CMMC 2.0 – Lo que los Contratistas del DOD en el Reino Unido Necesitan Saber

Como contratista o subcontratista con sede en el Reino Unido, representas un vínculo crucial en la cadena de suministro del DOD. CMMC, el programa de Certificación de Modelo de Madurez de Ciberseguridad, está diseñado para reforzar esta cadena de suministro y proteger la información que permite a los combatientes del DOD.

La Base Industrial de Defensa (DIB) es “un objetivo de ciberataques más frecuentes y complejos”. Para proteger la información sensible de seguridad de EE. UU., el DOD ha revitalizado su programa CMMC con estándares de ciberseguridad diseñados para enfrentar estas amenazas en evolución.

En este blog, exploramos el CMMC 2.0 Nivel 2, rastreando su evolución y resumiendo lo que los contratistas necesitan saber para cumplir con el CMMC 2.0.

El Contexto del Programa CMMC

La visión inicial y las características básicas del programa CMMC fueron introducidas en septiembre de 2020 a través de una regla provisional para los DFARS en el Registro Federal. Se delineó un marco que incluía un modelo escalonado, evaluaciones e implementación para contratistas. Durante el año siguiente, el DOD recopiló comentarios de líderes de ciberseguridad y adquisiciones dentro del DOD, así como comentarios públicos, para ayudar a refinar la política.

Esto resultó en el CMMC 2.0, la segunda iteración del programa que se lanzó en 2021 y se aplicará en 2025.

CMMC 1.0 vs CMMC 2.0

Tanto el CMMC 1.0 como el 2.0 fueron diseñados para proteger la información no clasificada controlada (CUI) y la información sobre contratos federales (FCI) dentro del DIB.

CMMC es el marco que describe los requisitos de ciberseguridad contra los cuales el DOD evaluará y certificará a los contratistas. Cualquier organización que no cumpla con estos requisitos no podrá trabajar con el DOD a partir de 2025.

Basado en los comentarios, el CMMC 1.0 fue reemplazado por el CMMC 2.0 para lograr los siguientes objetivos:

  • Reducir el costo de cumplir con los requisitos de CMMC
  • Aumentar la confianza en el ecosistema de evaluación de CMMC
  • Alinear los requisitos de CMMC con otros requisitos federales y estándares comunes

Estas actualizaciones simplificaron el modelo CMMC, proporcionaron claridad adicional y redujeron la carga regulatoria para facilitar a los contratistas el cumplimiento de sus requisitos.

Algunas de las principales diferencias se relacionan con:

Niveles de Madurez

El CMMC 1.0 delineó 5 niveles de madurez, que desde entonces se han reducido a 3 bajo el CMMC 2.0, eliminando los niveles 2 y 4.

  • Nivel 1: Fundacional permanece sin cambios. Requiere una autoevaluación anual que tenga la certificación de un ejecutivo corporativo. También abarca los requisitos de protección de FCI de la Cláusula FAR 52.204-21.
  • Nivel 2: Avanzado reorganizó el anterior Nivel 3 para alinearse con los 14 dominios que se alinean con las familias especificadas en NIST SP 800-171. Requiere evaluaciones trienales de terceros para contratistas que envían, comparten, reciben y almacenan información crítica de seguridad nacional.
  • Nivel 3: Experto combina los anteriores Niveles 4 y 5. Apunta a alinearse con NIST SP 800-172 y requerirá evaluaciones trienales dirigidas por el gobierno, pero aún está en desarrollo.

Estructuras de Dominio

Las estructuras de dominio del CMMC 2.0 son mucho más completas que las delineadas en el modelo CMMC 1.0. Estos dominios adicionales son más específicos para las operaciones diarias de los contratistas y tienen como objetivo crear una mayor garantía de seguridad de los activos.

Evaluadores de Terceros

El CMMC 2.0 ha introducido evaluadores de terceros para certificar que los contratistas de la cadena de suministro del DIB están cumpliendo con los estándares requeridos. Las C3PAO serán responsables de evaluar y emitir certificados en el Nivel 2.

Cómo Cumplir con el CMMC 2.0

Los contratistas y subcontratistas que actualmente trabajan o planean trabajar con el DOD deben demostrar cumplimiento con el CMMC 2.0 para 2025.

En general, los requisitos para los Niveles 1 y 2 de cumplimiento del CMMC 2.0 se dividen en 14 dominios diferentes y consisten en un total de más de 110 controles (es decir, requisitos) a través de estos dominios.

Dominios de cumplimiento del CMMC 2.0:

  1. Control de acceso
  2. Auditoría y responsabilidad
  3. Conciencia y capacitación
  4. Gestión de configuración
  5. Identificación y autenticación
  6. Respuesta a incidentes
  7. Mantenimiento
  8. Protección de medios
  9. Protección física
  10. Seguridad del personal
  11. Evaluación de riesgos
  12. Evaluación de seguridad
  13. Protección de sistemas y comunicaciones
  14. Integridad del sistema e información

Obtén una lista de verificación para el cumplimiento de CMMC aquí

Primero, las organizaciones deben determinar en qué nivel se encuentran para poder actuar adecuadamente.

Diferentes niveles de madurez requerirán diferentes acciones para el cumplimiento. Por ejemplo, si tu oferta o contrato implica manejar CUI, información técnica controlada (CTI) o datos controlados por ITAR/exportación, caerás bajo los criterios del Nivel 2.

Lee nuestra guía sobre el cumplimiento del Nivel 2

A continuación, las organizaciones deben seguir estos pasos en preparación:

    ✓ Realizar una autoevaluación de riesgos
    ✓ Revisar y aprovechar los marcos existentes de NIST
    ✓ Crear un POA&M y SSP
    ✓ Seleccionar una C3PAO
    ✓ Establecer un cronograma y presupuesto
    ✓ Implementar controles de seguridad personalizados
    ✓ Establecer un plan de respuesta a incidentes
    ✓ Monitorear el rendimiento de los controles de seguridad e identificar problemas
    ✓ Documentar acciones de cumplimiento

Cómo Kiteworks Apoya el Cumplimiento del CMMC 2.0

Kiteworks es una plataforma de comunicaciones de contenido seguro que soporta casi el 90% de los requisitos del Nivel 2 de manera predeterminada. La plataforma es una Red de Contenido Privado (PCN) Autorizada Moderada por FedRAMP que ayuda a los contratistas de defensa a controlar, rastrear y asegurar el intercambio de datos sensibles interna y externamente.

Consistiendo en múltiples capacidades de seguridad avanzadas, desde la gestión de derechos digitales de última generación (DRM) hasta la transferencia de archivos administrada, Kiteworks ayuda a asegurar que cumplas con el CMMC 2.0 mientras también gestionas los riesgos de comunicación que puedan surgir dentro de tu propia cadena de suministro y subcontratistas.

¿Quieres asegurarte de estar listo para el CMMC 2.0? Lee más sobre cómo reducir los riesgos de cumplimiento del CMMC en toda tu organización y tu cadena de suministro.

Preguntas Frecuentes

El cumplimiento con los estándares NIST está integrado en los requisitos del CMMC 2.0. CMMC se alinea con cláusulas como FAR 52.204-21 y complementa cláusulas como DFARS 252.204-7012. Dependiendo de su nivel, los contratistas realizarán una autoevaluación o una evaluación de terceros para determinar si se ha cumplido con el estándar NIST aplicable.

Bajo el CMMC 2.0, se realizará una evaluación de Nivel 2 contra el estándar NIST SP 800-171.

Un CMMC C3PAO es una organización evaluadora de terceros del CMMC (C3PAO) que ha sido certificada por el organismo de acreditación del CMMC (CMMC-AB). Un C3PAO evaluará a los contratistas y subcontratistas para determinar si cumplen con los estándares del CMMC y proporcionará la certificación.

Sus responsabilidades incluyen evaluar las evaluaciones, emitir certificados de adhesión y recomendar acciones correctivas según sea necesario. El C3PAO debe revisar y certificar los informes de auditoría y autoevaluación del contratista o subcontratista basados en el Modelo de Madurez de Ciberseguridad del DOD.

Trabajar con una organización evaluadora de terceros del CMMC (C3PAO) proporciona varios beneficios para los contratistas que buscan la certificación bajo los estándares del CMMC 2.0:

Experiencia: un evaluador de terceros certificado tiene amplia experiencia evaluando programas de ciberseguridad en múltiples industrias y puede proporcionar información valiosa sobre las mejores prácticas para lograr el cumplimiento con los estándares del CMMC 2.0.

Objetividad: un evaluador de terceros independiente proporciona comentarios imparciales sobre la postura de seguridad de un contratista y ofrece recomendaciones prácticas para ayudarte a cumplir.

Ahorro de costos: trabajar con un evaluador de terceros certificado puede ahorrar tiempo y dinero en comparación con contratar personal interno o consultores que pueden no tener experiencia en evaluar programas de ciberseguridad.

Eficiencia: un evaluador de terceros certificado puede identificar rápidamente brechas en la postura de seguridad de una organización, ayudando a lograr el cumplimiento a tiempo para 2025.

Tranquilidad: tener un evaluador de terceros independiente que revise el programa de ciberseguridad de un proveedor del DOD proporciona tranquilidad, asegurando que las organizaciones hayan tomado todos los pasos necesarios hacia el cumplimiento con los estándares del CMMC 2.0.

El cumplimiento normativo se refiere a la adhesión a leyes, regulaciones, directrices y especificaciones relevantes para los procesos comerciales de una organización. El cumplimiento es crucial para mantener la reputación de la empresa, evitar sanciones legales y garantizar la seguridad de las operaciones.

Las características de comunicaciones de datos seguros juegan un papel crucial en el cumplimiento normativo, ya que ayudan a proteger los datos sensibles del acceso no autorizado. Permiten a los contratistas de defensa compartir contenido sensible internamente y a lo largo de su cadena de suministro por correo electrónico, uso compartido de archivos, transferencia de archivos y otros canales, con los más altos niveles de seguridad, control de acceso y responsabilidad.

Las características que apoyarán el CMMC 2.0 incluyen:

  • Uso compartido seguro de archivos
  • Cifrado de correo electrónico de extremo a extremo
  • Protocolo de transferencia de archivos seguro (SFTP)
  • Transferencia de archivos administrada (MFT)
  • Gestión de derechos digitales (DRM)
  • Control de acceso
  • Registro y reporte unificados
  • Registros de auditoría

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks