Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Cumplimiento CMMC > Preparación para CMMC 2.0 en la DIB: Perspectivas de Investigación sobre Fundamentos de Cumplimiento
Preparación para CMMC 2.0 en la DIB: Hallazgos Clave del Informe

Preparación para CMMC 2.0 en la DIB: Perspectivas de Investigación sobre Fundamentos de Cumplimiento

by Danielle Barbour updated marzo 25, 2025 Cumplimiento CMMC
Reading Time: 3 minutes

Las vulnerabilidades de ciberseguridad en la cadena de suministro de defensa representan uno de los desafíos más significativos para la seguridad nacional que enfrenta Estados Unidos hoy en día. Con adversarios que cada vez más apuntan a contratistas más pequeños como puntos de entrada para acceder a información confidencial, el Departamento de Defensa estableció el marco de Certificación de Modelo de Madurez de Ciberseguridad (CMMC) para asegurar una protección adecuada de la información no clasificada controlada (CUI) en toda la Base Industrial de Defensa (DIB).

Un estudio innovador de Kiteworks y Coalfire proporciona perspectivas sin precedentes sobre cómo las organizaciones de la DIB están abordando el cumplimiento del CMMC 2.0 Nivel 2. El informe “Estado de Preparación para el CMMC 2.0 en la DIB” encuestó a 209 organizaciones de diversos tamaños y roles, revelando patrones claros en los enfoques de cumplimiento, desafíos de implementación y decisiones estratégicas que pueden guiar a los contratistas de defensa en cada etapa de su viaje de certificación.

Esta investigación llega en un momento crítico, inmediatamente después de la publicación de la Regla Final 32 CFR en diciembre de 2024, capturando las respuestas de las organizaciones a los requisitos finalizados. Los hallazgos revelan que las organizaciones que adoptan enfoques estructurados y sistemáticos para el cumplimiento logran consistentemente mejores resultados de seguridad en todas las dimensiones medidas, proporcionando una hoja de ruta para estrategias de implementación efectivas.

Cumplimiento CMMC 2.0 Hoja de Ruta para Contratistas del DoD

Leer Ahora

Entendiendo los Requisitos del CMMC 2.0 Nivel 2

El CMMC 2.0 representa un refinamiento significativo del modelo de certificación original, simplificando de cinco niveles a tres mientras mantiene estándares rigurosos para proteger la información sensible de defensa. El Nivel 2, el enfoque de esta investigación, se alinea directamente con el NIST SP 800-171 y abarca 110 controles de seguridad en 14 dominios.

La Evolución del Marco CMMC

El Departamento de Defensa desarrolló el CMMC para abordar las persistentes vulnerabilidades de ciberseguridad en toda su cadena de suministro. El marco reconoce que los adversarios frecuentemente apuntan a contratistas más pequeños como puntos de entrada para acceder a información sensible, creando un enfoque integral para asegurar la información de defensa en toda la cadena de suministro.

A diferencia de los modelos anteriores de autoevaluación, el CMMC proporciona un mecanismo de verificación para asegurar la implementación real de las prácticas de seguridad requeridas. Este cambio de un cumplimiento basado en la confianza a uno basado en la verificación representa un cambio fundamental en cómo el DoD aborda la seguridad de la cadena de suministro.

Las organizaciones que buscan la certificación de CMMC Nivel 2 deben implementar las 110 prácticas requeridas y someterse a una evaluación ya sea a través de una autoevaluación (para contratos selectos) o una evaluación de terceros realizada por una Organización Evaluadora de Terceros Certificada (C3PAO). Estos requisitos se aplican a organizaciones de todos los tamaños dentro de la DIB que manejan CUI, desde pequeños subcontratistas hasta grandes contratistas principales.

El marco opera junto con regulaciones federales de ciberseguridad complementarias, incluyendo la cláusula 52.204-21 del Reglamento Federal de Adquisiciones (FAR) y la cláusula 252.204-7012 del Suplemento del Reglamento Federal de Adquisiciones de Defensa (DFARS). Este ecosistema regulatorio crea un enfoque integral para asegurar la información de defensa en toda la cadena de suministro.

Metodología de la Encuesta y Demografía de los Respondentes

El estudio de Kiteworks/Coalfire proporciona una validez excepcional a través de su muestra diversa y representativa de organizaciones de la DIB. La investigación recopiló respuestas de 209 participantes utilizando 22 preguntas dirigidas para evaluar el estado de cumplimiento, los enfoques de implementación y los desafíos.

Representación Organizacional Integral

Las organizaciones respondentes abarcaron todas las categorías de tamaño dentro del sector de defensa:

  • Organizaciones pequeñas con menos de 500 empleados (32%)
  • Organizaciones medianas con 500-9,999 empleados (48%)
  • Organizaciones grandes con más de 10,000 empleados (20%)

Esta distribución permite un análisis detallado de cómo el tamaño organizacional influye en los enfoques de preparación para el CMMC y los desafíos, revelando patrones importantes en la asignación de recursos y estrategias de implementación en diferentes contextos organizacionales.

Perspectivas Diversas de Liderazgo

La encuesta capturó perspectivas de todo el espectro de liderazgo:

  • Líderes de CIO/IT (20%)
  • Líderes de Ciberseguridad (17%)
  • CEO/Fundadores (14%)
  • Líderes de Gestión de Riesgos (15%)
  • Consejeros Generales/Líderes Legales (8%)
  • COOs (4%)
  • CFOs (1%)

Esta diversidad de liderazgo permite el análisis de cómo los roles funcionales influyen en las percepciones de preparación para el cumplimiento y prioridades, revelando diferencias importantes en cómo los especialistas técnicos y el liderazgo ejecutivo abordan la implementación del CMMC.

El análisis de datos se centró en identificar correlaciones entre las características organizacionales y los enfoques de cumplimiento, examinando las relaciones entre la finalización del análisis de distancia, la madurez de la documentación y la implementación de controles de seguridad críticos. Para una identificación más clara de patrones, las respuestas se agruparon en tres categorías: pequeñas (<500 empleados), medianas (500-9,999 empleados) y grandes organizaciones (10,000+ empleados).

Puntos Clave para la Preparación del CMMC 2.0 en la DIB

  1. El análisis de distancia establece la base crítica para el éxito del cumplimiento del CMMC 2.0

    1.Las organizaciones que completan análisis de distancia integrales tienen un 73% más de probabilidades de tener políticas de ciberseguridad completamente documentadas y un 77% más de probabilidades de seguir estándares de cifrado verificados en comparación con aquellas que no han comenzado la evaluación. Esta correlación sorprendente demuestra que una evaluación exhaustiva de la postura de seguridad contra los 110 controles del NIST SP 800-171 proporciona la hoja de ruta esencial para todas las actividades de cumplimiento subsiguientes.

  2. La madurez de la documentación sirve como un poderoso predictor de la efectividad de la implementación de seguridad

    Las organizaciones con políticas completamente documentadas implementan estándares de cifrado a tasas dramáticamente más altas (83%) en comparación con aquellas con documentación parcial (49%), mientras que las organizaciones con documentación mínima tienen 30 veces más probabilidades de reportar cifrado inconsistente de CUI. Esta relación fundamental destaca cómo el desarrollo integral de políticas crea la estructura y claridad necesarias para la implementación consistente y verificable de controles de seguridad.

  3. Existen brechas significativas de percepción entre especialistas técnicos y liderazgo ejecutivo

    Los líderes de ciberseguridad informan tasas mucho más bajas de madurez de la documentación (54%) que los CEO/fundadores (80%), lo que sugiere posibles fallas de comunicación o diferencias en los estándares de evaluación. Esta disparidad subraya la importancia de alinear las perspectivas técnicas y ejecutivas a través de metodologías de evaluación estructuradas y comunicación regular entre funciones para asegurar una planificación de cumplimiento realista.

  4. El tamaño organizacional influye en la preparación para el cumplimiento, pero no tan significativamente como el enfoque sistemático

    Si bien las organizaciones grandes informaron tasas ligeramente más altas de análisis de distancia completados (47%) y políticas completamente documentadas (68%) en comparación con las organizaciones pequeñas (38% y 58% respectivamente), la tasa consistentemente baja de documentación mínima en todas las categorías de tamaño indica que existe una conciencia básica independientemente de los recursos organizacionales. Este patrón sugiere que un enfoque estructurado y sistemático para el cumplimiento puede ser efectivo en todos los tamaños organizacionales.

  5. El desarrollo de POA&M se correlaciona fuertemente con la madurez general del cumplimiento

    Las organizaciones con análisis de distancia completados tenían más del doble de probabilidades de tener POA&Ms detallados con responsabilidades asignadas y cronogramas (71%) en comparación con aquellas que aún no habían comenzado los análisis de distancia (33%). Este hallazgo destaca el valor operativo práctico de pasar de una conciencia general a una planificación de cumplimiento específica y accionable con responsabilidades y cronogramas claros para las actividades de remediación.

Análisis de Distancia: La Base del Éxito del CMMC

La finalización de un análisis de distancia formal contra los requisitos del NIST SP 800-171 surge de la investigación como la base crítica para todas las actividades de cumplimiento subsiguientes. Las organizaciones que realizan análisis de distancia exhaustivos demuestran tasas significativamente más altas de preparación estructurada para el cumplimiento.

El Impacto de una Evaluación Integral

Entre las organizaciones encuestadas, el 41% informó haber completado un análisis de distancia exhaustivo, mientras que el 37% indicó que su análisis de distancia estaba actualmente en progreso. Más preocupante, el 16% aún no había comenzado pero planeaba comenzar pronto, y el 6% no estaba seguro del estado de su análisis de distancia, lo que sugiere posibles problemas de comunicación o brechas de planificación dentro de esas organizaciones.

Los datos revelan diferencias sorprendentes en la preparación entre las organizaciones centradas en la evaluación y otras:

Las organizaciones con análisis de distancia completados tenían significativamente más probabilidades de haber involucrado ya a socios externos experimentados, con un 62% trabajando con consultores de terceros, Organizaciones Proveedoras Registradas (RPOs) o C3PAOs, en comparación con solo el 40% de las organizaciones con análisis de distancia en progreso y el 21% de aquellas que aún no habían comenzado. Este patrón sugiere que los análisis de distancia exhaustivos ayudan a las organizaciones a reconocer las complejidades del cumplimiento y el valor de la experiencia especializada externa.

La correlación entre la finalización del análisis de distancia y la madurez de la documentación revela otro patrón crítico. Las organizaciones con análisis de distancia completados informaron tasas más altas de políticas y procedimientos de ciberseguridad completamente documentados (73%) en comparación con aquellas con análisis en progreso (44%) o aún no comenzados (28%). Esta correlación destaca cómo los análisis de distancia impulsan mejoras concretas en la documentación al identificar deficiencias específicas que requieren remediación.

El estado del análisis de distancia también se correlaciona fuertemente con la implementación de cifrado. Entre las organizaciones con análisis de distancia completados, el 77% informó seguir estándares de cifrado documentados con verificación de implementación. Este porcentaje cae al 63% para las organizaciones con análisis de distancia en progreso y solo al 42% para las organizaciones que aún no habían comenzado. Estas diferencias enfatizan el papel de los análisis de distancia en la identificación y conducción de la remediación de deficiencias específicas de control técnico.

El desarrollo del Plan de Acción e Hitos (POA&M) muestra quizás la correlación más fuerte con el estado del análisis de distancia. Las organizaciones con análisis de distancia completados tenían más del doble de probabilidades de tener POA&Ms detallados con responsabilidades asignadas y cronogramas (71%) en comparación con aquellas que aún no habían comenzado los análisis de distancia (33%). Este hallazgo subraya el valor operativo práctico de los análisis de distancia en la estructuración de los esfuerzos de remediación.

Enfoques de Análisis de Distancia por Tamaño de Organización

La encuesta también reveló patrones interesantes en la relación entre la finalización del análisis de distancia y el tamaño organizacional:
Las organizaciones grandes (más de 10,000 empleados) informaron la tasa más alta de análisis de distancia completados con un 47%, en comparación con el 40% para organizaciones medianas (500-9,999 empleados) y el 38% para organizaciones pequeñas (<500 empleados). Sin embargo, las organizaciones medianas mostraron el porcentaje más alto de análisis de distancia en progreso (42%), lo que sugiere un compromiso activo con los requisitos de cumplimiento pero posibles limitaciones de recursos para completar las evaluaciones.

Los datos de la encuesta dejan claro que las organizaciones en diferentes etapas de finalización del análisis de distancia enfrentan desafíos de preparación para el CMMC significativamente diferentes. Las organizaciones que no han completado los análisis de distancia tienden a luchar con preguntas fundamentales sobre la aplicabilidad y el alcance de los requisitos, mientras que aquellas con análisis completados se centran más en desafíos específicos de implementación técnica y asignación de recursos. Esta progresión subraya el papel crítico de los análisis de distancia en mover a las organizaciones de una conciencia general a esfuerzos de cumplimiento específicos y dirigidos.

Pronóstico de Tendencias de Seguridad de Datos y Cumplimiento en 2025

Madurez de la Documentación: El Vínculo Crítico para la Implementación

Los resultados de la encuesta revelan una relación fundamental entre la madurez de la documentación de ciberseguridad de una organización y su efectividad en la implementación de controles de seguridad específicos requeridos para el CMMC 2.0 Nivel 2. La madurez de la documentación sirve tanto como un indicador de la gobernanza general de ciberseguridad como una base práctica para la implementación consistente de controles.

Estado de la Documentación en la DIB

Entre las organizaciones encuestadas:

  • El 61% informó tener políticas y procedimientos de ciberseguridad completamente documentados y actualizados regularmente
  • El 32% indicó documentación parcial con actualizaciones en curso
  • El 2% informó documentación mínima con planes para actualizaciones significativas
  • El 5% no estaba seguro del estado de su documentación

Estas cifras sugieren que, si bien la mayoría de las organizaciones de la DIB reconocen la importancia de la documentación integral, una porción significativa aún enfrenta brechas de documentación que pueden afectar su preparación para la certificación.

La encuesta reveló variaciones interesantes en la madurez de la documentación según el tamaño de la empresa. Las organizaciones grandes (más de 10,000 empleados) informaron la tasa más alta de políticas completamente documentadas con un 68%, en comparación con el 63% para organizaciones medianas (500-9,999 empleados) y el 58% para organizaciones pequeñas (<500 empleados). Sin embargo, el porcentaje de organizaciones con documentación mínima o incierta se mantuvo consistentemente bajo en todas las categorías de tamaño (3%-4%), lo que sugiere que existe una conciencia básica de documentación independientemente de los recursos organizacionales.

La Documentación como Predictor de Seguridad

La correlación entre la madurez de la documentación y la efectividad de la implementación de seguridad emerge como uno de los hallazgos más significativos de la investigación. Esta relación es particularmente evidente en dominios de seguridad críticos:

La correlación entre la madurez de la documentación y la implementación de cifrado destaca como particularmente significativa. Entre las organizaciones con políticas y procedimientos completamente documentados, el 83% informó seguir estándares de cifrado documentados con verificación de implementación. Este porcentaje cae dramáticamente al 49% para las organizaciones con políticas parcialmente documentadas y al 0% para aquellas con documentación mínima.

Aún más revelador, las organizaciones con documentación mínima tenían 30 veces más probabilidades de reportar cifrado inconsistente de CUI (60%) en comparación con las organizaciones con políticas completamente documentadas (2%). Estas diferencias marcadas destacan cómo la documentación integral crea la base para la implementación consistente y verificable de controles de seguridad.

Los controles de acceso de terceros muestran patrones similares relacionados con la madurez de la documentación. De las organizaciones con políticas completamente documentadas, el 75% informó tener controles y sistemas avanzados para asegurar que terceros solo puedan acceder a CUI autorizado. Este porcentaje disminuye al 56% para las organizaciones con políticas parcialmente documentadas y solo al 20% para aquellas con documentación mínima. Este patrón demuestra cómo las prácticas de documentación madura apoyan la implementación de controles técnicos complejos que requieren definiciones claras, procesos y mecanismos de verificación.

La madurez de la documentación también se correlaciona fuertemente con la participación de las partes interesadas en los esfuerzos de preparación para el CMMC. Las organizaciones con políticas completamente documentadas tenían más del doble de probabilidades de informar enfoques altamente colaborativos con reuniones regulares entre funciones (56%) en comparación con aquellas con políticas parcialmente documentadas (26%). Esta relación destaca cómo las prácticas de documentación madura tanto requieren como facilitan un compromiso organizacional más amplio, creando un ciclo de retroalimentación positivo que mejora la gobernanza general de seguridad.

Las percepciones de la madurez de la documentación variaron notablemente según el rol del respondente, revelando diferencias importantes en cómo las áreas funcionales evalúan la calidad de la documentación. Los CEO/Fundadores informaron la tasa más alta de políticas completamente documentadas (80%), mientras que los Líderes de Ciberseguridad informaron una tasa significativamente más baja (54%). Esta disparidad sugiere posibles brechas de comunicación o diferencias en los estándares de evaluación, con los especialistas técnicos probablemente aplicando criterios más rigurosos que el liderazgo ejecutivo. Los encuestados COO informaron la tasa más baja de políticas completamente documentadas (33%) y la tasa más alta de documentación parcial (67%), posiblemente reflejando preocupaciones operativas sobre los desafíos de implementación de políticas.

La relación entre la madurez de la documentación y el desarrollo del Plan de Acción e Hitos (POA&M) proporciona otro indicador del papel de la documentación en enfoques de cumplimiento estructurados. Las organizaciones con políticas completamente documentadas tenían tres veces más probabilidades de tener POA&Ms detallados con responsabilidades asignadas y cronogramas (67%) en comparación con aquellas con políticas parcialmente documentadas (22%). Este patrón sugiere que las prácticas de documentación madura facilitan la transición de una conciencia general a una planificación de cumplimiento específica y accionable.

Puntos Clave del Cumplimiento del CMMC 2.0: Construyendo Tu Base para el Éxito de la Certificación

La investigación de Kiteworks y Coalfire ofrece evidencia convincente de que las organizaciones que adoptan enfoques de cumplimiento estructurados logran resultados superiores en todas las dimensiones de seguridad. Los datos demuestran claramente que los análisis de distancia proporcionan la base esencial para el éxito del cumplimiento, con organizaciones que completan evaluaciones integrales logrando resultados notablemente mejores en documentación, implementación de cifrado y controles de terceros.

Igualmente importante, la investigación revela la madurez de la documentación como un predictor crítico de la efectividad de la implementación de seguridad. Las organizaciones con documentación robusta muestran un rendimiento dramáticamente más fuerte en la implementación de controles técnicos, sugiriendo que el desarrollo integral de políticas representa un paso fundamental en el viaje de cumplimiento.

Para las organizaciones que comienzan su preparación para el CMMC 2.0 Nivel 2, el mensaje es claro: comienza con una evaluación exhaustiva de la postura de seguridad actual contra los 110 controles del NIST SP 800-171 y prioriza el desarrollo integral de la documentación. Aquellas que ya están en progreso deben evaluar la madurez de su documentación y asegurar la alineación entre las percepciones ejecutivas y la realidad técnica.

Preguntas Frecuentes

1.El análisis de distancia sirve como la base crítica para todas las actividades de cumplimiento subsiguientes, con la investigación mostrando que las organizaciones que completan análisis de distancia exhaustivos tienen un 73% más de probabilidades de tener políticas de ciberseguridad completamente documentadas. Los datos revelan que las organizaciones con análisis de distancia completados también demuestran tasas significativamente más altas de implementación de cifrado (77% frente al 42%) y POA&Ms detallados con responsabilidades asignadas (71% frente al 33%), destacando cómo las evaluaciones integrales impulsan mejoras concretas al identificar deficiencias específicas que requieren remediación.

La madurez de la documentación sirve tanto como un indicador de la gobernanza general de ciberseguridad como una base práctica para la implementación consistente de controles, con organizaciones que tienen políticas completamente documentadas implementando estándares de cifrado a tasas dramáticamente más altas (83%) en comparación con aquellas con documentación parcial (49%). La investigación revela que las organizaciones con documentación mínima tienen 30 veces más probabilidades de reportar cifrado inconsistente de CUI, demostrando cómo la documentación integral crea la base necesaria para la implementación verificable de controles de seguridad.

La encuesta reveló brechas significativas de percepción, con los CEO/Fundadores informando una madurez de la documentación mucho más alta (80%) que los Líderes de Ciberseguridad (54%), lo que sugiere posibles fallas de comunicación entre los equipos técnicos y el liderazgo. Los encuestados COO informaron la tasa más baja de políticas completamente documentadas (33%) y la tasa más alta de documentación parcial (67%), posiblemente reflejando preocupaciones operativas sobre los desafíos de implementación de políticas que pueden no ser completamente visibles para otros roles de liderazgo.

Las organizaciones grandes (más de 10,000 empleados) informaron la tasa más alta de análisis de distancia completados con un 47% y políticas completamente documentadas con un 68%, en comparación con las organizaciones pequeñas (<500 empleados) con un 38% y un 58%, respectivamente. Sin embargo, las organizaciones medianas mostraron el porcentaje más alto de análisis de distancia en progreso (42%), lo que sugiere un compromiso activo con los requisitos de cumplimiento pero posibles limitaciones de recursos para completar las evaluaciones, mientras que la tasa consistentemente baja de documentación mínima en todas las categorías de tamaño (3-4%) indica que existe una conciencia básica de documentación independientemente de los recursos organizacionales.

Las organizaciones deben comenzar con una evaluación exhaustiva de la postura de seguridad actual contra los 110 controles del NIST SP 800-171, ya que la investigación muestra que este análisis de distancia integral proporciona la base esencial para todas las actividades de cumplimiento subsiguientes. El segundo paso crítico es priorizar el desarrollo integral de la documentación, que la investigación revela como un predictor fundamental de la efectividad de la implementación de seguridad en todas las dimensiones de seguridad, desde la implementación de cifrado hasta los controles de acceso de terceros.

Recursos Adicionales

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

まずは試してみませんか?

Kiteworksを利用すれば、規制コンプライアンスの確保やリスク管理を簡単かつ効果的に始められます。すでに多くの企業に我々のコンテンツ通信プラットフォームを安心して活用してもらっています。ぜひ、以下のオプションからご相談ください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks