Qué esperar antes de tu auditoría CMMC 2.0 Nivel 2
El cumplimiento CMMC implica someterse (y aprobar) una rigurosa auditoría de cumplimiento CMMC. En este seminario web, un panel de expertos en cumplimiento CMMC ofrece las mejores prácticas para completar con éxito la auditoría CMMC. Las recomendaciones incluyen dónde encontrar y cómo evaluar eficazmente una organización evaluadora de terceros certificada (C3PAO), cómo desarrollar y utilizar un plan de acción e hitos (POA&M), y muchas otras estrategias para ayudar a los contratistas de defensa a lograr el cumplimiento CMMC.
Desafíos de Cumplimiento CMMC para Contratistas de Defensa
El cumplimiento de CMMC requiere que los contratistas de defensa aseguren la seguridad y el manejo adecuado de información sensible como la información no clasificada controlada (CUI) y la información sobre contratos federales (FCI). A continuación se presentan algunos de los mayores desafíos que enfrentan los contratistas en la base industrial de defensa (DIB) al intercambiar contenido sensible en el contexto del cumplimiento de CMMC.
Correo Electrónico Seguro Comunicaciones
El correo electrónico es un método común de comunicación, pero también es vulnerable a la interceptación y el acceso no autorizado. Para mitigar este riesgo y cumplir con CMMC, los contratistas de DIB deben implementar protocolos de correo electrónico seguro, como cifrado y firmas digitales, para proteger y verificar la integridad de la información sensible transmitida por correo electrónico. Además, los contratistas deberían considerar el uso de soluciones de correo electrónico que hayan obtenido la autorización FedRAMP Moderada, lo que asegura que el proveedor de servicios ha cumplido con estrictos requisitos de seguridad establecidos por el gobierno de EE. UU.
Identificación y Etiquetado de CUI
La Información No Clasificada Controlada (CUI) abarca una amplia gama de información sensible que debe ser protegida, un requisito para el cumplimiento de CMMC. Por lo tanto, los contratistas de defensa deben desarrollar e implementar procesos para identificar y etiquetar correctamente el CUI en varios formatos, incluidos documentos digitales y físicos, correos electrónicos y activos digitales. Identificar y etiquetar adecuadamente el CUI facilita el cumplimiento de CMMC al asegurar que la información sensible reciba el nivel adecuado de protección y solo se comparta con personas autorizadas.
Control de Acceso y Gestión de Permisos
Como parte del cumplimiento de CMMC, los contratistas de DIB deben establecer estrictos controles de acceso para asegurar que solo el personal autorizado pueda acceder a la información sensible. Esto implica implementar sistemas de control de acceso basado en roles (RBAC), revisar y actualizar regularmente los permisos de usuario, y revocar el acceso de manera oportuna cuando cambie el rol de un empleado. Los contratistas también deben mantener registros de auditoría detallados que mantengan un registro del acceso a contenido sensible y detecten cualquier intento de acceso no autorizado.
Uso Compartido Seguro de Archivos y Colaboración
Los contratistas de DIB colaboran diariamente en CUI y FCI con sus colegas del DoD. El cumplimiento de CMMC requiere que estas colaboraciones sean seguras. Por lo tanto, los contratistas de DIB deben usar soluciones de uso compartido seguro de archivos que proporcionen cifrado de extremo a extremo, controles de acceso y capacidades de auditoría. Al seleccionar una plataforma de uso compartido de archivos, los contratistas deben elegir soluciones que estén autorizadas por FedRAMP para información de Nivel de Impacto Moderado o superior. Esto asegura que las protecciones en su lugar cumplan con algunos de los más altos niveles de seguridad y estándares de cumplimiento.
Transferencia de Archivos Administrada para Archivos Grandes o en Grandes Cantidades
El cumplimiento de CMMC exige la transferencia segura de archivos grandes o de grandes cantidades de archivos que contengan CUI y FCI entre los contratistas de DIB y sus clientes del DoD. Una solución de transferencia segura de archivos administrada debe contener características como cifrado de datos en tránsito y en reposo, controles de acceso, permisos granulares y registros de auditoría detallados. Idealmente, las soluciones de transferencia de archivos administrada deberían estar autorizadas por FedRAMP para información de Nivel de Impacto Moderado para asegurar que cumplan con los más altos niveles de seguridad y cumplimiento.
Demuestra el Cumplimiento de Forma Eficiente
La mayoría de las herramientas de comunicación, como el correo electrónico, SFTP y las plataformas de uso compartido de archivos, residen en silos y, por lo tanto, generan registros de auditoría separados. Agregar y reconciliar estos registros como parte de una auditoría de cumplimiento de CMMC puede ser, si no virtualmente imposible, una tarea extenuante y que consume mucho tiempo. En cambio, un registro de auditoría consolidado y completo que rastree todos los archivos que contienen CUI y FCI que entran y salen de la organización puede ahorrarte tiempo y dinero.
Acelera tu Camino Hacia el Cumplimiento de CMMC 2.0 con Kiteworks
Controla, Protege y Rastrea las Comunicaciones Sensibles del DoD
Demuestra cumplimiento con CMMC cada vez que envías, compartes, recibes o almacenas CUI y FCI. Los controles de acceso granulares, la autenticación multifactor, el cifrado de extremo a extremo y los enlaces seguros aseguran que solo los usuarios autorizados tengan acceso a este contenido sensible. Consolida el correo electrónico seguro, el uso compartido seguro de archivos, la transferencia segura de archivos administrada, los formularios web seguros y las APIs en una sola plataforma para unificar metadatos y estandarizar políticas y controles de seguridad. Finalmente, un único punto de integración para inversiones en seguridad, como ATP, DLP, CDR, LDAP/AD y SIEM, les permite a los contratistas y subcontratistas de defensa proteger contenido sensible para el cumplimiento de CMMC.
Conoce más sobre las capacidades de seguridad de Kiteworks para proteger FCI y CUI
Acelera el Cumplimiento de CMMC Con un Despliegue FedRAMP
Evita el tiempo y costo de demostrar que tu plataforma en la nube cumple con 325 controles de seguridad NIST 800-53, críticos para el cumplimiento de CMMC, adoptando una que el gobierno federal de EE. UU. ya ha aprobado: la Red de Contenido Privado de Kiteworks con Autorización Moderada FedRAMP. A diferencia de los proveedores “equivalentes a FedRAMP”, Kiteworks se somete a pruebas de penetración regulares y selección de empleados, y está respaldado por un cifrado fuerte, seguridad física, planes de respuesta a incidentes y más. Una Autorización Moderada FedRAMP proporciona a los contratistas de defensa evidencia genuina de controles de seguridad, para que cumplan con un requisito crítico de CMMC y aceleren el cumplimiento de CMMC.
Protege la Información CUI con Controles de Acceso Integrales
Administra centralmente un único conjunto de roles de usuario y políticas para proteger el CUI que fluye a través de todos los canales de comunicación que la plataforma Kiteworks consolida. Mitiga el riesgo de exposición inadvertida o maliciosa de CUI con controles de acceso por defecto de menor privilegio sobre carpetas, correos electrónicos, SFTP, flujos de transferencia de archivos administrada y formularios web, así como clientes, funciones, repositorios y dominios. Con Kiteworks, los administradores aplican controles de políticas granulares y permisos basados en roles para usuarios externos para proteger el CUI de accesos no autorizados, un requisito crítico para el cumplimiento de CMMC.
Aprende más sobre la seguridad unificada de Kiteworks para proteger contenido sensible
Protege la CUI con un Cifrado de Correo Electrónico de Extremo a Extremo Sin Interrupciones
Protege el CUI que compartes por correo electrónico con tus partes interesadas del DoD con cifrados fuertes. Aplica tus políticas de seguridad a tu cifrado de correo electrónico para automatizar la decisión de cifrar o no cada correo electrónico. El intercambio de claves automatizado asegura la simplicidad para el usuario, de modo que tus empleados trabajen con sus clientes de correo estándar sin necesidad de complementos o capacitación. Con cifrado de extremo a extremo, aseguras que el contenido del correo electrónico y los archivos adjuntos estén cifrados desde el cliente emisor hasta el cliente receptor mientras la clave de descifrado privada permanece en el cliente receptor, de modo que ni los proveedores del lado del servidor ni los atacantes puedan descifrar. Finalmente, aplica tu DLP al tráfico saliente y tu anti-malware y anti-phishing al tráfico entrante. Te verás bien frente a tu C3PAO y darás otro paso hacia el cumplimiento de CMMC.
Conoce más sobre la Puerta de Enlace de Protección de Correo Electrónico de Kiteworks
Rastrea Toda la Actividad de Archivos y Simplifica la Auditoría de Cumplimiento CMMC
Puedes ver quién envió CUI o FCI a quién, cuándo y cómo, para poder rastrear este y otros contenidos sensibles que entran y salen de tu organización, detectar actividad sospechosa y tomar medidas sobre anomalías. Acelera las auditorías de cumplimiento de CMMC con registros de auditoría completos e inmutables para todas las actividades de usuarios, automatizadas y administrativas, incluyendo todas las acciones sobre contenido, permisos y configuración. Analiza, alerta e informa sobre los eventos utilizando herramientas integradas, o reenvía a tu SIEM a través de syslog o el Splunk Forwarder para un análisis más profundo.
Mantén la Máxima Seguridad Con Configuraciones Estrictamente Gestionadas
Adhiérete al principio de menor funcionalidad requerida para el cumplimiento de CMMC exponiendo solo unos pocos puertos esenciales, con todos los servicios no esenciales deshabilitados. Protegido por un dispositivo virtual reforzado, Kiteworks impide que los usuarios y administradores accedan al sistema operativo o instalen software, aplica una estricta separación de funciones y registra cada cambio de configuración. Y cuando te prepares para tu auditoría de cumplimiento de CMMC, proporciona los informes que necesitas para validar configuraciones y controles documentados.
DESCUBRE CÓMO PROTEGER CONTENIDOS SENSIBLES CON LAS INTEGRACIONES DE SEGURIDAD DE KITEWORKS
Habilita la Productividad Sin Comprometer la Custodia de Datos
Protege CUI y demuestra cumplimiento con CMMC al permitir la colaboración externa segura en archivos sensibles sin renunciar al control sobre los documentos fuente originales. Con Kiteworks SafeEDIT, la próxima generación de DRM, el CUI y FCI permanecen almacenados de manera segura dentro de tu entorno. Al transmitir una versión editable en video de los archivos en lugar de transferir la posesión, el CUI nunca sale de tu perímetro de seguridad, proporcionando el más alto nivel de seguridad, control y seguimiento. Disfruta de flujos de trabajo remotos sin interrupciones mientras mantienes una estricta protección de datos con una experiencia de aplicación nativa para editar y colaborar en las versiones transmitidas de los archivos.
DESCUBRE MÁS SOBRE LA PROTECCIÓN DE CONTENIDOS SENSIBLES CON KITEWORKS SAFEEDIT DRM
Preguntas Frecuentes sobre CMMC
CMMC 2.0 es una actualización del Modelo de Certificación de Madurez de Ciberseguridad (CMMC) que se lanzó inicialmente en enero de 2021. Es el método del Departamento de Defensa (DoD) para exigir a las organizaciones en la cadena de suministro del DoD que protejan la información sobre contratos federales (FCI) y la información no clasificada controlada (CUI) al nivel adecuado determinado (hay tres niveles en CMMC 2.0). CMMC 2.0 es una reestructuración de los niveles de madurez de CMMC al eliminar dos de las cinco calificaciones originales, mejorar los protocolos de evaluación que reducen los costos para los contratistas, y la introducción de un camino más flexible hacia la certificación a través de Planes de Acción e Hitos (POA&M).
El cumplimiento con los estándares NIST se impone como requisitos contractuales mediante la inclusión de cláusulas como FAR 52.204-21 y DFARS 252.204-7012. Los requisitos de CMMC resultan en una autoevaluación del contratista, o una evaluación de terceros por una Organización Evaluadora de Terceros CMMC (C3PAO), para determinar si se ha cumplido con el estándar NIST aplicable (según lo identificado por la cláusula DFARS). Bajo CMMC 2.0, se realizará una evaluación de Nivel 2 contra el estándar NIST SP 800-171 y una evaluación de Nivel 3 se basará en un subconjunto de los requisitos de NIST SP 800-172.
Un CMMC C3PAO es una Organización Evaluadora de Terceros CMMC (C3PAO) autorizada y certificada por el Organismo de Acreditación de CMMC (CMMC-AB) para realizar evaluaciones de contratistas y subcontratistas que buscan certificación para demostrar cumplimiento con el estándar CMMC. A las C3PAO se les confía la tarea de evaluar y certificar que las empresas en la cadena de suministro de la base industrial de defensa (DIB) han cumplido con los requisitos de ciberseguridad del estándar CMMC. Sus responsabilidades incluyen evaluar y emitir certificados de adhesión al estándar CMMC. La C3PAO debe revisar y certificar los informes de auditoría y autoevaluación del contratista o subcontratista basados en el Modelo de Madurez de Ciberseguridad del DoD. La C3PAO también debe poder recomendar e implementar acciones correctivas según sea necesario.
CMMC 2.0 se aplica a todos los terceros dentro de la cadena de suministro de defensa, incluidos contratistas, proveedores y cualquier otro tercero contratado relacionado con el apoyo del Departamento de Defensa (DoD). Todas las organizaciones civiles que hacen negocios con el DoD deben cumplir con CMMC 2.0, según el tipo de CUI y FCI que manejan e intercambian. La lista de entidades incluye:
- Contratistas principales del DoD
- Subcontratistas del DoD
- Proveedores en todos los niveles en la DIB
- Proveedores de pequeñas empresas del DoD
- Proveedores comerciales que procesan, manejan o almacenan CUI
- Proveedores extranjeros
- Miembros del equipo de contratistas del DoD que manejan CUI, como proveedores de servicios gestionados de TI
Según Kiteworks, trabajar con una Organización Evaluadora de Terceros CMMC (C3PAO) proporciona varios beneficios para las organizaciones que buscan certificación bajo los estándares CMMC 2.0:
- Experiencia: Un evaluador de terceros certificado tiene amplia experiencia evaluando programas de ciberseguridad en múltiples industrias y puede proporcionar información valiosa sobre las mejores prácticas para lograr el cumplimiento de CMMC.
- Objetividad: Un evaluador de terceros independiente proporciona comentarios imparciales sobre la postura de seguridad de una organización que pueden ayudar a identificar áreas donde se necesitan mejoras para cumplir con controles específicos de CMMC, pasar una auditoría de cumplimiento de CMMC y lograr el cumplimiento de CMMC.
- Ahorro de Costos: Trabajar con un evaluador de terceros certificado puede ahorrar tiempo y dinero en comparación con contratar personal interno o consultores que pueden no tener experiencia en evaluar programas de ciberseguridad, realizar auditorías de cumplimiento de CMMC, o incluso demostrar cumplimiento de CMMC.
- Eficiencia: Un evaluador de terceros certificado puede identificar rápidamente brechas en la postura de seguridad de una organización, ayudando a reducir el tiempo dedicado a prepararse para el cumplimiento de CMMC.
- Tranquilidad: Tener un evaluador de terceros independiente que revise el programa de ciberseguridad de un proveedor del DoD proporciona tranquilidad, asegurando que las organizaciones hayan tomado todos los pasos necesarios para lograr el cumplimiento de CMMC.
FEATURED RESOURCES
Kiteworks Apoya el Cumplimiento de la Política Nacional de Clasificación de Datos de Qatar 
Kiteworks Apoya el Cumplimiento de la Política Nacional de Clasificación de Datos de Qatar
Cómo Kiteworks Apoya el Cumplimiento de Datos NIAS 2.1 de Qatar 
Cómo Kiteworks Apoya el Cumplimiento de Datos NIAS 2.1 de Qatar
Apoyando el Cumplimiento de la Ley de Protección de Privacidad de Datos Personales de Catar 
Apoyando el Cumplimiento de la Ley de Protección de Privacidad de Datos Personales de Catar
Guía de Kiteworks sobre Cumplimiento del Estándar Nacional de Aseguramiento de la Información de Qatar 