Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

Requisitos CMMC y NIST 800-171

Inicio Glosario Requisitos de CMMC y NIST 800-171

CMMC y NIST 800-171 son dos marcos de cumplimiento que están ganando importancia en los Estados Unidos, especialmente para las empresas que trabajan con el gobierno o manejan información confidencial. En esta página de glosario, proporcionaremos una visión general completa de ambos marcos, explicaremos las diferencias clave entre ellos y los requisitos para demostrar el cumplimiento con cada uno.

Requisitos de CMMC y NIST 800-171

¿Qué son los marcos CMMC y NIST 800-171?

El marco de Certificación de Madurez de Ciberseguridad (CMMC) está diseñado para asegurar la seguridad de la información no clasificada controlada (CUI) e información sobre contratos federales (FCI) en la cadena de suministro del Departamento de Defensa (DoD). Se basa en gran medida en los estándares NIST 800-171 y se divide en tres niveles. El Nivel 1 (Fundacional) requiere la implementación de prácticas básicas de ciberseguridad y la prevención del acceso, uso o divulgación no autorizados de FCI. El Nivel 2 (Avanzado) tiene requisitos más rigurosos y se centra en la implementación de prácticas de ciberseguridad más sofisticadas. El Nivel 3 (Experto) ofrece el nivel más alto de seguridad para contratos del DoD y requiere la implementación de prácticas y capacidades avanzadas de ciberseguridad.

El marco NIST 800-171 es un conjunto de estándares de seguridad desarrollados por el Instituto Nacional de Estándares y Tecnología. Está diseñado para proteger la información no clasificada controlada (CUI) del acceso, uso o divulgación no autorizados. El marco se divide en 14 familias, cada una enfocada en diferentes aspectos de la seguridad de los datos. Las primeras cuatro familias se centran en establecer un entorno seguro, proteger los activos de la organización, asegurar la seguridad del personal y gestionar los controles de acceso. Las 10 familias restantes se centran en diferentes aspectos de la seguridad de los datos, como la autenticación y autorización, la respuesta a incidentes, la gestión de configuraciones y la seguridad física y ambiental.

¿Cómo se comparan los requisitos y controles de CMMC y NIST 800-171?

Ambos, CMMC y NIST 800-171, proporcionan a las organizaciones un marco para evaluar su postura de seguridad, así como recomendaciones para implementar procesos y controles que mejoren la protección de sus sistemas. Ambas regulaciones ayudan a las organizaciones estableciendo requisitos mínimos de seguridad que deben cumplirse para estar en conformidad. Los controles para el Nivel 2 de CMMC 2.0 están alineados con NIST 800-171, que agrupa los controles de seguridad en 14 dominios.

Ambas regulaciones enfatizan fuertemente la importancia de documentar la postura de seguridad de una empresa y proporcionan una guía significativa sobre la elección de las tecnologías, políticas y mejores prácticas adecuadas. NIST 800-171 ofrece instrucciones más detalladas sobre cómo implementar controles de seguridad específicos, mientras que CMMC adopta un enfoque más holístico y no especifica tecnologías o procedimientos particulares. Ambas regulaciones también se centran en proteger la información no clasificada controlada (CUI) y los estándares de Auditoría y Responsabilidad, así como en ayudar a las organizaciones a establecer políticas de Gestión de Identidades y Acceso. Ambas regulaciones también incluyen requisitos estrictos para proveedores y contratistas externos.

En la siguiente sección, veamos en detalle los niveles de CMMC 2.0 y los requisitos de NIST 800-171.

Niveles y Requisitos de CMMC 2.0

CMMC 2.0 es un sistema de certificación de tres niveles diseñado para proteger la información no clasificada controlada (CUI). Los tres niveles de CMMC 2.0 son Fundacional (Nivel 1), Avanzado (Nivel 2) y Experto (Nivel 3).

CMMC Nivel 1 (Fundacional) es equivalente a CMMC 1.02 Nivel 1. Los 17 controles para Fundacional se centran en proteger los sistemas de información del contratista, principalmente limitando el acceso a usuarios autorizados. Este nivel proporciona protección básica de la información del contratista y solo se aplica a organizaciones que manejan información sobre contratos federales (FCI).

CMMC Nivel 2 (Avanzado) es equivalente a CMMC 1.02 Nivel 3 e incluye todos los 14 dominios y 110 controles de seguridad de NIST SP 800-171. Este nivel está diseñado para empresas que trabajan con CUI.

CMMC Nivel 3 (Experto) se aplica a empresas que manejan CUI para programas del DoD con la más alta prioridad. Requiere los 110 controles de NIST SP 800-171 además de un subconjunto de controles de NIST SP 800-172. Este nivel está diseñado para reducir la vulnerabilidad de un sistema a amenazas persistentes avanzadas (APTs).

Familias de Requisitos de NIST 800-171

Las 14 familias de requisitos de NIST 800-171 son la base para crear un sistema de información seguro para contratistas federales que manejan CUI. Estas familias cubren muchos aspectos de la seguridad de un sistema de información, desde la configuración del sistema y el control de acceso, hasta la monitorización y el registro de auditoría. Los requisitos específicos deben ser implementados por el contratista para permanecer en conformidad.

Familia de Requisitos NIST 800-171 #1: Control de Acceso

Los requisitos de Control de Acceso tienen como objetivo prevenir el acceso no autorizado a CUI para proteger la información y mantenerla segura. Esta familia de requisitos cubre temas como la autenticación de usuarios, el bloqueo de sesiones, el principio de privilegio mínimo, las listas de control de acceso, la monitorización de cuentas y más.

Familia de Requisitos NIST 800-171 #2: Auditoría y Responsabilidad

Esta familia de requisitos asegura que las acciones e individuos sean rastreados hasta su punto de origen. Esto se logra registrando eventos en el sistema y manteniendo registros de actividad de usuarios. También incluye requisitos para la revisión de registros de auditoría y la protección de registros de auditoría.

Familia de Requisitos NIST 800-171 #3: Conciencia y Capacitación

Los requisitos de Conciencia y Capacitación están destinados a reforzar la importancia de la seguridad para el personal en el sistema. Esto incluye requisitos para proporcionar capacitación formal al personal sobre temas como el manejo de información, la seguridad del sistema y el cifrado.

Familia de Requisitos NIST 800-171 #4: Gestión de Configuración

Los requisitos de Gestión de Configuración tienen como objetivo asegurar configuraciones de sistema consistentes y seguras en toda la organización. Esta familia de requisitos cubre temas como la configuración base segura de los sistemas y el uso de herramientas de gestión de configuraciones.

Familia de Requisitos NIST 800-171 #5: Identificación y Autenticación

Esta familia de requisitos se centra en cómo los usuarios se autentican y reciben acceso en el sistema. Incluye requisitos relacionados con credenciales de usuario, autenticación multifactor, módulos criptográficos y más.

Familia de Requisitos NIST 800-171 #6: Respuesta a Incidentes

Esta familia de requisitos se centra en prepararse para, responder a y recuperarse de cualquier incidente de seguridad que pueda ocurrir. Incluye requisitos relacionados con la detección de incidentes, contención, erradicación y recuperación.

Familia de Requisitos NIST 800-171 #7: Mantenimiento

Los requisitos de Mantenimiento están destinados a asegurar que los componentes del sistema se mantengan regularmente para aumentar su seguridad. Esta familia de requisitos incluye controles como parches, inventarios de software y hardware, y protección antivirus.

Familia de Requisitos NIST 800-171 #8: Protección de Medios

Esta familia de requisitos se centra en proteger los medios, como discos duros, USBs y más. Incluye requisitos relacionados con el etiquetado de medios, seguimiento y saneamiento.

Familia de Requisitos NIST 800-171 #9: Protección Física

Los requisitos de Protección Física están diseñados para asegurar que el entorno físico donde se aloja CUI sea seguro. Esto incluye requisitos relacionados con la seguridad de sitios alternativos, protección ambiental y control de acceso.

Familia de Requisitos NIST 800-171 #10: Evaluación de Riesgos

Los requisitos de Evaluación de Riesgos tienen como objetivo asegurar que los riesgos para el sistema sean identificados y abordados. Esta familia de requisitos incluye controles como escaneo de vulnerabilidades, evaluación de riesgos y mitigación de riesgos.

Familia de Requisitos NIST 800-171 #11: Protección de Sistemas y Comunicaciones

Esta familia de requisitos se centra en proteger los canales de comunicación y sistemas en la organización. Incluye controles como cifrado, firewalls, zonas desmilitarizadas y endurecimiento de dispositivos de red.

Familia de Requisitos NIST 800-171 #12: Integridad del Sistema e Información

Los requisitos de Integridad del Sistema e Información están enfocados en proteger la integridad del sistema y la información dentro de él. Esto incluye requisitos relacionados con la protección contra código malicioso, protección del sistema de archivos y validación de entrada de información.

Familia de Requisitos NIST 800-171 #13: Plan de Seguridad del Sistema

Esta familia de requisitos describe los pasos para crear un plan de seguridad del sistema para proteger CUI. Incluye controles como documentación del sistema, pruebas de seguridad del sistema y mantenimiento del plan.

Familia de Requisitos NIST 800-171 #14: Adquisición de Sistemas y Servicios

Los requisitos de Adquisición de Sistemas y Servicios están destinados a asegurar que todos los sistemas y servicios se adquieran de manera segura. Esta familia de requisitos cubre controles como requisitos de sistemas y servicios, prácticas de adquisición segura y uso de CUI por parte de contratistas.

Diferencias Clave entre CMMC 2.0 y NIST 800-171

Los requisitos de los dos marcos tienen algunas superposiciones, pero hay diferencias significativas. CMMC 2.0 requiere que las organizaciones implementen prácticas avanzadas de ciberseguridad, como cifrado, gestión de vulnerabilidades y respuesta a incidentes. En comparación, NIST 800-171 solo requiere la implementación de prácticas básicas de ciberseguridad.

CMMC 2.0 también requiere que las organizaciones proporcionen evidencia de cumplimiento con el marco. Las organizaciones deben documentar su implementación de los diferentes requisitos y controles y enviar su documentación de cumplimiento al DoD. NIST 800-171 no requiere el mismo nivel de documentación. Las organizaciones solo deben asegurarse de que sus prácticas de seguridad de datos cumplan con los requisitos.

Si cumplo con CMMC 2.0, ¿cumplo con NIST 800-171?

Cumplir con los requisitos de CMMC no garantiza el cumplimiento con NIST 800-171. CMMC 2.0 fue desarrollado específicamente para el Departamento de Defensa (DoD) y está destinado a proteger la información no clasificada controlada (CUI) en poder de los contratistas de defensa.

Aunque NIST 800-171 también protege CUI, es un conjunto de estándares que se aplica a todos los contratistas gubernamentales que manejan CUI. Para que los contratistas cumplan con NIST 800-171, deben adherirse a los requisitos específicos en las 14 familias; el cumplimiento solo con CMMC no es suficiente. Aunque los dos conjuntos de estándares pueden superponerse en muchos aspectos, también difieren en algunos aspectos. CMMC 2.0, por ejemplo, proporciona cumplimiento para contratistas más pequeños al establecer los tres niveles de evaluación.

Kiteworks para Cumplimiento de CMMC 2.0 Nivel 2 y NIST SP 800-171

La Red de Contenido Privado proporciona a los contratistas gubernamentales una plataforma de uso compartido seguro de archivos que facilita el cumplimiento de CMMC 2.0 Nivel 2 y NIST SP 800-171. Es una solución autorizada por FedRAMP para CUI de nivel Moderado que cifra los datos en tránsito y en reposo con cifrado TLS 1.2 y AES-256, respectivamente. Kiteworks soporta casi el 90% de los requisitos de CMMC 2.0 Nivel 2 de forma predeterminada y cumple con todos los requisitos de seguridad especificados en NIST SP 800-171. Kiteworks también ayuda a las organizaciones a cumplir con otras regulaciones, incluyendo ITAR, GDPR, SOC 2 (SSAE-16) y FISMA.

Kiteworks proporciona una capa crítica de seguridad y gobernanza sobre los usuarios y sistemas que manejan y transfieren información sensible como CUI. Las organizaciones que buscan cumplir con CMMC 2.0 Nivel 2 o NIST 800-171 pueden programar una demostración personalizada de Kiteworks para obtener más información.


Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks