Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

Guía de Requisitos de Cumplimiento para CMMC Nivel 2

Inicio Glosario Una Guía para los Requisitos de Cumplimiento de CMMC Nivel 2

La Certificación del Modelo de Madurez de Ciberseguridad (CMMC) es un hito incremental pero importante para que los contratistas de defensa aborden. El CMMC Nivel 2 se centra en la higiene cibernética avanzada, creando una progresión lógica pero necesaria para que las organizaciones pasen del Nivel 1 al Nivel 3. Además de la protección de la información sobre contratos federales (FCI), el Nivel 2 incluye la protección de información no clasificada controlada (CUI). En comparación con el Nivel 1, los conjuntos adicionales de prácticas incluidas en el Nivel 2 posicionan a los proveedores del DoD para defenderse mejor contra amenazas cibernéticas más peligrosas.

El CMMC Nivel 2 también introduce el elemento de madurez del proceso del modelo. En el CMMC Nivel 2, se espera que una organización realice y documente funciones clave de ciberseguridad. Tener un plan detallado para el cumplimiento del CMMC Nivel 2 es crítico para cualquier proveedor del DoD que intercambie CUI dentro de la cadena de suministro del DoD.

Cumplimiento CMMC Nivel 2

¿Quién Necesita Cumplir con el CMMC Nivel 2?

Los contratistas y subcontratistas que actualmente trabajan con, o planean trabajar con, el Departamento de Defensa, deben demostrar cumplimiento. Si esas empresas procesan, manejan o gestionan información crítica para la seguridad nacional, necesitarán cumplir con el CMMC Nivel 2. Para lograr el cumplimiento del CMMC Nivel 2, los contratistas deberán someterse a una extensa evaluación de terceros del CMMC Nivel 2.

Hay 110 controles para el CMMC Nivel 2 que provienen directamente de NIST 800-171. La certificación CMMC Nivel 2 es necesaria para aquellos que desean licitar en contratos del DoD que manejan lo siguiente:

  • Información no clasificada controlada (CUI)
  • Información técnica controlada (CTI)
  • Datos controlados por ITAR o exportación

¿Cómo Sé si Tengo CUI?

CUI es un término utilizado para cubrir una amplia variedad de datos sensibles pero no clasificados. Esto puede incluir información personal identificable (PII), información confidencial de negocios, información de salud protegida (PHI), información crítica de infraestructura y ciberseguridad, e información protegida (CJIS) relacionada con operaciones de aplicación de la ley. El propósito del CUI es asegurar que, aunque los datos no estén clasificados y se consideren no clasificados, aún estén protegidos y deban pasar por un proceso específico para asegurar que se manejen de manera segura y que el acceso solo se otorgue a quienes lo necesiten. El CUI incluye datos que deben manejarse con un alto nivel de seguridad para protegerlos. Es importante que todos aquellos que manejen estos datos estén bien entrenados y sean conocedores de la protección del CUI, para proteger los datos del acceso no autorizado.

Requisitos de Seguridad del CMMC para el Correo Electrónico

El cumplimiento del CMMC Nivel 2 se centra en establecer prácticas intermedias de higiene cibernética, incluyendo la seguridad del correo electrónico para proteger el CUI. Un puerta de enlace de protección de correo electrónico (EPG) es crucial para asegurar las comunicaciones por correo electrónico para el CUI, haciendo que los procesos de cifrado sean transparentes para los usuarios finales. Implementar una solución EPG ayuda a las organizaciones a cumplir con los requisitos del CMMC Nivel 2 al proporcionar características robustas de seguridad de correo electrónico como filtrado de spam, protección contra phishing, prevención de pérdida de datos y cifrado seguro de correo electrónico. Al adherirse a estos requisitos, las organizaciones pueden proteger su información sensible, reducir las amenazas cibernéticas y mantener el cumplimiento con el panorama de ciberseguridad en evolución.

¿Qué Se Necesita para Lograr el Cumplimiento del CMMC Nivel 2?

Lograr el cumplimiento del CMMC Nivel 2 requiere un enfoque integral de ciberseguridad. Abarca la implementación de políticas y procedimientos, el uso de controles técnicos y el establecimiento de un canal robusto de educación y capacitación. Para políticas y procedimientos, el Nivel 2 requiere que las organizaciones tengan un plan de seguridad del sistema, una política de protección de medios, un plan de contingencia, respuesta a incidentes, gestión de parches y procedimientos de gestión de cuentas en su lugar.

En el lado de los controles técnicos, las organizaciones deben tener controles en su lugar para la autenticación, etiquetado de medios, monitoreo del sistema, integridad del sistema, protección contra virus y auditoría. Las organizaciones también deben tener un programa de capacitación y educación aprobado para el personal con autorizaciones apropiadas para comprender adecuadamente su papel en la protección del entorno. Lograr el cumplimiento del Nivel 2 requiere un enfoque bien equilibrado de seguridad que equilibre la implementación de medidas técnicas proactivas, con procesos y procedimientos claros, y un programa integral de educación y capacitación.

Preparándose para el CMMC Nivel 2: Una Lista de Verificación

Prepararse para el cumplimiento del CMMC Nivel 2 implica mejorar sistemáticamente la postura de ciberseguridad de tu organización. Esta lista de verificación del CMMC Nivel 2 puede guiarte a través del proceso:

  1. Familiarízate con los requisitos del CMMC Nivel 2, incluyendo las 72 prácticas de seguridad en 17 dominios.
  2. Realiza un análisis de distancia integral para identificar áreas que necesitan mejora.
  3. Desarrolla un plan de remediación para abordar las brechas identificadas e implementar los controles necesarios.
  4. Asigna recursos, como presupuesto y personal, para apoyar tus esfuerzos de cumplimiento.
  5. Capacita a tu personal sobre los requisitos del CMMC y las mejores prácticas de ciberseguridad.
  6. Implementa políticas, procedimientos y documentación para apoyar las iniciativas de cumplimiento.
  7. Revisa y actualiza regularmente tus prácticas de ciberseguridad para mantener el cumplimiento.
  8. Involúcrate con consultores de CMMC o C3PAOs para orientación y apoyo en la evaluación.
  9. Realiza una autoevaluación para medir la preparación antes de la evaluación oficial del CMMC.
  10. Programa tu evaluación del CMMC con un C3PAO acreditado para verificar el cumplimiento.

Requisitos de Cumplimiento del CMMC 2.0 Nivel 2

Los requisitos del CMMC en el Nivel 2 incluyen 110 controles agrupados en 15 dominios:

Dominio Número de controles
1. Control de Acceso (AC) 22 controles
2. Auditoría y Responsabilidad (AU) 9 controles
3. Conciencia y Capacitación (AT) 3 controles
4. Gestión de Configuración (CM) 9 controles
5. Identificación y Autenticación (IA) 11 controles
6. Respuesta a Incidentes (IR) 3 controles
7. Mantenimiento (MA) 6 controles
8. Protección de Medios (MP) 9 controles
9. Seguridad del Personal (PS) 2 controles
10. Protección Física (PE) 6 controles
11. Recuperación (RE) 2 controles
12. Gestión de Riesgos (RM) 3 controles
13. Evaluación de Seguridad (CA) 4 controles
14. Protección de Sistemas y Comunicaciones (SC) 16 controles
15. Integridad del Sistema e Información (SI) 7 controles

Los controles en cada uno de los 15 dominios son los siguientes:

Control de Acceso

Esta familia de requisitos es la más grande. Contiene 22 controles. Bajo Control de Acceso, las organizaciones necesitan monitorear todos los eventos de acceso en el entorno de TI y limitar el acceso a sistemas y datos. Bajo Control de Acceso, los requisitos incluyen:

  • Implementar el principio de menor privilegio
  • Autorizar y proteger el acceso inalámbrico mediante el uso de cifrado y autenticación
  • Separar las funciones de los individuos para ayudar a prevenir actividades irregulares
  • Monitorear y controlar el acceso remoto
  • Controlar y restringir el uso de dispositivos móviles
  • Controlar el flujo de CUI dentro de una organización y cifrarlo en dispositivos móviles

Auditoría y Responsabilidad

Esta familia consta de nueve controles. Requiere que las organizaciones retengan registros de auditoría para usar en investigaciones de seguridad y para mantener a los usuarios responsables de sus acciones. Las organizaciones deben recopilar y analizar registros de auditoría para detectar cualquier actividad no autorizada y responder de inmediato. Varios pasos pueden ayudar a implementar estos controles:

  • Proteger los sistemas de auditoría del acceso no autorizado
  • Revisar y actualizar los eventos auditados
  • Informar sobre fallos en el proceso de auditoría
  • Generar informes que apoyen el análisis bajo demanda y proporcionen evidencia de cumplimiento

Conciencia y Capacitación

Esta familia de controles requiere que las empresas aseguren que los gerentes, administradores de sistemas y otros usuarios conozcan los riesgos de seguridad asociados con sus actividades. Deben estar familiarizados con las políticas de seguridad de la organización y las prácticas básicas de ciberseguridad para reconocer y responder a amenazas internas y externas.

Gestión de Configuración

En los requisitos bajo Gestión de Configuración, las empresas deben establecer y mantener configuraciones base, lo que implica controlar y monitorear el software instalado por el usuario y cualquier cambio realizado en los sistemas de tu organización. Los requisitos de cumplimiento bajo este dominio incluyen:

  • Incluir en la lista negra el software no autorizado
  • Documentar todos los eventos donde el acceso fue restringido debido a cambios en los sistemas de TI
  • Restringir, deshabilitar o prevenir el uso de programas, funciones, protocolos y servicios que no son esenciales
  • Emplear el principio de menor funcionalidad configurando los sistemas para proporcionar solo capacidades esenciales

Identificación y Autenticación

La familia de requisitos de Identificación y Autenticación asegura que solo los usuarios autenticados puedan acceder a la red o sistemas de la organización. Tiene 11 requisitos que cubren procedimientos y políticas de contraseñas y autenticación. También cubre la identificación confiable de usuarios. Los requisitos para asegurar la distinción entre cuentas privilegiadas y no privilegiadas se reflejan en el acceso a la red.

Respuesta a Incidentes

En esta familia, las organizaciones deben tener una estrategia de respuesta a incidentes que permita una respuesta rápida a cualquier incidente que pueda resultar en una violación de datos. Una organización puede implementar capacidades para detectar, analizar y responder a incidentes de seguridad e informar sobre estos incidentes a los funcionarios apropiados, y probar regularmente su plan de respuesta a incidentes.

Mantenimiento

El mantenimiento inadecuado del sistema puede resultar en la divulgación de CUI, por lo que representa una amenaza para la confidencialidad de la información. Se requiere que las empresas realicen mantenimiento regular siguiendo requisitos, tales como:

  • Vigilar de cerca a las personas y equipos que realizan actividades de mantenimiento
  • Asegurarse de que los medios que contienen programas de diagnóstico y prueba estén libres de código malicioso
  • Asegurarse de que el equipo retirado para mantenimiento fuera del sitio no contenga datos sensibles

Protección de Medios

La familia de control de Protección de Medios requiere que asegures la seguridad de los medios del sistema que contienen CUI, incluyendo tanto medios en papel como digitales.

Seguridad del Personal

Esta es una pequeña familia de controles que requiere que las empresas monitoreen las actividades de los usuarios y aseguren que todos los sistemas que contienen CUI estén protegidos durante y después de las acciones del personal, como despidos y transferencias de empleados.

Protección Física

La Protección Física incluye la protección de hardware, software, redes y datos contra daños o pérdidas debido a eventos físicos. Este dominio requiere que las organizaciones realicen varias actividades para mitigar el riesgo de daño físico, tales como:

  • Controlar los dispositivos de acceso físico
  • Limitar el acceso físico a sistemas y equipos a usuarios autorizados
  • Mantener registros de auditoría de acceso físico

Recuperación

Bajo Recuperación, se requiere que las organizaciones realicen y prueben regularmente copias de seguridad de datos, y protejan la confidencialidad del CUI de respaldo en las ubicaciones de almacenamiento.

Gestión de Riesgos

Hay dos requisitos que cubren el desempeño y análisis de evaluaciones regulares de riesgos. Se requiere que las organizaciones escaneen regularmente los sistemas para verificar vulnerabilidades, manteniendo los dispositivos de red y el software actualizados y seguros. Resaltar y fortalecer regularmente las vulnerabilidades mejora la seguridad de todo el sistema.

Evaluación de Seguridad

Una organización debe monitorear y evaluar sus controles de seguridad para determinar si son lo suficientemente efectivos para ayudar a mantener los datos seguros. Las organizaciones necesitan tener un plan que describa los límites del sistema, las relaciones entre diferentes sistemas y los procedimientos para implementar los requisitos de seguridad y actualizar ese plan periódicamente.

Protección de Sistemas y Comunicaciones

Esta es una familia bastante grande de requisitos que comprende 16 controles para monitorear, controlar y proteger la información transmitida o recibida por los sistemas de TI. Involucra varias actividades, tales como:

  • Prevenir la transferencia no autorizada de información
  • Implementar mecanismos criptográficos para prevenir cualquier divulgación no autorizada de CUI
  • Construir subredes para componentes del sistema accesibles públicamente que estén separados de las redes internas
  • Denegar el tráfico de comunicaciones de red por defecto

Integridad del Sistema e Información

Este grupo de controles requiere que las empresas identifiquen y corrijan rápidamente las fallas del sistema y protejan los activos críticos del código malicioso. Esto incluye tareas tales como:

  • Monitorear y actuar rápidamente sobre alertas de seguridad que indiquen uso no autorizado de sistemas de TI
  • Realizar escaneos periódicos de sistemas de TI y escanear archivos de fuentes externas cuando se descargan o se actúa sobre ellos
  • Actualizar los mecanismos de protección contra código malicioso tan pronto como las nuevas versiones estén disponibles

Costo del Cumplimiento del CMMC

El costo de lograr el cumplimiento del CMMC varía dependiendo del tamaño de una organización, su complejidad y el nivel específico de certificación buscado.

Para las pequeñas y medianas empresas (PYMES), el costo del cumplimiento puede ser significativo. Las inversiones iniciales pueden incluir la implementación de controles de seguridad, la contratación o capacitación de personal para gestionar la ciberseguridad y la adquisición de herramientas para apoyar estos esfuerzos. Las organizaciones también podrían necesitar asignar recursos para mantener el cumplimiento, como auditorías de seguridad regulares, actualizaciones de software y capacitación de empleados.

El cumplimiento del CMMC Nivel 1, que se centra en prácticas básicas de higiene cibernética, generalmente requiere una inversión menor que los niveles superiores. A medida que las organizaciones apuntan al CMMC Nivel 2 o CMMC Nivel 3, los costos aumentan debido a la necesidad de controles más avanzados, documentación y monitoreo continuo.

Las organizaciones deben realizar una evaluación de riesgos integral y un análisis de distancia para identificar las medidas de seguridad requeridas y estimar los costos asociados. Involucrar a una Organización Evaluadora de Terceros CMMC (C3PAO) o una Organización Proveedora Registrada (RPO) puede ayudar a guiar a la organización a través del proceso y asegurar una transición más fluida hacia el cumplimiento.

¿Cómo Debería Prepararse Mi Organización para una Evaluación del CMMC Nivel 2?

El CMMC Nivel 2 (Avanzado) requiere evaluaciones de terceros trienales para los contratistas del DoD que envían, comparten, reciben y almacenan información crítica de seguridad nacional. Estas evaluaciones de terceros son realizadas por una Organización Evaluadora de Terceros CMMC (C3PAO) autorizada y certificada por el Organismo de Acreditación CMMC (CMMC-AB) para realizar evaluaciones de contratistas y subcontratistas que buscan certificación para demostrar cumplimiento con el estándar CMMC.

Para asegurar que el proceso sea exitoso, es importante estar adecuadamente preparado. Se deben tomar los siguientes pasos para asegurar una preparación exitosa:

  • Entender el marco de evaluación y los requisitos, incluyendo estándares, criterios y objetivos
  • Tener documentos relevantes y evidencia de cumplimiento fácilmente accesibles y actualizados
  • Planificar adecuadamente la evaluación programando suficiente tiempo y recursos para cumplir con los requisitos
  • Asignar personal para facilitar la evaluación, programar la evaluación en un lugar adecuado y tener el equipo y materiales correctos
  • Asegurar que todas las partes interesadas relevantes estén adecuadamente preparadas a través de sesiones de capacitación completas

Logrando el Cumplimiento del CMMC Nivel 2

Lograr el cumplimiento del CMMC Nivel 2 implica implementar prácticas intermedias de higiene cibernética que protejan la información no clasificada controlada (CUI) y la información sobre contratos federales (FCI). Las organizaciones deben cumplir con 72 prácticas de seguridad en 17 dominios, construyendo sobre la higiene cibernética básica establecida en el Nivel 1. Los pasos clave incluyen realizar un análisis de distancia exhaustivo, desarrollar un plan de remediación, implementar los controles de seguridad requeridos y proporcionar capacitación al personal. Involucrarse con consultores de CMMC u Organizaciones Evaluadoras de Terceros (C3PAOs) puede ayudar a las organizaciones a navegar el proceso, asegurar una implementación adecuada y verificar el cumplimiento, fortaleciendo en última instancia su postura de ciberseguridad.

¿Quién Es Responsable de las Evaluaciones Completas del CMMC?

Las Organizaciones Evaluadoras de Terceros CMMC (C3PAOs) son responsables de realizar evaluaciones completas del CMMC. Estas organizaciones están acreditadas por el Organismo de Acreditación CMMC (CMMC-AB) y consisten en evaluadores certificados que evalúan las prácticas y controles de ciberseguridad de una organización en comparación con el marco del CMMC. Las C3PAOs verifican imparcialmente el cumplimiento de una organización con el nivel requerido del CMMC, asegurando que cumpla con los estándares de seguridad para proteger información sensible y mantener contratos dentro de la cadena de suministro del Departamento de Defensa (DoD).

Criterios de Autoevaluación y Sistemas de Puntuación del CMMC 2.0

El CMMC 2.0, una versión actualizada del marco original del CMMC, simplifica el cumplimiento al permitir que las organizaciones realicen autoevaluaciones. Los criterios evalúan la adherencia de una organización a prácticas y controles esenciales de ciberseguridad. Basado en el grado de implementación, los sistemas de puntuación proporcionan una medida cuantitativa de la madurez de ciberseguridad de una organización. Una puntuación más alta significa una mejor postura de ciberseguridad. Aprovechando plantillas y herramientas de autoevaluación, las organizaciones pueden identificar áreas de mejora, desarrollar un plan para abordar las brechas y seguir el progreso hacia el logro del nivel deseado de cumplimiento del CMMC 2.0.

¿Cómo Encaja un C3PAO en el Cumplimiento del CMMC 2.0 Nivel 2?

Un C3PAO es crítico para lograr el cumplimiento del CMMC 2.0 Nivel 2. Los evaluadores del C3PAO evalúan las políticas, procesos y controles existentes de una organización en comparación con los requisitos del CMMC. Revisan la documentación de seguridad existente, realizan entrevistas y llevan a cabo inspecciones in situ de sistemas y seguridad física. Después de evaluar el nivel actual de cumplimiento de la organización, el C3PAO proporciona un informe sobre sus hallazgos. Este informe se enviará al Organismo de Acreditación CMMC para revisión, evaluación y certificación.

Kiteworks Acelera el Tiempo para Lograr el Cumplimiento del CMMC 2.0 para Proveedores del DoD

La Red de Contenido Privado de Kiteworks está Autorizada por FedRAMP para Impacto de Nivel Moderado. Debido a su certificación FedRAMP, Kiteworks apoya casi el 90% de los requisitos del CMMC 2.0 Nivel 2 de manera predeterminada. Los proveedores de tecnología sin certificación Autorizada por FedRAMP no pueden lograr este nivel de cumplimiento. Kiteworks, como resultado, acelera el tiempo que les toma a los proveedores del DoD lograr el cumplimiento del CMMC Nivel 2. Usando un enfoque de confianza cero definida por contenido, Kiteworks protege las comunicaciones sensibles de contenido CUI y FCI a través de numerosos canales de comunicación, incluyendo correo electrónico, uso compartido de archivos, transferencia de archivos administrada, formularios web y interfaces de programación de aplicaciones (APIs).

Programa una demostración personalizada para ver cómo la Red de Contenido Privado de Kiteworks permite a los contratistas y subcontratistas del DoD acelerar y simplificar su proceso de certificación CMMC.


Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks