verificación
Lista de verificación de cumplimiento de CMMC: Su guía esencial para el cumplimiento de CMMC 2.0

Lista de verificación de cumplimiento de CMMC: Su guía esencial para el cumplimiento de CMMC 2.0

Cuando las organizaciones hacen negocios con el gobierno federal, a menudo crean o manejan datos sensibles. Para mantener estos datos seguros, el Departamento de Defensa (DoD) creó la Certificación del Modelo de Madurez de Ciberseguridad (CMMC). El marco de trabajo CMMC es obligatorio para las empresas en la Base Industrial de Defensa (DIB) y aquellas que buscan un contrato con el DoD.

CMMC se actualizó a la versión 2.0 en 2021. Las organizaciones que no cumplan con CMMC 2.0 corren el riesgo de poner en peligro sus contratos con el DoD, lo que hace que comprender los cambios en el marco sea esencial. Una lista de verificación de cumplimiento de CMMC puede servir como una herramienta útil para que las organizaciones naveguen estas actualizaciones de manera efectiva.

Esta lista de verificación de cumplimiento de CMMC para la versión 2.0 puede ayudarlo a comenzar en su camino hacia el cumplimiento. Tenga en cuenta que no es una fuente exhaustiva sobre todos los pasos involucrados y que debe consultar a una Organización de Proveedores Registrados de CMMC (RPO) para obtener su certificación CMMC.

Comprender CUI y FCI

Se proporciona un glosario de términos clave al final de esta lista de verificación de auditoría CMMC, pero dos términos que las organizaciones necesitan entender para seguir esta lista son CUI y FCI:

  • CUI (información no clasificada controlada) — “Información que el gobierno crea o posee, o que una entidad crea o posee por o en nombre del gobierno, que una ley, regulación o política gubernamental requiere o permite que una agencia maneje utilizando controles de protección o de difusión."
  • FCI (Información de Contratos Federales) — "información, no destinada a la divulgación pública, que es proporcionada por o generada para el Gobierno bajo un contrato para desarrollar o entregar un producto o servicio al Gobierno, pero que no incluye información proporcionada por el Gobierno al público."

Para lograr el cumplimiento de CMMC, las organizaciones deben almacenar, transferir y procesar CUI y FCI de manera adecuada, siguiendo los controles necesarios de CMMC.

Objetivos CMMC

El CMMC es un programa de capacitación, certificación y evaluación en ciberseguridad que tiene como objetivo asegurar que los contratistas del DIB manejen la CUI de manera segura. Esto incluye el flujo de datos a los subcontratistas en la cadena de suministro.

Los requisitos clave incluyen lo siguiente:

  • Proteja la información sensible mediante prácticas adecuadas de ciberseguridad, a menudo empleando un modelo de “confiar pero verificar” que se alinea con la CMMC controls list.
  • Refuerza continuamente las prácticas de ciberseguridad existentes para mantenerse al día con el cambiante panorama de amenazas.
  • Asegure la responsabilidad en toda la organización para que los errores puedan ser identificados y resueltos.
  • Facilite el cumplimiento de los requisitos del DoD.
  • Fomentar una cultura colaborativa que priorice la ciberseguridad y la ciberresiliencia.
  • Mantener la confianza pública a través de los más altos estándares profesionales, éticos y de transparencia.

El CMMC se alinea con NIST SP 800-171 y NIST SP 800-172, por lo que las empresas que buscan la certificación CMMC deben familiarizarse con esas normas y revisar detenidamente la lista de controles CMMC 2.0.

CMMC 1.0 vs CMMC 2.0: Principales diferencias

Las principales diferencias entre CMMC 1.0 y CMMC 2.0 son:

  • Menos niveles — El nivel de certificación CMMC que obtiene una organización puede determinar el tipo de contrato para el que son elegibles. CMMC 1.0 definía cinco niveles; CMMC 2.0 tiene solo tres: Nivel 1 Fundamental, Nivel 2 Avanzado y Nivel 3 Experto.
  • Reducción de los costos de evaluación — CMMC 2.0 permite que todas las organizaciones de Nivel 1 y algunas de Nivel 2 demuestren el cumplimiento a través de la autoevaluación, lo que elimina los costos de las evaluaciones por una Organización de Evaluación de Terceros Certificada (C3PAO).
  • Mayor responsabilidad — Las evaluaciones de terceros ahora deben cumplir con estándares profesionales y éticos más elevados.
  • Mayor flexibilidad — CMMC 2.0 permite a algunas empresas obtener la certificación a través de un Plan de Acción y Hitos (POA&M). También permite al gobierno emitir exenciones en ciertas circunstancias.
  • Eliminación de las secciones "Capabilities" y "Processes" — En CMMC 1.0, las Capabilities cubrían objetivos relacionados con la higiene cibernética, mientras que la sección de Process abarcaba los flujos de trabajo, políticas, controles de seguridad y otros métodos para demostrar el progreso hacia una meta de ciberseguridad.

¿Cuándo se requiere el cumplimiento de CMMC?

CMMC 2.0 fue anunciado en noviembre de 2021 y se esperaba su implementación para noviembre de 2023. La fecha ha sido aplazada, pero CMMC 2.0 llegará tan pronto como en 2025, por lo que se aconseja a las organizaciones no retrasar los cambios necesarios para obtener la certificación CMMC 2.0 y cumplir con los requisitos de la lista de verificación del nivel 2 de CMMC.

¿A qué organizaciones se aplica CMMC?

El CMMC se aplica principalmente a organizaciones dentro del DIB, que consta de más de 300,000 empresas y universidades que participan en la fabricación de equipos de las Fuerzas Armadas de Estados Unidos. Esto incluye, pero no se limita a:

  • Contratistas
  • Subcontratistas
  • Personal de ingeniería
  • Recursos de la cadena de suministro
  • Investigación y desarrollo (I+D)

Los contratistas de DIB pueden lograr un nivel de certificación CMMC específico en toda su red o solo para partes de ella, dependiendo de sus procesos de almacenamiento de CUI y FCI. Sin embargo, generalmente es una buena práctica mantener un nivel uniforme de cumplimiento para que todos los segmentos de la red puedan comunicarse e intercambiar datos sin el riesgo de una violación de cumplimiento, como se detalla en una lista de verificación de auditoría CMMC exhaustiva.

Contratistas y CMMC 2.0

CMMC 2.0 requiere que los contratistas principales del DoD realicen una autoevaluación de su implementación de las prácticas del NIST SP 800-171. Pueden hacer esto a través de la NIST SP 800-171 DoD Assessment Methodology.

Para mantener la continuidad en toda la cadena de suministro, pueden solicitar que los subcontratistas hagan lo mismo. La evaluación genera una puntuación que los contratistas deben presentar al Supplier Performance Risk System (SPRS). Para que una evaluación obtenga una calificación de "medio" o "alto", debe ser realizada por el DoD en lugar de mediante autoevaluación.

¿Qué son los dominios y prácticas CMMC?

Los requisitos de ciberseguridad de CMMC se dividen en los siguientes 17 dominios, cada uno con controles específicos de CMMC a seguir:

  • Control de Acceso (AC)
  • Respuesta a Incidentes (IR)
  • Gestión de Riesgos (RM)
  • Gestión de Acceso (AM)
  • Mantenimiento (MA)
  • Evaluación de Seguridad (CA)
  • Concienciación y Formación (AT)
  • Protección de Medios (MP)
  • Auditoría y Responsabilidad (AU)
  • Seguridad del Personal (PS)
  • Sistema y Comunicaciones (SC)
  • Gestión de Configuración (CM)
  • Protección Física (PE)
  • Integridad del Sistema e Información (SI)
  • Identificación y Autenticación (IA)
  • Recuperación (RE)
  • Conciencia de Situación (SA)

Las normas NIST SP 800-171 y NIST SP 800-172 enumeran las prácticas de ciberseguridad para estos dominios. Aquellos que buscan un nivel específico de certificación CMMC deben seguir las prácticas establecidas dentro del estándar correspondiente.

¿Cuáles son los niveles de cumplimiento de CMMC?

Su nivel de cumplimiento de CMMC determina su elegibilidad para ciertos contratos gubernamentales. CMMC 2.0 define tres niveles:

CMMC Nivel 1: Fundacional

Este nivel suele ser el mejor para empresas que manejan FCI u otros datos que requieren protección pero no son esenciales para la seguridad nacional. Una lista de verificación de CMMC Nivel 1 incluye asegurarse de que su empresa cumpla con las 17 prácticas definidas en NIST SP 800-171 y pueda demostrar que es conforme mediante autoevaluaciones.

CMMC Nivel 2: Avanzado

Este nivel es para organizaciones que manejan CUI además de información contractual (FCI). Una lista de verificación de CMMC Nivel 2 implica implementar 110 (no solo 17) NIST SP 800-171 prácticas y someterse a evaluaciones trienales de un C3PAO.

CMMC Nivel 3: Experto

El nivel de certificación más alto en CMMC 2.0 es para empresas involucradas en programas gubernamentales de alto nivel y tiene como objetivo proteger su CUI de amenazas persistentes avanzadas (APTs). Una lista de verificación de nivel 3 de CMMC incluye seguir las 110+ prácticas avanzadas de NIST SP 800-172 y pasar evaluaciones trienales del gobierno en lugar de un C3PAO.

Recapitulación

La siguiente tabla resume las principales diferencias entre los tres niveles en CMMC 2.0:

Requisitos

Para empresas con

Evaluaciones

Nivel 1: Fundamental

17 prácticas

FCI (no crítico para la seguridad nacional)

Autoevaluación anual

Nivel 2: Avanzado

110 prácticas alineadas con NIST SP 800-171

CUI

Trienal por C3PAO

Nivel 3: Experto

Más de 110 prácticas basadas en NIST SP 800-172

CUI, programas más sensibles

Trienal Por gobierno

¿Cómo puede mi organización comenzar con el cumplimiento de CMMC?

El primer paso crítico en su viaje de cumplimiento del Modelo de Madurez de Ciberseguridad es descubrir dónde existe la CUI en su entorno, quién puede acceder a ella y cómo la utiliza. Soluciones como Netwrix Auditor y Netwrix Data Classification pueden ayudarlo a realizar estas tareas críticas de manera precisa y eficiente.

Para obtener más información, consulte las preguntas frecuentes en el sitio web de Secretary of Defense. También puede enviar preguntas allí, y la oficina correspondiente responderá por correo electrónico.

Glosario

  • AB — Organismo de Acreditación
  • C3PAO — Organización de Evaluación de Terceros Certificada
  • CUI — Información No Clasificada Controlada
  • DFARS — Reglamento Suplementario de Adquisiciones Federales de Defensa
  • DIB — Base Industrial de Defensa
  • FCI — Información de Contratos Federales
  • OSC — Organización que Busca Certificación
  • POAM — Plan de Acciones y Hitos
  • RPO — Organización de Proveedores Registrados
  • SSP — Plan de Seguridad del Sistema

FAQ

¿Qué es la Información Controlada No Clasificada (CUI)?

La CUI es información que el gobierno crea o posee, o que una entidad crea o posee por o en nombre del gobierno, que una ley, regulación o política gubernamental requiere o permite que una agencia maneje utilizando controles de protección o difusión.

¿Qué es CMMC?

La Certificación del Modelo de Madurez de Ciberseguridad (CMMC) es un estándar para la implementación de ciberseguridad en toda la base industrial de defensa y para cuantificar el nivel de madurez de ciberseguridad de una organización. El marco de trabajo CMMC proporciona una mayor garantía al DoD de que una empresa de la DIB ha implementado prácticas de ciberseguridad adecuadas para proteger la FCI y la CUI.

¿Por qué se creó CMMC 2.0?

El Departamento de Defensa está migrando al nuevo marco CMMC para mejorar y evaluar mejor la postura de ciberseguridad de las organizaciones de la DIB.

¿Existe un CMMC 3.0?

Una tercera versión del marco de trabajo CMMC está en desarrollo.

¿Usarán los contratos no DoD CMMC?

La implementación inicial del CMMC 2.0 solo será dentro del DoD y seguirá a través de la cláusula DFARS 252.204-7021.

¿Cuál es la relación entre NIST y CMMC?

CMMC 2.0 Nivel 2 requiere que las empresas cumplan con los 110 requisitos de seguridad especificados en NIST SP 800-171. Nivel 3 requiere un subconjunto de prácticas de NIST SP 800-172.

¿Qué es una Organización de Evaluación de Terceros CMMC (C3PAO)?

Los C3PAOs son responsables de realizar ciertas evaluaciones de CMMC y emitir los certificados CMMC apropiados basados en los resultados. Los C3PAOs autorizados y acreditados están listados en el sitio web del CMMC-AB Marketplace.

¿Cómo se certifica una organización utilizando un C3PAO?

La empresa selecciona uno de los C3PAOs del sitio web CMMC-AB Marketplace y trabaja con ellos para planificar la evaluación CMMC. El C3PAO proporcionará un informe de evaluación; si no hay deficiencias, emitirá un certificado CMMC para el nivel de certificación apropiado. El C3PAO también enviará una copia del informe de evaluación y del certificado CMMC al DoD.

¿Con qué frecuencia necesita una organización ser reevaluada?

En general, un certificado CMMC es válido por tres años.

Si mi organización tiene una certificación CMMC y mi red no clasificada se ve comprometida, ¿pierdo mi certificación?

Un incidente de ciberseguridad no provocará automáticamente que una empresa DIB pierda su certificación CMMC. Dependiendo de las circunstancias del incidente, el gerente del programa del DoD puede ordenar una reevaluación.

¿Mi organización tiene que certificarse de todos modos si no maneja CUI?

Si una empresa DIB no posee, almacena o transmite CUI pero posee FCI, debe cumplir con la cláusula FAR 52.204-21 y obtener como mínimo la certificación CMMC Nivel 1.

Las empresas que producen únicamente productos comerciales listos para su uso (COTS) no requieren una certificación CMMC.

Si mi organización es un subcontratista en un contrato del DoD, ¿necesita estar certificada?

Si el contrato del DoD tiene un requisito de CMMC y su empresa no produce exclusivamente productos COTS, necesitará un certificado CMMC. El nivel del certificado CMMC depende del tipo y la naturaleza de la información que proviene de su contratista principal.

¿Cómo sabré qué nivel de CMMC se requiere para un contrato?

El Departamento de Defensa especificará el nivel de CMMC requerido en cada Solicitud de Información (RFI) y Solicitud de Propuestas (RFP).

Mapeo de cumplimiento de CMMC de Netwrix

Identificar, priorizar y mitigar los riesgos para CUI y FCI para fortalecer la seguridad de los datos regulados por CMMC

Obtener un mapeo de cumplimiento CMMC

Compartir en

Recursos Relacionados

Profundiza con nuestros recursos relacionados

Centro de Recursos
eBook

Facilitando la prevención de pérdida de datos con Netwrix Solutions

Prevención de Pérdida de Datos
eBook

Desplegando software en Windows: Doloroso pero no tiene que serlo

Endpoint Management