Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

CMMC 2.0 Nivel 1: Todo lo que Necesitas Saber

Inicio Glosario CMMC 2.0 Nivel 1: Todo lo que Necesitas Saber

La Certificación del Modelo de Madurez de Ciberseguridad (CMMC) está diseñada para asegurar la protección de información sensible de seguridad nacional, como información no clasificada controlada (CUI) e información sobre contratos federales (FCI). La certificación se aplica a todos los contratistas y subcontratistas del Departamento de Defensa (DoD), y un contratista que no mantenga el cumplimiento no podrá licitar para contratos del DoD. CMMC 2.0 es una actualización del CMMC 1.0 que se lanzó inicialmente en enero de 2021. La nueva versión incluye actualizaciones para la protección de FCI y CUI.

Bajo las reglas y políticas de DFARS y DoD, el DoD implementó controles de ciberseguridad en el estándar CMMC para proteger CUI y FCI. Así, el CMMC mide la capacidad de una organización para proteger FCI y CUI. FCI es información no destinada a ser divulgada públicamente y es proporcionada por o generada para el gobierno bajo un contrato para desarrollar o entregar un producto o servicio al gobierno. CUI es información que requiere protección o controles de difusión de acuerdo con y consistente con las leyes federales, regulaciones y políticas gubernamentales.

CMMC 2.0 consta de tres niveles de madurez distintos. Las organizaciones pueden elegir entre los tres niveles de madurez, Fundacional, Avanzado y Experto, para evaluar y mejorar mejor su postura de ciberseguridad. Este artículo analiza todo lo que necesitas saber sobre CMMC 2.0 Nivel 1, sus controles y requisitos.

CMMC 2.0 Nivel 1: Todo lo que Necesitas Saber

¿Qué Determina Mi Requisito de Nivel CMMC?

El nivel de certificación CMMC requerido se determina por el tipo específico de información que maneja una empresa y el tipo de trabajo que realiza. El nivel específico de certificación se detallará en todos los nuevos contratos del DoD. Si un proveedor no está certificado en el nivel especificado, la empresa no puede licitar en el negocio del DoD.

Las empresas que tienen un FAR 52.204-21 (que es un subconjunto de los requisitos de DFARS) en su contrato y manejan solo FCI necesitarán alcanzar el Nivel 1 de CMMC. Este nivel no requiere un proveedor de evaluación de terceros certificado para la certificación. Requiere una autoevaluación anual que tenga la certificación de un ejecutivo corporativo.

¿Qué es CMMC 2.0 Nivel 1?

El nivel Fundacional es el primero de los tres niveles, y consiste en prácticas básicas de administración de riesgos de ciberseguridad. Este nivel abarca las medidas más básicas de protección cibernética y está destinado a abordar las amenazas cibernéticas más comunes. Se centra en medidas básicas de seguridad y administración de riesgos, como la autenticación y el control de acceso, que es la capacidad de controlar quién puede acceder a qué información.

Los requisitos de este nivel se dividen en 17 prácticas diferentes, que incluyen, pero no se limitan a, Gestión de Activos, Protección de Medios, Identificación y Autenticación, Evaluación y Autorización de Seguridad, y Protección del Sistema y Comunicación. Las organizaciones deben demostrar que todas las prácticas requeridas han sido implementadas, así como demostrar procesos efectivos de administración de riesgos de ciberseguridad.

¿Quién Necesita CMMC 2.0 Nivel 1?

CMMC 2.0 Nivel 1 se aplica a los contratistas y subcontratistas del DoD que manejan FCI proporcionada por o generada para el gobierno bajo un contrato para desarrollar o entregar un producto o servicio al gobierno.

El nivel Fundacional requiere que las organizaciones realicen prácticas básicas de ciberseguridad. Se les permite alcanzar la certificación a través de una autoevaluación anual. Las Organizaciones Evaluadoras de Terceros CMMC (C3PAOs) no están involucradas con la certificación de Nivel 1.

Dominios y Controles de CMMC 2.0 Nivel 1

El Nivel de Madurez 1 de CMMC es el primer y nivel fundacional de la certificación CMMC. Sus requisitos consisten en prácticas básicas de ciberseguridad de 17 controles de seguridad extraídos de estos seis dominios:

Dominio Número de Controles

Control de Acceso (AC)

4 controles

Identificación y Autenticación (IA)

2 controles

Protección de Medios (MP)

1 control

Protección Física (PE)

4 controles

Protección del Sistema y Comunicaciones (SC)

2 controles

Integridad del Sistema e Información (SI)

4 controles

Los controles y requisitos de seguridad en cada dominio incluyen:

Control de Acceso (AC)

El dominio de Control de Acceso se centra en el seguimiento y comprensión de quién tiene acceso a tus sistemas y red. Esto incluye privilegios de usuario, acceso remoto y acceso al sistema interno. Los controles específicos incluyen:

  • Limitar el acceso al sistema de información a usuarios autorizados, procesos que actúan en nombre de usuarios autorizados o dispositivos (incluyendo otros sistemas de información)
  • Limitar el acceso al sistema de información a los tipos de transacciones y funciones que los usuarios autorizados están permitidos ejecutar
  • Verificar y controlar/limitar las conexiones y el uso de sistemas de información externos
  • Controlar la información publicada o procesada en sistemas de información accesibles públicamente

Identificación y Autenticación (IA)

El dominio de Identificación y Autenticación se centra en los roles dentro de una organización. Se sinergiza con el dominio de control de acceso asegurando que el acceso a todos los sistemas y redes sea rastreable para informes y responsabilidad. Los controles incluyen:

  • Identificar a los usuarios del sistema de información, procesos que actúan en nombre de los usuarios o dispositivos
  • Autenticar (o verificar) las identidades de esos usuarios, procesos o dispositivos como un requisito previo para permitir el acceso a los sistemas de información organizacionales

Protección de Medios (MP)

La Protección de Medios se centra en identificar, rastrear y mantener continuamente los medios. También incluye políticas sobre protección, saneamiento de datos y transporte aceptable. Este dominio tiene solo un requisito:

  • Saneamiento o destrucción de medios del sistema de información que contengan información sobre contratos federales antes de su eliminación o liberación para reutilización

Protección Física (PE)

Muchas organizaciones implementan un proceso de registro, requiriendo identificación con lector de tarjetas y acceso a ciertas partes de su ubicación. Sin embargo, no todas las organizaciones supervisan a sus visitantes durante toda su estancia. Este dominio tiene los siguientes requisitos que ayudan a las organizaciones con eso:

  • Limitar el acceso físico a los sistemas de información de la organización, equipos y los respectivos entornos operativos a individuos autorizados
  • Acompañar a los visitantes y monitorear la actividad de los visitantes
  • Mantener registros de auditoría de dispositivos de acceso físico
  • Controlar y gestionar dispositivos de acceso físico

Protección del Sistema y Comunicaciones (SC)

La comunicación entre empleados necesita ser segura para que ningún actor malintencionado pueda escuchar y registrar datos sensibles. El dominio de Protección del Sistema y Comunicaciones se centra en la implementación de defensa a nivel de frontera en un nivel de comunicación organizacional. Los requisitos en este dominio incluyen:

  • Monitorear, controlar y proteger las comunicaciones organizacionales (es decir, la información transmitida o recibida por los sistemas de información de las organizaciones) en las fronteras externas y las fronteras internas clave de los sistemas de información
  • Implementar subredes para componentes del sistema accesibles públicamente que estén separados física o lógicamente de las redes internas

Integridad del Sistema e Información (SI)

Este dominio se centra en el mantenimiento y gestión continua de problemas dentro de los sistemas de información. Enfatiza que las organizaciones pongan esfuerzos hacia la identificación de código malicioso, colocando protecciones continuas en el correo electrónico y monitoreo del sistema. Los requisitos incluyen:

  • Identificar, reportar y corregir fallas de información y del sistema de información de manera oportuna
  • Proporcionar protección contra código malicioso en ubicaciones apropiadas dentro de los sistemas de información organizacionales
  • Actualizar los mecanismos de protección contra código malicioso cuando estén disponibles nuevas versiones
  • Realizar escaneos periódicos del sistema de información y escaneos en tiempo real de archivos de fuentes externas a medida que los archivos se descargan, abren o ejecutan

Preguntas Frecuentes

¿Qué es CMMC 2.0?

CMMC 2.0 es la última versión de la Certificación del Modelo de Madurez de Ciberseguridad. Es un conjunto completo de procedimientos y estándares desarrollados por el Departamento de Defensa, destinado a establecer un enfoque consistente para proteger CUI. El modelo CMMC está diseñado para ayudar a las organizaciones a evaluar y abordar sus riesgos de ciberseguridad, así como mejorar su postura de seguridad general.

¿Cuál es el Propósito de CMMC 2.0 Nivel 1?

El propósito principal de CMMC 2.0 Nivel 1 es asegurar que las organizaciones tengan los controles básicos en su lugar para proteger CUI del uso no autorizado. El Nivel 1 define el conjunto mínimo de prácticas de ciberseguridad que las organizaciones deben tener en su lugar para proteger CUI, incluyendo estándares como la gestión de identidades, gestión de activos y control de acceso.

¿Cuáles son las Consecuencias de No Cumplir con CMMC 2.0 Nivel 1?

Las consecuencias de no cumplir con CMMC 2.0 Nivel 1 varían. No cumplir con los estándares mínimos puede abrir a una organización a potenciales daños, ya que la información sensible podría ser filtrada o robada. Además, las organizaciones pueden enfrentar sanciones del Departamento de Defensa u otros organismos reguladores si se descubre que no cumplen.

¿Cómo Puedo Implementar las Prácticas de CMMC 2.0 Nivel 1?

Implementar las prácticas de CMMC 2.0 Nivel 1 en una organización se puede hacer a diferentes niveles y se puede adaptar a la situación de la organización. Un punto de partida es crear una evaluación de riesgos, y a partir de ahí, las organizaciones pueden identificar los controles y prácticas específicas necesarias para cumplir con los estándares. También deben establecer un programa para monitorear e informar sobre su progreso.

¿Cuáles son los Beneficios de Cumplir con CMMC 2.0 Nivel 1?

Los beneficios de cumplir con CMMC 2.0 Nivel 1 son numerosos. Primero, las organizaciones podrán proteger la integridad de su CUI y estar seguras de que está a salvo del uso no autorizado. Además, al tener un conjunto robusto de prácticas de ciberseguridad en su lugar, las organizaciones pueden demostrar diligencia debida a clientes y otras partes interesadas, y pueden ayudar a prevenir costosas violaciones de datos. Finalmente, cumplir con CMMC 2.0 Nivel 1 puede ayudar a las organizaciones a pasar auditorías y cumplir con las leyes y regulaciones aplicables.

La Red de Contenido Privado de Kiteworks Permite el Cumplimiento con CMMC 2.0 Nivel 1

La Red de Contenido Privado de Kiteworks (PCN) simplifica y ayuda a las organizaciones en la Base Industrial de Defensa (DIB) a cumplir con el proceso de cumplimiento de CMMC 2.0 Nivel 1. Kiteworks unifica, rastrea, controla y asegura todas las comunicaciones de contenido sensible en una plataforma. También permite que las primeras y terceras partes colaboren en contenido confidencial. Kiteworks ayuda a simplificar y acelerar el proceso de lograr el cumplimiento de CMMC 2.0 Nivel 1 proporcionando control de acceso, transferencia segura de archivos, cifrado de archivos, uso compartido seguro de archivos, y autenticación con autenticación de dos factores y autenticación multifactor. Las organizaciones pueden establecer permisos y políticas granulares para asegurar los más altos niveles de seguridad de sus datos y contenido.

Como parte del cumplimiento de CMMC 2.0 Nivel 1, Kiteworks ayuda a las organizaciones a crear un rastro de auditoría digital en sus comunicaciones de contenido sensible. Esto les permite monitorear las comunicaciones de contenido sensible y demostrar adherencia a las regulaciones de privacidad de datos y seguridad, incluyendo CMMC 2.0 Nivel 1.

Para obtener más información sobre la Red de Contenido Privado de Kiteworks y cómo puede acelerar tu cumplimiento con CMMC 2.0 Nivel 1, programa una demostración personalizada hoy mismo.

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks