Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

CMMC 1.0 vs. CMMC 2.0: Qué ha cambiado y qué significa para tu negocio

Inicio Glosario CMMC 1.0 vs. CMMC 2.0: Qué Ha Cambiado y Qué Significa para Tu Negocio

La Certificación del Modelo de Madurez de Ciberseguridad (CMMC) es un conjunto de estándares y prácticas de ciberseguridad que las organizaciones en la Base Industrial de Defensa (DIB) deben implementar para proteger sus datos empresariales. Introducida por el Departamento de Defensa de EE. UU. (DoD) en 2020, CMMC fue diseñada para proteger la confidencialidad de la información sobre contratos federales (FCI)y la información no clasificada controlada (CUI).

El proceso de certificación CMMC es arduo, pero nuestra hoja de ruta para el cumplimiento de CMMC 2.0 puede ayudar.

Debido a la sensibilidad de la información manejada por las empresas que contratan con el Departamento de Defensa (DoD), los contratistas y subcontratistas deben lograr el cumplimiento con al menos un nivel del CMMC. Al hacerlo, las organizaciones que operan dentro de la cadena de suministro del DoD deben cumplir y mantener una buena postura de ciberseguridad. La implementación por fases comienza a finales de este año, con el objetivo de una implementación completa para finales de 2025.

CMMC 1.0 vs. CMMC 2.0

¿Qué es CMMC?

La Certificación del Modelo de Madurez de Ciberseguridad, o CMMC, es un conjunto unificado de estándares y prácticas de ciberseguridad aplicables a todos los contratistas del DoD. Proporciona un conjunto unificado de requisitos que las organizaciones deben cumplir para proteger FCI y CUI de accesos y modificaciones no autorizadas. CMMC está diseñado para asegurar que los contratistas del DoD cumplan con las regulaciones gubernamentales de ciberseguridad y prevenir el manejo y la difusión no autorizada de contenido sensible.

¿Por qué es importante?

CMMC es importante por dos razones. Primero, proporciona a las organizaciones un marco para cumplir con los estándares de ciberseguridad del DoD. Segundo, ayuda a las organizaciones a proteger la confidencialidad de FCI y CUI. Esto es importante para los contratistas del DoD, ya que el acceso o modificación no autorizada de FCI y CUI podría resultar en repercusiones financieras, reputacionales y legales significativas.

De CMMC 1.0 a CMMC 2.0

En noviembre de 2021, el DoD anunció que implementaría CMMC 2.0 en lugar de CMMC 1.0. Este marco actualizado implementa varios cambios para aumentar la higiene cibernética de todos los contratistas que poseen o participan en contratos del DoD. El DoD anunció que se involucraría en la elaboración de normas durante los siguientes 9 a 24 meses, lo que hace crítico que los contratistas y subcontratistas federales se preparen para la implementación de CMMC 2.0 para que puedan lograr el cumplimiento.

CMMC 1.0, lanzado en 2020, incluye dominios de control y prácticas de seguridad, que se dividen en cinco niveles de madurez de seguridad que van desde la higiene cibernética básica (Nivel 1) hasta avanzada/progresiva (Nivel 5). CMMC 2.0 redujo los niveles de madurez de 5 a 3. CMMC 2.0 eliminó los Niveles 2 y 4. El Nivel de Madurez 1 permaneció sin cambios. Todavía tiene 17 requisitos de práctica que se alinean con las 15 prácticas de ciberseguridad en la Cláusula FAR 52.204-21.

CMMC 2.0 Nivel 2 toma el lugar del anterior Nivel de Madurez 3, pero sin las 20 prácticas delta, alineando este nivel con las 110 prácticas de NIST SP 800-171. CMMC 2.0 Nivel 3 todavía está en desarrollo basado en un subconjunto de NIST 800-172. Toma el lugar de los anteriores Niveles de Madurez 4 y 5.

CMMC 1.0 vs. CMMC 2.0: Principales Diferencias

Algunas de las principales diferencias que vinieron con la introducción de CMMC 2.0 desde CMMC 1.0 incluyen:

Niveles de Certificación

El modelo CMMC 1.0 estableció cinco niveles de certificación, mientras que el modelo CMMC 2.0 ha consolidado los niveles de certificación a tres. Los niveles de certificación son críticos para determinar los requisitos de seguridad para el contrato específico.

Para CMMC 2.0, Nivel 1 (Fundacional) es necesario para los contratistas y subcontratistas del DoD que manejan FCI. CMMC 2.0 Nivel 1 requiere que las organizaciones se adhieran a prácticas básicas de ciberseguridad enfocadas en proteger FCI, como se especifica en la Cláusula FAR 52.204-21.

CMMC 2.0 Nivel 2 (Avanzado) requiere que las organizaciones tengan prácticas de ciberseguridad más robustas en su lugar, como control de acceso, respuesta a incidentes y protección de medios. Este nivel está diseñado para proteger la integridad y disponibilidad de CUI de amenazas más sofisticadas. El nivel Avanzado está alineado con el Instituto Nacional de Estándares y Tecnología SP 800-171 (NIST 800-171). Este nivel requiere evaluaciones trienales de terceros por una Organización Evaluadora de Terceros CMMC (C3PAO).

Nivel 3 (Experto) es el nivel más alto de CMMC y requiere la implementación de prácticas avanzadas como el endurecimiento del sistema y la recuperación de datos. Este nivel está diseñado para proteger la confidencialidad, integridad y disponibilidad de CUI de amenazas persistentes avanzadas. La información sobre el Nivel 3 se publicará más adelante y contendrá un subconjunto de los requisitos de seguridad especificados en NIST SP 800-172.

Estructura de Dominios

El número de dominios de seguridad incluidos en el modelo CMMC 2.0 ha aumentado significativamente en comparación con el modelo CMMC 1.0. Los dominios adicionales se relacionan más estrechamente con las operaciones diarias e incluyen temas como Respuesta a Incidentes, Detección de Anomalías, Gestión de Riesgos de la Cadena de Suministro y Planificación de Seguridad del Sistema. Estos nuevos dominios proporcionan una visión más completa de las operaciones de un contratista y ofrecen más garantías de la seguridad de sus activos.

Evaluadores de Terceros

El modelo CMMC 2.0 requiere el uso de C3PAO para el Nivel 2 y el Nivel 3. A las C3PAO se les confía la evaluación y certificación de que las empresas en la cadena de suministro de DIB han cumplido con los requisitos de ciberseguridad del estándar CMMC. Sus responsabilidades incluyen evaluar y emitir certificados de adherencia al estándar CMMC.

Mejores Prácticas para Lograr el Cumplimiento de CMMC 2.0

Para que una organización cumpla con éxito y sea certificada para cualquiera de los tres niveles de cumplimiento de CMMC 2.0, necesita seguir algunas mejores prácticas, que incluyen:

Implementación de Controles de Seguridad

El primer paso para lograr el cumplimiento de CMMC 2.0 es implementar controles de seguridad. Para comenzar, las organizaciones deben identificar sus requisitos de cumplimiento actuales y establecer una evaluación de riesgos base que describa el alcance de los controles de seguridad que deben implementarse. Los controles de seguridad deben adaptarse a las necesidades específicas de una organización, asegurándose de que todos los sistemas y procesos estén cubiertos. Las organizaciones deben considerar las medidas técnicas y procedimentales necesarias para proteger la información y los sistemas, como el control de acceso, la gestión de identidad y autenticación, la gestión de configuración, la segregación de funciones, la seguridad de datos, el parcheo del sistema y la gestión de vulnerabilidades, la capacitación en seguridad y los planes de respuesta a incidentes.

Realización de Monitoreo Continuo

Una vez que los controles de seguridad están en su lugar, las organizaciones deben asegurarse de que se monitoreen continuamente. El monitoreo continuo implica evaluar regularmente el entorno para asegurar la efectividad de los controles de seguridad implementados y que las amenazas actuales se identifiquen y aborden de manera oportuna. Las organizaciones deben desarrollar un proceso para identificar, evaluar y remediar cualquier problema que pueda surgir durante las actividades de monitoreo. Este proceso debe incluir medidas para documentar cualquier incidente de seguridad, revisar actividades y tendencias de seguridad, y tomar acciones apropiadas cuando sea necesario.

Establecimiento de Planes de Respuesta a Incidentes

Las organizaciones también deben establecer un plan de respuesta a incidentes antes de intentar el cumplimiento de CMMC 2.0. Este plan debe delinear los pasos que tomará una organización si experimenta un incidente de seguridad, como los tipos de incidentes que desencadenarán una respuesta, los roles y responsabilidades del personal involucrado, los procesos a seguir y las actividades de comunicación apropiadas. También es importante que las organizaciones desarrollen un plan para recuperarse de un incidente de seguridad, incluyendo la identificación de los datos y sistemas a restaurar, los pasos necesarios para restaurarlos y el personal que debe ser notificado. Además, las organizaciones deben asegurarse de revisar y actualizar regularmente sus planes de respuesta a incidentes para garantizar que estén actualizados y sean efectivos.

Documentación del Cumplimiento

Las organizaciones deben documentar sus procesos y actividades para demostrar el cumplimiento con CMMC 2.0. La documentación debe incluir cualquier política de seguridad, procedimientos y actividades de capacitación; planes de respuesta a incidentes; y resultados de evaluaciones. Es importante asegurar que toda la documentación sea precisa, esté actualizada y sea fácilmente accesible. Las organizaciones también deben asegurarse de que todo el personal esté familiarizado con la documentación, incluyendo cómo usarla y qué cubre. Además, las organizaciones deben desarrollar procedimientos para asegurar que la documentación se revise y actualice regularmente para mantenerse al día con los cambios en el entorno.

Preguntas Frecuentes

¿Por qué es importante el cumplimiento de CMMC?

El DoD exige que todos los contratistas cumplan con los requisitos de CMMC para ser elegibles para contratos gubernamentales. Esto asegura que estos contratistas entiendan y estén implementando activamente medidas de protección contra actores maliciosos y violaciones de datos. El cumplimiento de CMMC también es importante para que las organizaciones demuestren su compromiso con la ciberseguridad y demuestren que los datos sensibles de los clientes están debidamente protegidos.

¿Cuáles son los requisitos de seguridad de CMMC?

Los requisitos de seguridad de CMMC son un conjunto de estándares de seguridad diseñados para ayudar a las organizaciones a asegurar sus redes, proteger sus datos y cumplir con las leyes y regulaciones aplicables. Los requisitos se dividen en los tres niveles de CMMC 2.0 descritos anteriormente y cubren áreas como el control de acceso, la gestión de configuración, la respuesta a incidentes, la protección de medios, la protección de sistemas y comunicaciones, la seguridad del personal y la protección física.

¿Cómo difieren los requisitos de CMMC de los requisitos de NIST SP 800-171?

CMMC 2.0 Nivel 2 está alineado con NIST SP 800-171, especificando que las organizaciones en el DIB deben auto-certificarse, ya sea cumpliendo o tomando pasos concretos hacia el cumplimiento. Los Niveles 2 y 3 de CMMC hacen provisiones para que las C3PAO evalúen a las organizaciones y asignen un nivel de madurez basado en el estado de su programa de ciberseguridad. El Nivel 1, el nivel Fundacional, solo requiere autoevaluación.

Acelerando el Cumplimiento de CMMC con Kiteworks

Kiteworks es un proveedor confiable de soluciones de ciberseguridad para agencias federales como el DoD, así como para varios proveedores de DIB que requieren certificación CMMC. Debido a que Kiteworks está autorizado por FedRAMP para Impacto de Nivel Moderado, los proveedores del DoD que usan Kiteworks se benefician del soporte para casi el 90% de los requisitos de CMMC 2.0 Nivel 2 desde el principio. Esto reduce significativamente el tiempo requerido para que los contratistas y subcontratistas del DoD obtengan el cumplimiento de CMMC Nivel 2.

Esto se traduce en resultados positivos cuando un proveedor del DoD pasa por una auditoría de C3PAO. Específicamente, la Red de Contenido Privado de Kiteworks les ayuda a agilizar los procesos y procedimientos de auditoría de CMMC, haciendo que todo el proceso sea más rápido y eficiente. Con el soporte de Kiteworks, los contratistas del DoD pueden proteger su negocio con el DoD obteniendo el cumplimiento de CMMC de manera rápida y fácil.

Programa una demo personalizada para ver la plataforma Kiteworks en acción y cómo puede acelerar tu camino hacia el cumplimiento de CMMC.


Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks