Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Cumplimiento CMMC > Requisitos de 32 CFR: Actualizaciones Clave para el Cumplimiento de CMMC
Requisitos de 32 CFR: Actualizaciones Clave para el Cumplimiento de CMMC

Requisitos de 32 CFR: Actualizaciones Clave para el Cumplimiento de CMMC

by Danielle Barbour updated diciembre 16, 2024 Cumplimiento CMMC
Reading Time: 12 minutes

La implementación de la Regla Final 32 CFR el 16 de diciembre de 2024 adelanta el cronograma de cumplimiento de CMMC, exigiendo acción inmediata de las organizaciones en la Base Industrial de Defensa (DIB).

La publicación de 32 CFR en el Registro Federal es significativa ya que anuncia una nueva era en los protocolos de ciberseguridad del Departamento de Defensa (DoD), requiriendo una revisión urgente de los marcos de seguridad existentes. Este cambio de paradigma tiene como objetivo fortalecer la postura de ciberseguridad de las entidades que manejan información controlada no clasificada sensible (CUI) e Información sobre Contratos Federales (FCI).

Esta regulación impone mandatos de ciberseguridad rigurosos que no pueden ser ignorados. Los contratistas de defensa deben actuar ahora para comprender y adaptarse a las ramificaciones operativas y contractuales de esta regulación revolucionaria. El incumplimiento podría resultar en consecuencias severas, incluyendo la pérdida de contratos y riesgos para la seguridad nacional.

En este artículo, desglosaremos los componentes críticos de 32 CFR, su impacto en las organizaciones que manejan CUI y FCI, y la inminente transformación del programa de Certificación de Modelo de Madurez de Ciberseguridad (CMMC) 2.0.

Cumplimiento CMMC 2.0 Hoja de Ruta para Contratistas del DoD

Leer Ahora

Explicación de 32 CFR

El 32 CFR describe requisitos específicos cruciales para mantener medidas de ciberseguridad robustas dentro del DIB. 32 CFR es un componente crítico en la protección de la seguridad nacional al establecer las regulaciones para manejar y asegurar FCI y CUI. El cumplimiento con los requisitos de 32 CFR ayuda a los contratistas de defensa a proteger datos sensibles compartidos con el DoD, reforzando así la seguridad nacional.

Además, se ha introducido CMMC 2.0 para alinear aún más las prácticas de ciberseguridad con los requisitos establecidos por 32 CFR. El cronograma de CMMC ilustra la progresión de reglas y actualizaciones, como la regla propuesta de CMMC y la regla final, mejorando la postura de ciberseguridad de los contratistas. Bajo CMMC 2.0, los contratistas de defensa y subcontratistas deben cumplir con niveles específicos de madurez en ciberseguridad para lograr la certificación. Esta alineación estratégica entre 32 CFR y CMMC 2.0 no solo mejora la seguridad de los datos, sino que también fomenta la confianza y la resiliencia dentro del DIB.

El proceso de certificación CMMC es arduo, pero nuestra hoja de ruta de cumplimiento CMMC 2.0 puede ayudar.

Comprender y cumplir con 32 CFR y CMMC 2.0 es crucial para los contratistas de defensa a lo largo de la cadena de suministro. Adherirse al marco de CMMC 2.0 y sus tres niveles de certificación asegura una defensa robusta contra amenazas cibernéticas, protegiendo información sensible de accesos no autorizados.

Puntos Clave

  1. Fecha Límite de Cumplimiento Acelerada

    La implementación de la Regla Final 32 CFR el 16 de diciembre de 2024 acelera el cronograma de cumplimiento de CMMC, requiriendo acción inmediata de las organizaciones dentro de la Base Industrial de Defensa (DIB) para cumplir con nuevos y más estrictos requisitos de ciberseguridad.

  2. Protocolos de Ciberseguridad Mejorados

    La regulación representa un cambio de paradigma en los protocolos de ciberseguridad del Departamento de Defensa (DoD), con un énfasis en la protección de Información Controlada No Clasificada (CUI) e Información sobre Contratos Federales (FCI). El cumplimiento con estas actualizaciones es crucial para mantener la seguridad nacional.

  3. Integración con CMMC 2.0

    32 CFR está estrechamente integrado con el marco CMMC 2.0, que simplifica y alinea las prácticas de ciberseguridad a través de tres niveles de certificación. Esta integración agiliza el proceso de cumplimiento, fomentando una mejor resiliencia en ciberseguridad y confianza dentro del DIB.

  4. Requisitos de Cumplimiento Integral

    Los contratistas de defensa deben adherirse a requisitos detallados de informes y mantenimiento de registros bajo 32 CFR, incluyendo informes de incidentes oportunos y mantenimiento de registros completos de prácticas de ciberseguridad, para calificar para la certificación CMMC y asegurar la protección de datos sensibles.

  5. Transición y Adaptación Estratégica

    La transición a 32 CFR y CMMC 2.0 presenta desafíos pero también ofrece un camino estructurado para fortalecer la resiliencia en ciberseguridad. Involucrarse con expertos de la industria, invertir en capacitación y aprovechar foros colaborativos son estrategias recomendadas para una adaptación y cumplimiento exitosos.

Requisitos de 32 CFR

Los requisitos de 32 CFR son cruciales para asegurar el cumplimiento de ciberseguridad dentro de la Base Industrial de Defensa (DIB). Estos requisitos, alineados con el marco CMMC 2.0, enfatizan la protección de FCI y CUI. Las organizaciones deben cumplir con estos estándares de ciberseguridad para calificar para la certificación CMMC.

El resumen de 32 CFR explica los requisitos específicos de informes a los que los contratistas deben adherirse bajo la regla final. Esto incluye informes de incidentes oportunos y mantenimiento de registros de prácticas de ciberseguridad. El texto dentro de 32 CFR proporciona una explicación detallada de los requisitos precisos de informes que los contratistas están obligados a seguir según la regla final. Los requisitos incluyen:

  • Informar incidentes de ciberseguridad de manera oportuna para asegurar que cualquier amenaza o violación potencial se comunique a las autoridades apropiadas sin demora.
  • Mantener registros completos de prácticas de ciberseguridad, incluyendo documentación de las medidas que las organizaciones han implementado para proteger información sensible y cualquier actualización o cambio realizado en sus protocolos de ciberseguridad.

Estos y otros requisitos ayudan a asegurar que los contratistas se adhieran a los estándares federales de ciberseguridad y contribuyan a la protección de información crítica. Para una explicación completa de los requisitos de ciberseguridad de 32 CFR, las organizaciones deben considerar revisar las reglas propuestas y finales.

Impacto de 32 CFR

Los cambios propuestos en la regla dentro de CMMC 32 CFR tienen como objetivo fortalecer la seguridad nacional al imponer prácticas de ciberseguridad estrictas en todo el DIB.

Los cambios propuestos en la regla dentro de CMMC 32 CFR tienen como objetivo mejorar la ciberseguridad para el DIB, comenzando con la implementación de CMMC 2.0. Esto implica agilizar el proceso de certificación, establecer un cronograma claro y alinear las organizaciones con CMMC 2.0 para proteger mejor FCI y CUI. Las revisiones aclaran cómo 32 CFR y el marco CMMC, incluidos sus tres niveles de madurez, ofrecen un enfoque estructurado de cumplimiento. A medida que avanza el cronograma, las actualizaciones subrayan la necesidad de la certificación CMMC 2.0 para mantener prácticas de ciberseguridad sólidas. Comprender estos cambios es crucial para el cumplimiento.

Para los contratistas de defensa, mantenerse al tanto de las actualizaciones dentro del cronograma de CMMC 2.0 y lograr la certificación CMMC 2.0 es vital. Este proceso continuo no solo asegura su posición dentro de la cadena de suministro de defensa, sino que también contribuye significativamente al objetivo más amplio de la seguridad nacional. Con la regla final de CMMC en proceso, el énfasis en alinearse con 32 CFR sigue siendo una prioridad principal para todas las partes interesadas involucradas.

Certificación CMMC: Un Marco para Mejorar la Ciberseguridad

32 CFR está revolucionando el enfoque de la ciberseguridad dentro del sector de defensa; al establecer un conjunto claro y estructurado de pautas, tiene como objetivo asegurar que todos los contratistas y subcontratistas dentro del DIB se adhieran a los estándares de ciberseguridad necesarios para proteger CUI y FCI. Esta regulación es una respuesta a las amenazas y vulnerabilidades de ciberseguridad en curso que representan un riesgo para la seguridad nacional y la integridad de los procesos de adquisición de defensa.

Uno de los componentes fundamentales de 32 CFR es la integración con CMMC 2.0, que se basa en el marco inicial del programa original de Certificación de Modelo de Madurez de Ciberseguridad (CMMC 1.0). CMMC 2.0 busca agilizar el proceso de certificación al reducir el número de niveles de madurez y simplificar los requisitos de evaluación. Esto permite un enfoque más enfocado y eficiente para lograr el cumplimiento de ciberseguridad. El nuevo modelo enfatiza la flexibilidad y escalabilidad, permitiendo una respuesta más adaptable al dinámico panorama de ciberseguridad.

CMMC 2.0 introduce tres niveles principales de certificación, cada uno correspondiente a diferentes grados de madurez en ciberseguridad. Para los contratistas de defensa, comprender estos niveles y los requisitos correspondientes es imperativo. Las organizaciones deben evaluar su postura actual de ciberseguridad, identificar brechas e implementar las medidas necesarias para lograr el nivel de certificación adecuado. Lograr el cumplimiento no solo asegura el cumplimiento contractual, sino que también fortalece la resiliencia general de ciberseguridad de la organización.

CMMC Nivel 1: Fundacional

CMMC Nivel 1 de CMMC 2.0, conocido como “Fundacional”, establece las bases para la ciberseguridad al imponer prácticas básicas de higiene cibernética. Este nivel se centra principalmente en proteger FCI. Las organizaciones deben implementar medidas de seguridad fundamentales como el uso de contraseñas fuertes, la actualización regular de software y asegurar controles de acceso seguros.

CMMC Nivel 1 tiene como objetivo proteger la información gubernamental sensible de accesos no autorizados y amenazas cibernéticas. Es crucial para las organizaciones que manejan FCI adherirse a estas prácticas fundamentales para prevenir violaciones de datos y mantener la confianza en los contratos gubernamentales, asegurando así el cumplimiento con 32 CFR y los estándares de CMMC 2.0.

CMMC Nivel 2: Avanzado

CMMC Nivel 2, denominado “Avanzado”, está estrechamente alineado con los requisitos descritos en NIST SP 800-171 y se centra en la protección de Información Controlada No Clasificada (CUI). Las organizaciones que aspiran a lograr este nivel deben demostrar un marco de ciberseguridad robusto que vaya más allá de la higiene básica. Necesitan implementar controles de seguridad mejorados, como autenticación multifactor, planificación de respuesta a incidentes y monitoreo continuo de la actividad de la red. CMMC Nivel 2 es esencial para los contratistas de defensa que buscan asegurar CUI, ya que alinea las prácticas de ciberseguridad con regulaciones federales estrictas, notablemente dentro de las pautas de 32 CFR y CMMC.

CMMC Nivel 3: Experto

CMMC Nivel 3, conocido como “Experto”, representa el pináculo de la madurez en ciberseguridad dentro de CMMC 2.0. Este nivel exige los más altos estándares de prácticas de ciberseguridad, reservado para contratos de alto riesgo que involucran información crítica de seguridad nacional. Las organizaciones deben implementar tecnologías y estrategias de vanguardia como detección avanzada de amenazas, capacidades de respuesta a incidentes y evaluaciones continuas de riesgos. El cumplimiento en este nivel no solo se adhiere a las demandas rigurosas establecidas por NIST 800-171 sino también por NIST 800-171. Al lograr la certificación CMMC Nivel 3, los contratistas demuestran un compromiso inigualable con la protección de la información sensible de la nación.

Pronóstico de Tendencias de Seguridad de Datos y Cumplimiento en 2025

Integración de 32 CFR con Requisitos Existentes

A medida que 32 CFR entra en vigor, es imperativo que las organizaciones dentro del DIB comprendan su integración con marcos existentes, particularmente la regla interina publicada 48 CFR y el Suplemento de Reglamento Federal de Adquisiciones de Defensa (DFARS).

La regla interina de Adquisición CMMC parte 204 de 48 CFR, que ahora está publicada, es crucial para prescribir los aspectos relacionados con la adquisición del cumplimiento de CMMC. Esta nueva regla permitirá al Departamento de Defensa (DoD) requerir niveles específicos de CMMC en solicitudes y contratos, aumentando la importancia de mantener el cumplimiento.

Bajo la regla 48 CFR, los oficiales de contratación tienen la autoridad para retener la adjudicación de contratos a contratistas que carecen de la evaluación de nivel de certificación CMMC requerida o la afirmación continua de cumplimiento para FCI y CUI. Estos requisitos se extienden a través de los niveles de subcontratación, asegurando que incluso los proveedores de nivel inferior se adhieran a los estándares de ciberseguridad necesarios.

Para los contratistas de defensa, esto significa un cambio crucial, requiriendo preparación no solo para los requisitos de 32 CFR sino también para los mandatos de adquisición de 48 CFR. Las organizaciones deben involucrarse proactivamente con estos requisitos en evolución para salvaguardar la elegibilidad de contratos y asegurar su lugar dentro del DIB. Ser proactivo implica una evaluación continua y adaptación de las medidas de ciberseguridad para alinearse con los mandatos de 32 CFR y 48 CFR.

Al mantenerse informadas e implementar estrategias de cumplimiento robustas, las organizaciones no solo pueden proteger su elegibilidad para contratos de defensa, sino también mejorar su reputación como socios confiables dentro de la comunidad de defensa. Este enfoque proactivo es vital para prosperar en un entorno competitivo donde la ciberseguridad es un determinante crítico del éxito operativo y la seguridad nacional.

CMMC 2.0 y NIST SP 800-171: Fortaleciendo la Postura de Ciberseguridad

El Centro de Evaluación de Ciberseguridad de la Base Industrial de Defensa de la Agencia de Gestión de Contratos de Defensa (DCMA DIBCAC) desempeña un papel fundamental en la protección de la información sensible del DoD al evaluar y asegurar el cumplimiento de ciberseguridad dentro de la base industrial de defensa.

Como parte de sus responsabilidades, DCMA DIBCAC verifica la implementación de los estándares NIST SP 800-171 por parte de los contratistas, apoyando las cláusulas DFARS 252.204-7012 y 252.204-7020. DCMA DIBCAC emplea un proceso de priorización estratégica para sus evaluaciones, adaptándose a las amenazas cibernéticas en evolución y las prioridades del DoD. El centro se enfoca en programas, tecnologías e infraestructuras críticas para la misión, así como en los contratistas (tanto principales como de nivel inferior) que apoyan las capacidades del DoD.

Además, DCMA DIBCAC considera amenazas cibernéticas, vulnerabilidades, incidentes y solicitudes específicas del liderazgo del DoD al determinar las prioridades de evaluación. Hasta la fecha, el centro ha evaluado a 357 entidades, incluidos los principales contratistas, demostrando su compromiso con la supervisión integral de ciberseguridad.

Requisitos Actuales para Manejar CUI y FCI

Actualmente, los contratistas y subcontratistas de defensa deben adherirse a requisitos específicos al manejar FCI y CUI. Para contratos que involucran FCI, los contratistas deben cumplir con la cláusula 52.204-21 del Reglamento Federal de Adquisiciones (FAR), que exige 15 medidas básicas de protección.

Estas medidas forman la línea base mínima de seguridad para cualquier entidad que reciba FCI del gobierno de EE. UU. Al tratar con CUI, los requisitos se vuelven más estrictos. La cláusula DFARS 252.204-7012 requiere que los contratistas implementen 110 requisitos de seguridad especificados en NIST SP 800-171.

Este conjunto integral de requisitos tiene como objetivo proporcionar seguridad adecuada en todos los sistemas de información del contratista cubiertos. Además, los contratistas deben asegurar que cualquier Proveedor de Servicios en la Nube (CSP) que utilicen para manejar CUI cumpla con el Programa de Gestión de Riesgos y Autorización Federal (FedRAMP) Baseline Moderado o requisitos equivalentes.

Evaluación de la Preparación para CMMC

Para demostrar el cumplimiento, se requiere que los contratistas desarrollen un Plan de Seguridad del Sistema (SSP) que detalle las políticas y procedimientos en vigor para cumplir con los estándares NIST SP 800-171. El SSP sirve como documento fundamental para la autoevaluación requerida de NIST SP 800-171.

¿Necesitas cumplir con CMMC? Aquí tienes tu lista de verificación de cumplimiento CMMC completa.

Los contratistas deben luego enviar sus puntajes de autoevaluación al SPRS. Un puntaje perfecto de 110 indica la implementación completa de todos los requisitos de seguridad. Si el puntaje de un contratista es inferior a 110, revelando brechas de seguridad, deben crear un plan de acción identificando las tareas de seguridad que aún necesitan ser completadas. Las cláusulas DFARS 252.204-7019 y 252.204-7020 mejoran aún más estos requisitos. La cláusula 252.204-7019 exige que los contratistas se sometan a una evaluación NIST SP 800-171 (básica, media o alta) según la Metodología de Evaluación del DoD.

Los puntajes resultantes deben ser reportados al DoD a través de SPRS y no deben tener más de tres años de antigüedad en el momento de la adjudicación del contrato. La cláusula 252.204-7020 otorga al DoD el derecho de realizar evaluaciones de nivel superior del cumplimiento de ciberseguridad de los contratistas, requiriendo que los contratistas proporcionen acceso completo a sus instalaciones, sistemas y personal.

Cumplimiento CMMC 2.0 para Subcontratistas

Un aspecto crucial de estos requisitos es su aplicación a los subcontratistas. Los contratistas principales son responsables de transmitir estos requisitos de ciberseguridad a sus subcontratistas que procesan, almacenan o transmiten CUI. Antes de adjudicar contratos a subcontratistas, los contratistas principales deben verificar que sus subcontratistas tengan puntajes SPRS actuales en archivo, asegurando un enfoque integral de ciberseguridad a lo largo de la cadena de suministro.

Transición a CMMC 2.0: Desafíos y Recomendaciones

El cumplimiento de CMMC 2.0 presenta desafíos significativos para los contratistas de defensa, particularmente en lo que respecta a la transición de las prácticas actuales al marco integral de ciberseguridad prescrito por los Niveles 1, 2 y 3 de CMMC 2.0. A pesar de estos desafíos, el cambio ofrece un camino estructurado para mejorar la resiliencia en ciberseguridad. La adaptación exitosa requerirá un esfuerzo concertado para evaluar las medidas de ciberseguridad existentes, identificar brechas e implementar mejoras necesarias en línea con los requisitos de CMMC.

Para navegar estos desafíos, se alienta a las organizaciones dentro del DIB a participar en un diálogo continuo con oficiales de contratación y expertos en ciberseguridad para asegurar la alineación con los estándares en evolución. Invertir en capacitación de empleados y herramientas de ciberseguridad actualizadas será instrumental para lograr la certificación CMMC.

Además, aprovechar foros colaborativos y recursos ofrecidos por asociaciones de la industria puede proporcionar un apoyo invaluable e información sobre las mejores prácticas para el cumplimiento y la mejora de la ciberseguridad.

32 CFR: Abraza el Futuro de la Ciberseguridad dentro del DIB

Con la Regla Final 32 CFR ahora efectiva, el panorama de ciberseguridad dentro del DIB está preparado para una transformación importante. Específicamente, la integración de 32 CFR con marcos existentes, como la regla interina 48 CFR y NIST SP 800-171, establece un enfoque robusto y multinivel para la ciberseguridad.

A medida que las organizaciones se preparan para cumplir con estos rigurosos estándares, el énfasis no solo está en alcanzar el cumplimiento, sino también en fortalecer la resiliencia general de ciberseguridad. Al comprender e implementar los requisitos de 32 CFR y la regla interina publicada 48 CFR, el DIB puede reforzar significativamente sus defensas contra amenazas cibernéticas sofisticadas.

Aunque esta transición presenta desafíos, también ofrece una oportunidad única para elevar las prácticas de ciberseguridad en todos los ámbitos, asegurando información sensible crucial para la defensa nacional. A través de la adaptación proactiva y la planificación estratégica, los contratistas de defensa pueden navegar este complejo panorama, asegurando no solo el cumplimiento sino también la protección de información vital de defensa durante años por venir.

Kiteworks Ayuda a las Organizaciones a Lograr el Cumplimiento CMMC con una Red de Contenido Privado

La Regla Final 32 CFR marca un cambio crucial en el panorama de ciberseguridad para la Base Industrial de Defensa, enfatizando la necesidad de un cumplimiento estricto con estándares actualizados. Al alinearse con CMMC 2.0 y marcos existentes como NIST SP 800-171, las organizaciones pueden fortalecer su resiliencia en ciberseguridad. Adoptar estos cambios no solo se trata de cumplir con el cumplimiento, sino también de fortalecer las defensas contra amenazas cibernéticas en evolución. A través de la adaptación estratégica, los contratistas de defensa tienen la oportunidad de mejorar su postura de ciberseguridad y asegurar la protección de información crítica de defensa nacional.

Kiteworks puede ayudar. La Red de Contenido Privado de Kiteworks, una plataforma de uso compartido seguro de archivos y transferencia de archivos validada en el Nivel FIPS 140-2, consolida correo electrónico, uso compartido de archivos, formularios web, SFTP, transferencia de archivos administrada y una solución de gestión de derechos digitales de última generación para que las organizaciones controlen, protejan y rastrean cada archivo a medida que entra y sale de la organización.

Kiteworks admite casi el 90% de los requisitos de CMMC 2.0 Nivel 2 de inmediato. Como resultado, los contratistas y subcontratistas del DoD pueden acelerar su proceso de acreditación CMMC 2.0 Nivel 2 asegurándose de tener la plataforma adecuada de comunicaciones de contenido sensible en su lugar.

Kiteworks permite un cumplimiento rápido de CMMC 2.0 con capacidades y características clave que incluyen:

  • Certificación con estándares y requisitos clave de cumplimiento del gobierno de EE. UU., incluyendo SSAE-16/SOC 2, NIST SP 800-171 y NIST SP 800-172
  • Validación de Nivel 1 FIPS 140-2
  • Autorizado por FedRAMP para Nivel de Impacto Moderado CUI
  • Cifrado AES de 256 bits para datos en reposo, TLS 1.2 para datos en tránsito y propiedad exclusiva de la clave de cifrado

Para obtener más información sobre Kiteworks, programa una demostración personalizada hoy.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks