Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

La información no clasificada controlada (CUI) en CMMC y qué significa

Inicio Glosario La información no clasificada controlada (CUI) en CMMC y qué significa

La información no clasificada controlada (CUI) bajo CMMC es información que el gobierno determina que requiere protección o controles de difusión. No tiene la protección legal de la información clasificada, pero está sujeta a regulaciones y requisitos para su protección, control y uso. Incluye información no especificada como relacionada con inteligencia, aplicación de la ley o seguridad nacional y generalmente se etiqueta en forma de etiquetas, marcas o leyendas. CUI es uno de los dos tipos principales de información que el CMMC existe para proteger. El otro es la información sobre contratos federales (FCI).

CMMC CUI y lo que significa

¿Qué es CMMC?

CMMC significa Certificación del Modelo de Madurez de Ciberseguridad. Inicialmente, un programa de certificación de cinco niveles iniciado por el Departamento de Defensa (DoD) para asegurar la cadena de suministro y los datos del DoD, el marco fue remodelado en 2021 para consolidar los niveles en tres y se designó como CMMC 2.0. La certificación mide y valida la implementación de prácticas de seguridad que van desde la higiene básica de ciberseguridad hasta la gestión avanzada de amenazas. También incluye medidas como la evaluación del rendimiento y las capacidades organizacionales.

CUI debe ser protegida por estatuto o política nacional. Incluye datos gubernamentales y empresariales que son sensibles pero no clasificados. CUI incluye información que está sujeta a divulgación o difusión restringida, ya sea porque es sensible o porque está regulada de alguna otra manera. CUI incluye cualquier información que debe ser protegida para prevenir su divulgación no autorizada. Un objetivo principal de CMMC es proteger al DoD contra ciberataques en su vasta cadena de suministro.

Tipos de Información No Clasificada Controlada (CUI)

Hay varios tipos de CUI, y se puede clasificar en dos categorías:

  • CUI Básica: CUI básica es un tipo de CUI que requiere medidas básicas de protección para proteger la información de la divulgación no autorizada. Ejemplos de CUI básica pueden incluir información sobre contratos gubernamentales, información sensible pero no clasificada, o información que requiere protección bajo leyes federales, regulaciones u órdenes ejecutivas.
  • CUI Especificada: CUI especificada es un tipo de CUI que requiere medidas adicionales de protección para proteger la información de la divulgación no autorizada. CUI especificada puede incluir información relacionada con la seguridad nacional, aplicación de la ley, o cualquier otra información que requiera protección bajo leyes o regulaciones específicas.

Algunos ejemplos específicos de CUI incluyen:

  • Información Personal Identificable (PII): Información como nombres, direcciones, números de Seguro Social y datos financieros que podrían usarse para identificar a un individuo.
  • Información de Salud Protegida (PHI): Información de salud que está regulada por la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA).
  • Datos controlados por exportación o de comercio internacional: Datos relacionados con exportaciones, importaciones y comercio internacional.
  • Propiedad Intelectual: Patentes, derechos de autor y marcas registradas.
  • Información Sensible del Contratista: Información relacionada con contratos, subcontratos y ofertas.
  • Información Empresarial Confidencial (PBI), que también se refiere como Información Empresarial Confidencial (CBI).
  • Información Técnica Controlada No Clasificada (UCTI): Información que contiene información militar sensible que no está clasificada pero requiere protección. Ejemplos incluyen planes operativos, tecnologías en desarrollo, equipos esenciales para la misión, métodos de vigilancia y otra información sensible.
  • Sensible Pero No Clasificada (SBU): Información no clasificada que aún se considera sensible y requiere manejo especial. Puede incluir información personal protegida, información empresarial e información gubernamental que requieren seguridad y protección contra la visualización y el acceso no autorizados.

Requisitos de Manejo para la Información No Clasificada Controlada (CUI)

El manejo de CUI requiere medidas específicas para asegurar su protección, incluyendo:

  • Control de Acceso: El acceso a CUI debe estar restringido a individuos con la autorización adecuada y una necesidad de saber.
  • Almacenamiento: CUI debe almacenarse en un lugar seguro y protegido con medidas de seguridad físicas o electrónicas.
  • Difusión: CUI debe difundirse solo a individuos con la autorización adecuada y una necesidad de saber.
  • Destrucción: CUI debe destruirse cuando ya no se necesite o cuando lo requiera la ley o regulación.

¿Por qué es importante proteger la Información No Clasificada Controlada (CUI)?

La protección de CUI es importante por varias razones, incluyendo:

  • Seguridad Nacional: La divulgación no autorizada de CUI puede causar un daño significativo a la seguridad nacional.
  • Privacidad: La divulgación no autorizada de PII puede causar daño a la privacidad de los individuos y puede llevar al robo de identidad.
  • Intereses Económicos: La divulgación no autorizada de información empresarial confidencial puede causar un daño significativo a los intereses económicos de una empresa.

Protección de CMMC CUI: Niveles 1, 2 y 3 de CMMC 2.0

La Certificación del Modelo de Madurez de Ciberseguridad (CMMC) es un conjunto de estándares y mejores prácticas para proteger CUI. Es utilizada por el Departamento de Defensa de los Estados Unidos (DoD) y otras agencias gubernamentales para asegurar que los contratistas tomen en serio la protección de CUI. CMMC 2.0 consta de tres niveles de evaluación para organizaciones que buscan la certificación para proteger CUI:

  • Nivel 1: Fundamental. Este nivel de protección requiere la implementación de medidas básicas de ciberseguridad, como gestión de identidades, control de acceso y protección de datos.
  • Nivel 2: Avanzado. Este nivel de protección incluye medidas de seguridad más avanzadas, como autenticación del sistema y cifrado.
  • Nivel 3: Experto. Este nivel de protección incluye las medidas de seguridad más avanzadas, como monitoreo continuo y planes de respuesta a incidentes de seguridad.

¿Cómo sé si tengo CUI en mi entorno?

CUI puede encontrarse en muchos lugares diferentes, incluidos bases de datos, redes, sitios web y documentos. Para identificar CUI en un entorno, es importante entender dónde se almacenan los datos y quién tiene acceso a ellos. Fuentes comunes de CUI incluyen listas de clientes, registros financieros y planes de negocios. Además, CUI puede encontrarse en correos electrónicos, mensajes de texto y otras comunicaciones.

¿Qué tipo de CUI tengo?

Una vez que hayas identificado CUI en tu entorno, es importante determinar qué tipo de CUI es. CUI se divide en varias categorías, incluyendo PII, PHI, datos controlados por exportación, propiedad intelectual, información sensible del contratista e información sensible de seguridad nacional que no está clasificada. Cada categoría de CUI requiere su propio conjunto de protecciones.

¿Cómo protejo CUI y cumplo con los requisitos de cumplimiento?

CUI puede contener información confidencial, sensible y/o propietaria: datos que deben protegerse a toda costa. Como se señaló anteriormente, es fundamental proteger CUI y cumplir con los requisitos de cumplimiento, ya que no hacerlo puede resultar en pérdidas financieras y, peor aún, pérdida de confianza por parte de clientes, proveedores y empleados.

El primer paso para proteger CUI y cumplir con los requisitos de cumplimiento es determinar las leyes y regulaciones aplicables a los datos en tu organización. Es importante tener una comprensión clara de estos estándares, incluidos los riesgos y vulnerabilidades asociados con tu industria específica. Una vez que hayas identificado los estándares aplicables, las organizaciones deben implementar medidas apropiadas para proteger CUI. Este proceso debe incluir una gama de medidas de seguridad técnicas, físicas y administrativas, como cifrado, protección contra malware, copias de seguridad seguras y protección con contraseña. Además, deben establecerse políticas de acceso para controlar quién puede acceder y modificar CUI, así como para instituir procesos para rastrear, registrar e informar sobre CUI.

Las organizaciones también deben tener un sistema en su lugar para la gestión de incidentes y vulnerabilidades para asegurar que cualquier problema de seguridad o exposición a CUI se aborde rápidamente. Los planes de respuesta a incidentes deben incluir procesos para responder a incidentes, recopilar y analizar evidencia, y mitigar cualquier daño. También se deben realizar revisiones y pruebas de seguridad regulares para validar la efectividad de las medidas de seguridad actuales e identificar áreas de mejora.

Al tomar las medidas necesarias para proteger CUI y cumplir con los requisitos de cumplimiento, las organizaciones pueden asegurar que sus datos estén seguros y que sus operaciones permanezcan en cumplimiento con las leyes aplicables. Hacerlo es crítico para la reputación de una organización y la seguridad de su información.

Pasos adicionales para asegurar que CUI esté debidamente protegida por las organizaciones incluyen:

  • Implementar medidas de ciberseguridad robustas, como gestión de identidades y accesos, cifrado de datos y autenticación multifactor.
  • Establecer protocolos para el manejo de CUI, como limitar el acceso al personal autorizado y monitorear los registros de acceso.
  • Asegurar que todo el personal con acceso a CUI esté debidamente capacitado en procedimientos de protección de CUI.

Por qué la Red de Contenido Privado de Kiteworks es clave para proteger datos sensibles como CUI

Cada día, las organizaciones enfrentan desafíos cada vez mayores para mantener seguros los datos sensibles como CUI de terceros malintencionados, ciberataques y violaciones de datos. Para asegurar la seguridad de estos datos sensibles, Kiteworks ofrece una Red de Contenido Privado (PCN) que unifica, rastrea, controla y asegura las comunicaciones de contenido sensible con una gobernanza integral de seguridad y cumplimiento. Las organizaciones pueden controlar quién ve el contenido, quién puede editarlo, quién puede enviarlo y compartirlo, a quién y dónde puede enviarse y compartirse, desde qué dispositivos puede verse, editarse, enviarse y compartirse, y dónde puede enviarse y compartirse.

Kiteworks utiliza un dispositivo virtual reforzado para proteger las comunicaciones de contenido sensible de cibercriminales malintencionados y estados nacionales deshonestos. Su uso de capas de seguridad que abarcan cifrado doble AES-256 a nivel de archivo y volumen de disco hace extremadamente difícil que un ciberataque acceda a cualquier contenido. Debido al nivel de seguridad que emplea Kiteworks, la vulnerabilidad y la gravedad del impacto de las vulnerabilidades se reducen drásticamente.

Kiteworks unifica las comunicaciones de datos de archivos y correos electrónicos en una sola plataforma que ofrece seguimiento y controles consolidados para gestionar envíos, comparticiones, recepciones, colaboraciones y almacenamiento de contenido. Con correo electrónico, uso compartido seguro de archivos, transferencia de archivos administrada, formularios web y interfaces de programación de aplicaciones (APIs) consolidadas en una plataforma, las organizaciones logran mejoras dramáticas en cumplimiento operativo, eficiencias y seguridad.

El cifrado de datos es un elemento clave del PCN de Kiteworks. Protege los datos sensibles codificándolos para que solo las personas autorizadas puedan acceder a ellos. Además, ni Kiteworks ni los proveedores de la nube tienen acceso a tu gestión de claves y cifrado. Los clientes de Kiteworks retienen la propiedad total y el acceso a sus claves de cifrado. Las agencias gubernamentales, abogados y tribunales no pueden acceder a tu contenido sensible en Kiteworks a través de medidas legales.

Descubre Cómo Kiteworks Ofrece una Red de Contenido Privado viendo nuestro video explicativo. O simplemente solicita una demostración personalizada para aprender cómo puedes proteger CUI bajo el Nivel 2 de CMMC con Kiteworks, que soporta casi el 90% de los requisitos del Nivel 2 de CMMC 2.0 de manera predeterminada.

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談
Compartir
Twittear
Compartir
Explore Kiteworks