Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

Cumplimiento de CMMC 2.0 Nivel 3: Una Guía Definitiva

Inicio Glosario Cumplimiento de CMMC 2.0 Nivel 3: Una Guía Definitiva

Para cualquier contratista o proveedor del Departamento de Defensa (DoD) que tenga acceso a información no clasificada controlada (CUI), el cumplimiento con la Certificación de Modelo de Madurez de Ciberseguridad (CMMC) 2.0 es esencial. El cumplimiento con CMMC 2.0 permite a los contratistas del sector privado demostrar el más alto nivel posible de ciberseguridad y continuar haciendo negocios con el DoD. CMMC 2.0 Nivel 3, también llamado Experto, se centra en la efectividad de los controles y prácticas de ciberseguridad para proteger la CUI de amenazas persistentes avanzadas (APT). Reemplaza el anterior CMMC 1.0 Nivel 5 y trae consigo una serie de cambios significativos. CMMC 2.0 Nivel 3 se aplica a las empresas que manejan CUI para programas del DoD con la más alta prioridad.

Cumplimiento de CMMC 2.0 Nivel 3: Una Guía Definitiva

Para cualquier contratista u organización que tenga acceso a CUI, el cumplimiento con CMMC 2.0 Nivel 3 es esencial para mantener el más alto nivel posible de ciberseguridad. Este artículo proporcionará una visión general completa de los requisitos de cumplimiento para CMMC 2.0 Nivel 3 y ayudará a asegurar que tu organización comience el camino hacia el cumplimiento con las últimas regulaciones de seguridad.

Cumplimiento de CMMC Nivel 3: Beneficios para el Negocio

El principal beneficio de adherirse a los requisitos de CMMC Nivel 3 es que proporciona al DoD la seguridad necesaria de que la CUI que los contratistas procesan, recopilan, envían, reciben y almacenan está segura y protegida contra el acceso no autorizado. En última instancia, el cumplimiento con CMMC Nivel 3 infunde confianza en la capacidad de una organización para proteger la CUI y demostrar un compromiso con la ciberseguridad. El cumplimiento con los requisitos de CMMC Nivel 3 también puede proporcionar a una organización oportunidades para un mayor acceso a contratos gubernamentales y hacerla un socio potencial más atractivo para empresas en la industria de defensa y con clientes potenciales del sector privado.

¿Es Obligatorio el Cumplimiento de CMMC 2.0 Nivel 3?

No, el cumplimiento de CMMC 2.0 Nivel 3 no es obligatorio. Las organizaciones que hacen negocios con el DoD están obligadas a cumplir con una postura de seguridad mínima según lo establecido por el CMMC, pero el nivel específico de certificación requerido depende de los servicios requeridos por la organización. Las organizaciones pueden lograr diferentes niveles de certificación CMMC, a saber, Nivel 1, 2 o 3, dependiendo de los requisitos de seguridad de sus contratos.

Dominios y Requisitos de CMMC Nivel 3

Para CMMC 2.0 Nivel 3, hay 130 controles requeridos. Estos controles son un medio de gestionar el riesgo que incluye políticas, procedimientos, directrices, prácticas o estructuras organizativas, que pueden ser de naturaleza administrativa, técnica, de gestión o legal, y están especificados por NIST SP 800-171 y FAR 52.204-21. CMMC 2.0 Nivel 3 también contiene 58 prácticas, o actividades técnicas, que son requeridas y realizadas para lograr un nivel específico de madurez en ciberseguridad para una capacidad dada en un dominio. Estas prácticas se encuentran bajo 16 dominios diferentes, listados a continuación, que son un subconjunto de NIST SP 800-172. CMMC 2.0 requiere que el contratista vaya más allá de la mera documentación de procesos y en su lugar tenga un papel activo en la gestión e implementación de los controles para proporcionar el más alto nivel de seguridad posible. Los 16 dominios incluyen:

Control de Acceso

El dominio de Control de Acceso introduce ocho requisitos adicionales bajo CMMC Nivel 3. Incluyen:

  • Medidas de autenticación y cifrado para proteger el acceso inalámbrico
  • Criptografía para salvaguardar la confidencialidad de las sesiones remotas
  • Terminar automáticamente las sesiones de usuario que cumplan con condiciones definidas
  • Monitorear y controlar todo el acceso a través de dispositivos móviles
  • Requerir autorización para la ejecución remota de funciones y acceso a información relacionada con la seguridad
  • Separar los deberes de los individuos para reducir el riesgo de acciones maliciosas. Estas acciones son distintas de la colusión, que no requiere la identificación de amenazas específicas.
  • Prevenir la ejecución de funciones privilegiadas desde cuentas no privilegiadas. Los registros de auditoría deben documentar y analizar todas las funciones privilegiadas.
  • Cifrar CUI en todas las plataformas informáticas

Gestión de Activos

El dominio de Gestión de Activos es un nuevo dominio que tiene una práctica:

  • Definir prácticas y procedimientos específicos para manejar CUI y datos relacionados

Auditoría y Responsabilidad

El dominio de Auditoría y Responsabilidad introduce siete requisitos adicionales bajo CMMC 2.0 Nivel 3, incluyendo:

  • Revisar regularmente todos los eventos registrados y actualizarlos o corregirlos cuando sea necesario
  • Proteger la información relacionada con auditorías y registros de auditoría, de todas las formas de acceso no autorizado, incluyendo especialmente el uso, modificación y eliminación de los mismos
  • Restringir el acceso a las funcionalidades de auditoría a un subconjunto de usuarios privilegiados
  • Correlacionar la revisión y análisis de los registros de auditoría con informes relativos a la investigación y respuesta a actividades ilegales, no autorizadas o de otro modo irregulares
  • Necesitar una alerta en caso de que el proceso de auditoría y/o registro falle
  • Recopilar toda la información relacionada con auditorías en uno o varios repositorios centrales para facilitar la revisión, análisis y toma de decisiones estratégicas sobre la información de auditoría
  • Facilitar el análisis y reporte inmediato bajo demanda con procedimientos eficientes para la reducción de registros de auditoría y generación de informes de auditoría

Conciencia y Capacitación

Solo hay una práctica introducida bajo el dominio de Conciencia y Capacitación en CMMC 2.0 Nivel 3:

  • Proporcionar capacitación sobre conciencia de seguridad que incluya mejores prácticas para monitorear, identificar e informar amenazas internas de otros empleados

Gestión de Configuración

Bajo el dominio de Gestión de Configuración, CMMC 2.0 Nivel 3 introduce tres prácticas adicionales que incluyen:

  • Definir, documentar y aprobar el acceso a todos los sistemas físicos y virtuales. El acceso al sistema debe basarse en la configuración de seguridad actual.
  • Minimizar el acceso mediante restricción, desactivación y prevención. Estos sistemas incluyen hardware, software, funciones y servicios.
  • Denegar el acceso por excepción, comúnmente conocido como lista negra, para prohibir el acceso no autorizado. Habilitar el acceso autorizado con permiso por excepción, también conocido como lista blanca.

Identificación y Autenticación

Hay cuatro requisitos adicionales en el dominio de Identificación y Autenticación bajo CMMC 2.0 Nivel 3:

  • Utilizar autenticación multifactor (MFA) para el acceso local y de red a cuentas privilegiadas. El acceso de red a cuentas no privilegiadas también requiere MFA.
  • Prevenir la reutilización de credenciales de identificación como nombres de usuario por el mismo usuario u otros durante un período definido después de cambios en la cuenta, incluida la terminación
  • Emplear mecanismos de autenticación para el acceso a cuentas privilegiadas y no privilegiadas que sean “resistentes a la repetición”. Estas medidas incluyen criptografía, autenticadores de un solo uso y Seguridad de Nivel de Transporte (TLS).
  • Desactivar credenciales de identificación después de un período de inactividad definido por la organización en la cuenta. Esta acción también debe prevenir la reutilización, según IA.3.085.

Respuesta a Incidentes

Bajo Respuesta a Incidentes, CMMC 2.0 Nivel 3 introduce dos prácticas adicionales:

  • Asegurar que todos los incidentes sean rastreados, documentados e informados a todas las autoridades designadas, ya sean internas o externas a la organización
  • Probar regularmente las capacidades de respuesta a incidentes de la organización

Mantenimiento

El dominio de Mantenimiento tiene dos requisitos adicionales bajo CMMC 2.0 Nivel 3:

  • Sanitizar equipos transportados fuera del sitio para mantenimiento eliminando toda la CUI, incluidas trazas y otras posibles vías de acceso no autorizado a la CUI
  • Monitorear todos los medios que contengan programas de diagnóstico o prueba para asegurar que estén libres de todas las formas de código malicioso antes de instalarlos o usarlos en sistemas organizacionales

Protección de Medios

Hay cuatro adiciones a la Protección de Medios bajo CMMC 2.0 Nivel 3:

  • Marcar o codificar cualquier medio que contenga CUI destinado a distribución limitada
  • No permitir el uso de dispositivos de almacenamiento portátiles con propiedad u origen inciertos
  • Usar criptografía o salvaguardias físicas para proteger la confidencialidad de la CUI almacenada en medios digitales, especialmente durante el transporte
  • Restringir el acceso a medios que contengan CUI. Mantener la responsabilidad de estos medios durante el transporte a áreas no controladas por la organización.

Protección Física

Hay una práctica bajo Protección Física en CMMC 2.0 Nivel 3:

  • Expandir las salvaguardias físicas para la CUI a todos los sitios de trabajo alternativos

Recuperación

El dominio de Recuperación tiene una práctica bajo CMMC 2.0 Nivel 3:

  • Realizar regularmente copias de seguridad de datos robustas y resilientes según los protocolos y horarios definidos por las necesidades de seguridad de la organización y los medios de almacenamiento

Gestión de Riesgos

Hay tres adiciones a la Gestión de Riesgos bajo CMMC 2.0 Nivel 3:

  • Realizar evaluaciones de riesgos periódicas que identifiquen y prioricen riesgos según los criterios definidos por la organización, incluidas categorías y fuentes
  • Desarrollar e implementar planes para mitigar esos riesgos a medida que se identifican
  • Gestionar productos por separado si no son compatibles con los proveedores. Imponer restricciones de acceso a estos productos y usarlos independientemente de otros activos para reducir la propagación de malware.

Evaluación de Seguridad

Hay dos adiciones a la Evaluación de Seguridad bajo CMMC 2.0 Nivel 3:

  • Monitorear los controles de seguridad existentes para asegurar su eficacia y seguridad continuas
  • Emplear evaluaciones de seguridad independientes específicas para software desarrollado internamente para uso interno si se identifica como un riesgo

Conciencia Situacional

El dominio de Conciencia Situacional se introduce bajo CMMC 2.0 Nivel 3 y tiene una práctica:

  • Recopilar, analizar y compartir inteligencia relevante sobre amenazas cibernéticas de fuentes externas con las partes interesadas, incluidos informes y foros de buena reputación

Sistema y Comunicaciones

Para Sistema y Comunicaciones, los requisitos adicionales bajo CMMC 2.0 Nivel 3 incluyen:

  • Usar criptografía conforme a los Estándares Federales de Procesamiento de Información (FIPS) para proteger la CUI
  • Asegurar que la seguridad de la información sea efectiva y eficiente en todos los elementos del sistema de información
  • Separar completamente el acceso a funcionalidades de usuario y la gestión del sistema
  • Prevenir transferencias inseguras de información sensible con recursos del sistema compartidos interna y externamente, incluidas transferencias no intencionadas y no autorizadas
  • Implementar un enfoque de lista blanca para el tráfico de comunicaciones de red, lo que significa que dicho tráfico está denegado por defecto y permitido solo por excepción
  • Terminar las conexiones de red relacionadas con la comunicación inmediatamente al final de la sesión o después de un período de inactividad definido por la organización
  • Mantener claves criptográficas para toda la criptografía utilizada en todos los sistemas
  • Monitorear y controlar estrictamente el uso de códigos móviles
  • Monitorear estrictamente el uso de la tecnología de Voz sobre Protocolo de Internet (VoIP)
  • Prevenir la ocurrencia potencialmente peligrosa de “túnel dividido”, en la cual dispositivos remotos establecen simultáneamente una conexión no remota con los sistemas de la organización y una conexión a recursos en redes externas
  • Usar criptografía o salvaguardias físicas para prevenir la divulgación no autorizada de CUI, especialmente durante la transmisión o transporte
  • Asegurar la autenticidad de las comunicaciones a través de sesiones
  • Asegurar la protección de la CUI mientras está en almacenamiento o en alguna otra capacidad pasiva
  • Usar servicios robustos de filtrado de Sistema de Nombres de Dominio (DNS)
  • Desarrollar y hacer cumplir una política que restrinja la publicación de CUI en medios y plataformas externas accesibles públicamente, como foros y redes sociales

Integridad del Sistema e Información

Este es un dominio introducido bajo CMMC 2.0 Nivel 3 y tiene tres prácticas:

  • Desplegar mecanismos para detectar spam y proteger contra él en todos los puntos de entrada, salida y acceso a los sistemas de información de la organización
  • Usar todos los recursos disponibles para detectar y prevenir la falsificación de documentos
  • Implementar técnicas de sandboxing para detectar, filtrar, bloquear o de otro modo prevenir comunicaciones de correo electrónico maliciosas y sospechosas

Desafíos del Cumplimiento de CMMC Nivel 3

Los desafíos comunes en la implementación de los requisitos de CMMC Nivel 3 incluyen una comprensión insuficiente de los procesos de seguridad, dificultad para evaluar controles de seguridad específicos, dificultad para implementar controles técnicos y dificultad para obtener o mantener personal capacitado en las áreas requeridas. Además, las organizaciones pueden enfrentar desafíos en el desarrollo de políticas, procedimientos y procesos que cumplan con los requisitos de CMMC Nivel 3, y asegurar que todas las partes interesadas comprendan sus roles y responsabilidades en asegurar la postura de seguridad de la organización.

Superando los Desafíos de CMMC 2.0 Nivel 3

Las organizaciones pueden superar los desafíos asociados con la implementación de los requisitos de CMMC Nivel 3 desarrollando un plan de seguridad integral, invirtiendo en capacitación y educación en seguridad para el personal, aprovechando recursos externos, utilizando soluciones automatizadas y/o subcontratando proveedores de servicios para ayudar con la implementación, y manteniendo informadas a las partes interesadas. Además, las organizaciones deben monitorear regularmente la postura de seguridad de la organización para asegurar el cumplimiento y abordar cualquier área que pueda requerir atención adicional. Las organizaciones también deben adoptar un enfoque proactivo hacia la seguridad y deben priorizar la respuesta a amenazas y vulnerabilidades identificadas durante su proceso de evaluación de seguridad.

Riesgos de Incumplimiento de CMMC 2.0 Nivel 3

Si una organización no cumple con los requisitos de CMMC 2.0 Nivel 3, puede llevar a la pérdida de acceso a contratos gubernamentales, y la organización puede estar sujeta a sanciones y multas. Además, el incumplimiento de los requisitos puede llevar a un daño reputacional y a la pérdida de confianza en la capacidad de la organización para asegurar la CUI y otros contenidos sensibles.

Kiteworks Acelera el Tiempo para Lograr el Cumplimiento de CMMC 2.0 para Proveedores del DoD

La Red de Contenido Privado (PCN) de Kiteworks está Autorizada por FedRAMP para Impacto de Nivel Moderado. Como resultado, la PCN de Kiteworks ayuda a los contratistas y subcontratistas del DoD a demostrar el cumplimiento de CMMC 2.0. De hecho, Kiteworks satisface casi 90 de los requisitos de práctica de CMMC Nivel 2. Otros proveedores de cumplimiento sin certificación autorizada por FedRAMP no pueden lograr este nivel de cumplimiento. Por lo tanto, Kiteworks acelera el tiempo que tardan los proveedores del DoD en lograr el cumplimiento de CMMC Nivel 2.

Usando un enfoque de confianza cero definida por contenido, respaldado por una plataforma autorizada por FedRAMP que presenta un dispositivo virtual reforzado, Kiteworks protege las comunicaciones sensibles que involucran contenido CUI y FCI a través de numerosos canales, incluyendo correo electrónico, uso compartido de archivos, transferencia de archivos administrada, formularios web e interfaces de programación de aplicaciones (APIs).

Programa una demostración personalizada hoy para ver cómo la Red de Contenido Privado de Kiteworks permite a los contratistas y subcontratistas del DoD acelerar y simplificar su proceso de certificación CMMC.

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談
Compartir
Twittear
Compartir
Explore Kiteworks