Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

Requisitos DoD y CMMC

Inicio Glosario Requisitos del DoD y CMMC

El Departamento de Defensa (DoD) es responsable de asegurar la protección de los Estados Unidos contra amenazas externas e internas, mantener operaciones militares legales y efectivas, y desarrollar y mantener la capacidad de los Estados Unidos para llevar a cabo cualquier misión militar necesaria para proteger la nación. Estas responsabilidades también incluyen proporcionar políticas de seguridad nacional y supervisión, responder a amenazas de seguridad nacional, y gestionar la investigación y desarrollo de nuevas tecnologías.

Requisitos del DoD y CMMC

El DoD no puede realizar estas funciones en un vacío; depende de más de 300,000 contratistas y subcontratistas para apoyo. Esta vasta red de cadena de suministro se llama la Base Industrial de Defensa (DIB). Dada la naturaleza sensible del trabajo del DoD, es imperativo que los contratistas en la DIB estén equipados con las herramientas de ciberseguridad adecuadas para proteger la información sensible que comparten con el DoD. En respuesta, el DoD desarrolló la Certificación del Modelo de Madurez de Ciberseguridad (CMMC) para proteger la confidencialidad de esta información. CMMC está destinado a construir protecciones de seguridad alrededor de la cadena de suministro de la DIB evaluando la seguridad de las redes y sistemas de los contratistas de defensa para asegurar el cumplimiento con los estándares gubernamentales sobre seguridad de datos.

Entendiendo el Departamento de Defensa y CMMC

La DIB del DoD es un ecosistema vital compuesto por empresas del sector privado que permiten al DoD alcanzar sus objetivos. Suministra materiales, componentes y servicios esenciales. A continuación, se presenta una visión rápida de algunos de los productos y servicios proporcionados por la DIB:

  1. Aeronaves Militares: Fabricación, modificación y mantenimiento de aeronaves militares, incluyendo aviones de transporte, combate y reconocimiento.
  2. Sistemas de Guía y Navegación: Diseño y producción de sistemas de guía y navegación para plataformas de combate, incluyendo sistemas de navegación inercial no basados en GPS.
  3. Sistemas de Armas: Fabricación, mantenimiento y servicios de apoyo para sistemas de armas como misiles y cohetes, artillería, torpedos, bombas y contramedidas electrónicas.
  4. Sistemas de Comunicación: Diseño y producción de sistemas de comunicación para redes operativas e inteligencia.
  5. Servicios de Logística y Apoyo: Provisión de servicios de logística y apoyo, como almacenamiento, transporte, gestión de la cadena de suministro y apoyo al personal.
  6. Plataformas No Tripuladas: Diseño, fabricación y mantenimiento de plataformas no tripuladas como drones, robots y vehículos submarinos autónomos.
  7. Soluciones de Ciberseguridad: Diseño e implementación de soluciones de ciberseguridad, incluyendo cortafuegos, protección contra malware y monitoreo de seguridad de redes.
  8. Construcción y Reparación Naval: Diseño, construcción y mantenimiento de embarcaciones tanto militares como civiles.
  9. Entrenamiento y Simulación: Provisión de servicios de entrenamiento y simulación para personal militar, así como apoyo logístico y de misión.
  10. Investigación y Desarrollo: Investigación y desarrollo de tecnologías emergentes de combate, incluyendo inteligencia artificial, biometría y robótica.

CMMC 2.0 establece una serie de medidas para que los proveedores del DoD protejan sus redes y datos de amenazas maliciosas y accidentales. El esquema de certificación es un marco de tres niveles que evalúa las prácticas y capacidades de seguridad de las organizaciones que operan en la DIB. Las empresas que buscan convertirse en certificadas por CMMC deben cumplir con los criterios de uno de los tres niveles, dependiendo de la complejidad de sus operaciones y la sensibilidad de la información que poseen.

El Nivel 1 de CMMC impone requisitos básicos de seguridad a las organizaciones, como asegurar adecuadamente el acceso físico a la información sensible y usar buenos procesos de gestión de contraseñas. El Nivel 2 de CMMC incluye controles adicionales, como identificar roles de usuario y asignar privilegios en consecuencia, y asegurar que el acceso esté restringido solo a aquellos que lo necesiten. El Nivel 3 de CMMC incorpora los requisitos de ciberseguridad más estrictos, incluyendo capacidades avanzadas de detección y respuesta a amenazas, y está reservado para aquellas organizaciones que trabajan con información no clasificada controlada (CUI).

¿Qué es la Información No Clasificada Controlada (CUI)?

CUI se refiere a la información que el DoD considera sensible pero no clasificada. CUI incluye información que está regulada o restringida por leyes y regulaciones tanto federales como no federales. Ejemplos de CUI incluyen información propietaria, información confidencial de negocios, o información propiedad del gobierno o controlada por el gobierno.

CMMC vs. NIST SP 800-171

El Nivel 2 de CMMC 2.0 se alinea con los requisitos de práctica en NIST 800-171, una lista de 110 controles de práctica con los que los contratistas gubernamentales que manejan CUI deben cumplir. En comparación con la Publicación Especial (SP) 800-171 del NIST, el Nivel 2 de CMMC 2.0 es más exhaustivo y requiere evaluaciones más profundas y confiables que no están disponibles con el NIST SP 800-171. El Nivel 2 de CMMC 2.0 requiere que las organizaciones implementen prácticas avanzadas de ciberseguridad, como cifrado, gestión de vulnerabilidades y respuesta a incidentes. Por otro lado, NIST 800-171 solo requiere la implementación de prácticas básicas de ciberseguridad. CMMC 2.0 también requiere que las organizaciones proporcionen evidencia de cumplimiento con el marco. Las organizaciones deben documentar su implementación de los diferentes requisitos y controles y enviar su documentación de cumplimiento al DoD. El NIST 800-171 no requiere el mismo nivel de documentación. Las organizaciones solo deben asegurarse de que sus prácticas de seguridad de datos cumplan con los requisitos.

El Nivel 2 de CMMC 2.0 es una herramienta efectiva para aumentar la seguridad en la cadena de suministro del DoD, ya que requiere que los contratistas actualicen constantemente sus prácticas de seguridad y aseguren que cumplen con los estándares de seguridad más altos. Esto ayuda a garantizar que la CUI se mantenga segura y no se ponga en riesgo. Además, permite al DoD tener una mejor comprensión de las medidas de seguridad que están tomando sus contratistas, para que puedan sentirse seguros de que están trabajando con organizaciones que pueden proteger la CUI y al nivel de seguridad apropiado necesario.

Entendiendo los Tres Niveles de CMMC 2.0

Los niveles de CMMC 2.0 van desde básico hasta experto, y cada nivel requiere medidas de seguridad más estrictas que el nivel anterior. Como resultado, los contratistas se ven obligados a adoptar un enfoque más proactivo hacia la seguridad y la gestión de riesgos. Estos deben integrarse como parte de la estrategia de administración de riesgos de ciberseguridad de una organización.

Nivel 1 de CMMC 2.0 requiere que las organizaciones establezcan medidas básicas de seguridad. Esto incluye seguridad física, control de acceso, inventario del sistema, protección de datos y respuesta a incidentes. Las organizaciones también deben cumplir con los requisitos de NIST SP 800-171, como cifrado y autenticación de usuarios.

Nivel 2 de CMMC 2.0 requiere que las organizaciones tengan un conjunto más completo de medidas de seguridad en su lugar. Esto incluye no solo los requisitos del Nivel 1, sino también políticas y procedimientos más detallados, como limitar el acceso a sistemas y datos sensibles, identificar roles de usuario y asignar privilegios en consecuencia, y mantener un inventario de activos del sistema. Las organizaciones también deben cumplir con los requisitos de NIST SP 800-171, como prevenir el acceso no autorizado y autenticar a los usuarios.

Nivel 3 de CMMC 2.0 es el nivel más alto de certificación y se alinea con NIST SP 800-172. Las organizaciones deben implementar medidas de seguridad basadas en riesgos y establecer controles de seguridad de datos más avanzados, como capacidades avanzadas de detección y respuesta a amenazas. También deben asegurar que todo el personal, subcontratistas y proveedores cumplan con los requisitos de CMMC. Las organizaciones también deben cumplir con los requisitos de NIST SP 800-171, como cifrado y autenticación de usuarios.

Entendiendo los Requisitos de CMMC

Entender los requisitos de CMMC es esencial para cualquier organización que actualmente trabaje con, o espere eventualmente trabajar con, el DoD. Entender los requisitos de CMMC puede ayudar a asegurar que los sistemas de los contratistas estén cumpliendo con las medidas de seguridad necesarias para llevar a cabo operaciones sensibles.

Para asegurar la adherencia a los diversos requisitos de CMMC, los contratistas del DoD deben mapear sus prácticas y procesos de ciberseguridad existentes. Muchas organizaciones han utilizado una C3PAO (Organización Evaluadora de Terceros CMMC), que proporciona una evaluación del nivel de cumplimiento de un contratista, ofrece orientación sobre áreas de mejora, y ayuda a desarrollar y ejecutar un plan de acción de CMMC aprobado. Para los contratistas del DoD que dependen en gran medida del intercambio de datos, una red de contenido privado también puede ser aprovechada para simplificar y acelerar el proceso de lograr el cumplimiento de CMMC.

Los contratistas del DoD también deben ser conscientes de las posibles sanciones que pueden enfrentar si no cumplen con los requisitos necesarios de CMMC. Esto incluye multas, suspensión de contratos, o en casos extremos, pérdida de contratos y el derecho a licitar en nuevos contratos del DoD. Es importante que los contratistas del DoD entiendan las implicaciones de no cumplir con los requisitos de CMMC, para que puedan prepararse adecuadamente e implementar medidas a largo plazo para satisfacer los requisitos de CMMC.

Beneficios de la Certificación CMMC

La certificación CMMC tranquiliza al DoD de que los contratistas con los que trabajan son socios deseables porque han cumplido con los estrictos requisitos de ciberseguridad del DoD. Debido a que el marco de CMMC requiere que los contratistas del DoD implementen medidas de seguridad robustas, los contratistas que logran la certificación CMMC obtienen una ventaja competitiva en el mercado más amplio (sector privado). La certificación CMMC establece una línea base de seguridad en toda la cadena de suministro del DoD basada en el tipo de datos privados que envían, comparten, reciben y almacenan. Los contratistas que han logrado la certificación CMMC (especialmente Nivel 2 y Nivel 3) generalmente tienen una postura de ciberseguridad más fuerte que debería ayudar a prevenir ciberataques, violaciones de datos, violaciones de cumplimiento y otras amenazas potenciales de ciberseguridad.

La certificación CMMC también ayuda a los contratistas a construir un nombre de marca reputado e incrementar la confianza del cliente. La certificación también puede proporcionar ventajas legales y contractuales para los contratistas, incluyendo acceso a contratos más deseables o lucrativos y otros beneficios importantes. En última instancia, los contratistas del DoD que logran la certificación CMMC disfrutan de muchos beneficios comerciales.

Logrando la Certificación CMMC

Las organizaciones que deseen certificarse en cualquiera de los tres niveles de CMMC deben primero asegurarse de que cumplen con todos los requisitos de ese nivel. Esto incluye implementar las medidas de seguridad especificadas en los controles de práctica de CMMC 2.0. (Nota: Las empresas que demuestran cumplimiento con los requisitos de práctica del Nivel 2 de CMMC 2.0 no cumplen automáticamente con NIST 800-171.)

Una vez que una empresa ha cumplido con los requisitos para el Nivel 2 y Nivel 3 de CMMC a través de autoevaluación, la empresa debe entonces buscar la certificación de un organismo de certificación de terceros acreditado por CMMC (C3PAO). El proceso de certificación implica evaluar las medidas de seguridad de la empresa y determinar si la empresa cumple con los requisitos del nivel de certificación deseado. Si la empresa cumple con los requisitos, se le otorgará la certificación CMMC correspondiente.

Las empresas que buscan lograr la certificación CMMC enfrentan desafíos comunes durante el proceso de certificación. Estos desafíos incluyen la dificultad para entender los requisitos de CMMC y la dificultad para implementar las medidas de seguridad requeridas. Las empresas pueden superar frecuentemente estos desafíos consultando a un consultor certificado por CMMC o trabajando con una organización de terceros acreditada por CMMC que se especializa en proporcionar servicios relacionados con CMMC.

Kiteworks Ayuda a las Organizaciones a Lograr el Cumplimiento de CMMC

Kiteworks soporta casi el 90% de los requisitos del Nivel 2 de CMMC 2.0 de manera predeterminada. La Red de Contenido Privado de Kiteworks unifica correo electrónico, intercambio de archivos, transferencia de archivos administrada (MFT), formularios web, y interfaces de programación de aplicaciones (APIs) en una plataforma compuesta de controles de políticas automatizados y seguimiento que se alinean con las prácticas del Nivel 2 de CMMC 2.0.

La Red de Contenido Privado de Kiteworks acelera la certificación CMMC para los proveedores del DoD. Algunas de las capacidades clave de la plataforma incluyen:

  • Seguridad de nivel empresarial como cifrado TLS 1.2 a nivel de archivo en tránsito y cifrado AES de 256 bits en reposo
  • Dispositivo virtual reforzado auto-contenido y preconfigurado optimizado para la seguridad
  • Autorizado por FedRAMP para Impacto de Nivel Moderado
  • Validado por FIPS 140-2
  • Atestación de Nivel 1 de SOC 2 y habilita la certificación SOC 2
  • Certificado por ISO 27001, 27017 y 27018
  • Cumple con NIST SP 800-171, NIST SP 800-172, FISMA, y otros

Kiteworks también proporciona a los contratistas y subcontratistas actuales y aspirantes del DoD control completo y visibilidad de la CUI que se envía, recibe, comparte o almacena. Kiteworks, por ejemplo, permite a las organizaciones aplicar controles de políticas granulares, estandarizar la política de seguridad en todos los canales de comunicación, e incluso definir permisos basados en roles para usuarios externos.

Además, Kiteworks proporciona una vista en tiempo real e histórica de todo el movimiento de archivos entrantes y salientes y registra esta actividad, es decir, quién está enviando qué a quién, cuándo y dónde, creando una pista de auditoría completa. El control y la visibilidad completos del contenido que entra y sale de la organización permiten a los contratistas del DoD demostrar cumplimiento con las regulaciones de privacidad de datos en todo el mundo, incluyendo, pero no limitado a, el Reglamento General de Protección de Datos (GDPR), la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), la Ley de Privacidad del Consumidor de California (CCPA), el Programa de Evaluadores Registrados de Seguridad de la Información (IRAP), la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA), y muchos más.

Para ver la plataforma Kiteworks en acción y aprender cómo puede acelerar tu camino hacia el cumplimiento de CMMC, programa una programa una demostración personalizada hoy.


Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks