Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Certificación del Modelo de Madurez de Ciberseguridad (CMMC): Consejos para el Cumplimiento

Certificación del Modelo de Madurez de Ciberseguridad (CMMC): Consejos para el Cumplimiento

Jun 18, 2021

Tras una serie de 83 violaciones de datos en 2019, el Departamento de Defensa de los Estados Unidos (DoD) estableció la Certificación del Modelo de Madurez de Ciberseguridad (CMMC). El marco CMMC es un estándar nacional unificado para mejorar la ciberseguridad. Las empresas de la base industrial de defensa (DIB) deben implementar los requisitos del CMMC para ganar contratos. Continúa leyendo para descubrir cómo puedes lograr el cumplimiento.

Introducción al CMMC

CMMC es un estándar de ciberseguridad creado por la Oficina del Subsecretario de Defensa (OUSD) para Adquisiciones y Sostenimiento. Busca responder a las amenazas cibernéticas estandarizando la forma en que los contratistas del DoD aseguran la información crítica.

Para obtener la certificación CMMC, las empresas DIB deben implementar prácticas y procesos de ciberseguridad apropiados para proteger toda la Información de Contratos Federales (FCI) y la Información No Clasificada Controlada (CUI) que procesan o almacenan. Las organizaciones reciben una puntuación de madurez en ciberseguridad en una escala de uno a cinco. Esta puntuación determina el nivel de confianza que el DOD deposita en la organización e impacta todo, desde la contratación hasta los contratos.

Contenido relacionado seleccionado:

Bajo las directrices anteriores (el Suplemento de Regulación Federal de Adquisiciones de Defensa [DFARS] 252.204-7012), para demostrar su resiliencia en ciberseguridad, los contratistas podían auto-certificar el cumplimiento con NIST SP 800-171. Sin embargo, este modelo resultó en una serie de violaciones de alto perfil como el data breaches tales como el asunto de Solar Winds, así como infracciones de la Ley de Reclamaciones Falsas.

Para mejorar la ciberseguridad, el CMMC ahora requiere que una organización evaluadora de terceros del CMMC certifique que los contratistas han cumplido con los requisitos de ciberseguridad. El DoD planea la implementación de los nuevos requisitos del CMMC a través de un despliegue por fases, con los requisitos adicionales entrando en vigor en 2025, como se discute con más detalle a continuación.

Para lograr el cumplimiento de los requisitos de CMMC, las organizaciones aún necesitan un entendimiento profundo de NIST SP 800-171, ya que el proceso de certificación de CMMC utiliza ese marco como guía para ayudar a medir la seguridad del sistema, evaluar la madurez de un programa de seguridad y proporcionar una puntuación.

¿Quién debe cumplir con el CMMC?

El modelo de madurez CMMC se aplica a todas las empresas dentro de la cadena de suministro del DoD, incluyendo no solo a aquellas en la base industrial de defensa, sino también a las que se dedican a la adquisición, construcción o desarrollo. Esto incluye a los contratistas principales que interactúan directamente con el DoD, así como a los subcontratistas que trabajan con los contratistas para ejecutar contratos del DoD.

El tamaño y la relación con un contrato no importan. No hay escapatoria para las pequeñas empresas que trabajan en partes “menores” de un contrato. Por lo tanto, cada contratista y subcontratista que maneje cualquier forma de información de defensa debe prepararse para una revisión de sus prácticas de ciberseguridad. No cumplir no conllevará a sanciones monetarias, pero estar certificado es un requisito previo para ganar contratos.

¿Qué tipos de datos protege CMMC?

El CMMC protege dos tipos de datos:

  • Información Controlada No Clasificada (CUI) — Esto incluye cualquier información no clasificada realizada por el gobierno que necesita protección. Incluye información privada de empleados federales, información de contratistas, material legal, dibujos técnicos, archivos electrónicos y más. Para tratar con CUI, una organización debe tener una calificación de nivel de madurez de 3 o superior.
  • Información de Contratos Federales (FCI) — La FCI consiste en cualquier información que el gobierno proporciona o crea bajo un contrato con el fin de entregar un servicio o producto, pero que no se divulga al público. La divulgación indebida de estos datos puede representar una amenaza significativa para el funcionamiento interno de la logística y actividades del DOD.

Tratar con FCI solo requiere certificaciones de nivel 1 o 2.

Cronograma de CMMC

Los contratistas tienen hasta 2025 para preparar sus sistemas para manejar FCI y CUI según lo requerido por CMMC. Sin embargo, el Pentágono recientemente pasó de implementar CMMC solo en ejercicios de simulación a su uso en el campo a través de la concesión de 15 contratos “pathfinder”. Este programa piloto se centra en empresas de nivel 3 y sus subcontratistas; más empresas deben cumplir a medida que avanza la implementación.

¿Cuál es la metodología de evaluación?

En 2020, el DoD emitió una Regla Provisional que complementa el programa CMMC con una metodología de evaluación para determinar si las empresas cumplen. Bajo esta regla, la certificación CMMC procede en dos pasos. Debes repetir el proceso de certificación cada tres años.

  • Paso 1. Los evaluadores aplican la NIST SP 800-171 DoD Assessment Methodology a la empresa. Esta metodología clasifica las amenazas potenciales a un proyecto en tres niveles (alto, medio y bajo), basándose en la sensibilidad de la información y los programas involucrados. Todo contratista que busque aprobación de nivel alto o medio debe proporcionar acceso a las instalaciones, sistemas y personal. Obtener acceso a CUI o FCI es imposible sin tal escrutinio.
  • Paso 2. Si una empresa supera el paso 1, el proceso de evaluación asigna a la empresa un nivel de madurez.

Niveles de Certificación CMMC (Niveles de Madurez)

Hay cinco niveles de CMMC. Cada nivel tiene requisitos específicos:

  • Nivel 1: Higiene cibernética básica — Las empresas en el nivel 1 realizan una higiene cibernética básica. Los datos deben estar libres de errores y los sistemas de aplicaciones e información que almacenan o procesan información sensible como la información de identificación personal (PII) deben tener controles de acceso adecuados. Procedimientos estándar como la ocultación de PII y el aseguramiento de la calidad de los datos te ayudan a cumplir con este nivel. Las directrices del NIST ofrecen 17 controles de seguridad básicos para este nivel.
  • Nivel 2: Higiene cibernética intermedia — El siguiente nivel implica 72 controles (incluyendo los controles de nivel 1); estos comprenden un poco más de la mitad de todos los controles de NIST 800-171. En esta etapa, su empresa debe proteger la FCI y la CUI de manera repetible. La auditoría, protección de medios, respaldo y recuperación, mantenimiento e integridad del sistema son importantes en este nivel. La principal diferencia entre los niveles 1 y 2 es la implementación de un plan y procedimientos para proteger los datos.
  • Nivel 3: Buena higiene cibernética — El Nivel 3 requiere la implementación de 132 controles, abarcando la totalidad del conjunto establecido por NIST SP 800-171 para CUI. Las empresas en este nivel generalmente manejan información controlada pero no clasificada. Requiere un plan sólido para enfrentar las amenazas de ciberseguridad y los medios para llevarlo a cabo a través de la concienciación, la formación y la respuesta a incidentes.
  • Nivel 4: Higiene cibernética proactiva — El nivel 4 requiere excelencia demostrada en la implementación de 156 controles bajo NIST y otras fuentes. Los 24 añadidos desde el nivel 3 tratan principalmente sobre la evaluación de prácticas de seguridad: La empresa debe evaluar y revisar regularmente sus políticas para máxima efectividad, y la alta gerencia se mantiene actualizada sobre los problemas.
  • Nivel 5: Higiene cibernética avanzada — El nivel 5 añade 25 requisitos adicionales relacionados con la detección y protección avanzada contra amenazas; este nivel es requerido para empresas que manejan información altamente deseable. Las empresas necesitan desplegar herramientas más sofisticadas como la detección de anomalías, y ser capaces de responder de manera flexible a las amenazas.

Componentes del marco CMMC, niveles y dominios

Ponerse al día con los requisitos del CMMC requiere comprender 17 dominios diferentes. 14 de los dominios provienen de los Estándares Federales de Procesamiento de Información (FIPS) 200 y NIST SP 800-171; CMMC añade tres más: recuperación, conciencia situacional y gestión de activos. Aquí está la lista completa:

  • Control de acceso — Sepa quién tiene acceso a sus sistemas y limite estrictamente el acceso por rol laboral.
  • Auditoría y responsabilidad — Rastree a los usuarios con acceso a datos sensibles. Recolecte registros de eventos e investigue la información por actividades inapropiadas o sospechosas.
  • Gestión de activos — Realice un seguimiento de los activos de hardware y software para evitar que la tecnología obsoleta y no deseada conduzca a una violación de datos
  • Concienciación y formación — Proporcione formación regular a los empleados sobre cómo prevenir violaciones y cómo responder si ocurre una.
  • Gestión de configuración — Establezca configuraciones base que protejan los sistemas de accesos no autorizados, definiendo valores predeterminados razonables para evitar exponer su empresa a amenazas.
  • Identificación y autenticación — Utilice reglas y prácticas de autorización, como la autenticación multifactor, para evitar la exposición de información crítica para la misión.
  • Respuesta a incidentes — Cree un plan para investigar, informar y resolver incidentes de seguridad rápidamente.
  • Mantenimiento — Realice parches y actualizaciones periódicas de tecnologías e instalaciones para minimizar vulnerabilidades.
  • Protección de medios — Identifique y proteja los medios, y cree protocolos para la limpieza y eliminación.
  • Seguridad del personal — Realice las verificaciones de antecedentes y evaluaciones de personal adecuadas. Esté preparado para proporcionar evidencia de que su CUI está protegido durante acciones de personal como transferencias o cambios de personal.
  • Protección física — Proteja sus instalaciones, personal y sistemas de amenazas físicas como el acceso no autorizado, el robo y los daños.
  • Recuperación — Establezca un plan sólido de respaldo y recuperación ante la pérdida parcial o total de datos.
  • Gestión de riesgos — Evalúe periódicamente los riesgos, desarrolle estrategias para contrarrestarlos y mida el progreso.
  • Evaluación de seguridad — Evalúe la seguridad revisando auditorías anteriores, su estrategia de gestión de riesgos y otra información.
  • Conciencia situacional — Implemente monitoreo en tiempo real para sus tecnologías y responda adecuadamente a las amenazas.
  • Comunicaciones y protección del sistema — Defina la seguridad necesaria para proteger cada sistema.
  • Integridad del sistema e información — Identificar y gestionar defectos en los sistemas, encontrar riesgos y revisar la seguridad de la red para detectar posibles problemas.

¿Cómo puedo obtener la certificación CMMC?

Todos los contratistas de defensa deberán someterse a una auditoría oficial realizada por una organización de evaluadores independientes de terceros CMMC (C3PAO) o un individuo certificado por el DoD. El DoD no acepta un resultado de ningún otro auditor. El CMMC Accreditation Body tiene más información sobre quién es un auditor certificado.

En general, un certificado CMMC será válido por 3 años y no se hará público, pero se publicará en bases de datos específicas del DoD. Se requiere una recertificación después de este período de tiempo o en caso de pérdida de datos.

Una empresa DIB que sufra un incidente de ciberseguridad no perderá automáticamente su certificación CMMC. Sin embargo, debe seguir los procedimientos de informe adecuados. Contacte con el DoD y prepare un informe detallado del incidente explicando por qué ocurrió y cómo se puede prevenir tal violación en el futuro.

¿Cómo puedo prepararme para una auditoría de certificación CMMC?

Una buena pauta a seguir al prepararse para su auditoría es Executive Order 13556, que estandariza cómo la rama ejecutiva maneja la información no clasificada que necesita protección.

De manera más amplia, considere utilizar la siguiente lista de verificación de alto nivel:

  1. Obtenga consejos de su agencia federal o estatal. Asegúrese de entender lo que se espera de usted.
  2. Audite sus datos y tecnologías actuales. Recolecte tanta información como pueda sobre el estado actual de su seguridad, incluyendo controles de acceso de usuarios, software en uso y procedimientos de seguridad disponibles. Identifique dónde almacena, procesa o transmite CUI y FCI.
  3. Elabore un plan sólido. A continuación, cree un programa o plan de cumplimiento CMMC sólido basado en el nivel de certificación que busca. Por ejemplo, las empresas que buscan los niveles de madurez más altos querrán fortalecer sus redes y separar las tecnologías que manejan información altamente sensible del resto de su infraestructura.
  4. Realice un análisis de brechas. Evalúe su nivel actual de madurez en ciberseguridad y determine qué necesita hacer para alcanzar el nivel adecuado. Realice los cambios necesarios basados en el análisis de brechas.
  5. Implemente su política. Capacite a su personal y establezca fechas para evaluar su organización en su conjunto. La persistencia es la clave para fortalecer sus sistemas y detectar y bloquear ataques de manera oportuna.
  6. Contrate a un profesional para supervisar el cumplimiento. Esta persona interactuará con su equipo de TI para asegurarse de que se cumplan todos los estándares. También preparará evidencia y documentación para probar que su organización está protegiendo CUI.
  7. Amplíe su revisión. Asegúrese de que todos los subcontratistas, así como todos en su cadena de suministro, también cumplan con NIST SP 800-171.

¿Cómo ayuda Netwrix con el cumplimiento de CMMC?

Using established best practices and understanding the compliance lifecycle is a good way to build a solid foundation for compliance with any standard, including the CMMC. With the Netwrix Data Security Platform, you can achieve, maintain and prove compliance with less effort and expense. You can automate processes like change, access and configuration auditing, ensure accurate discovery and classification of sensitive data, and get insights into your data and infrastructure security.

FAQ

¿Qué es CMMC?

La Certificación del Modelo de Madurez de Ciberseguridad (CMMC) es un estándar establecido por el Departamento de Defensa de los Estados Unidos (DoD) para asegurarse de que los protocolos de ciberseguridad utilizados por los contratistas de defensa sean lo suficientemente fuertes. CMMC es una colección de estándares y marcos de ciberseguridad existentes como DFARS, FAR y NIST.

¿Quién está sujeto a la certificación CMMC?

CMMC se aplica a todas las empresas dentro de la cadena de suministro del DoD, incluyendo no solo a aquellas en la base industrial de defensa, sino también a las que se dedican a la adquisición, construcción o desarrollo. Esto incluye a los contratistas principales que interactúan directamente con el DoD, así como a los subcontratistas que trabajan con los contratistas para ejecutar contratos del DoD.

¿Cómo puedo obtener la certificación CMMC?

Puede obtener la certificación CMMC al ser auditado por una organización de evaluación de terceros (3PAO) o un evaluador individual. El DoD publicará más detalles sobre cómo puede obtener la certificación a medida que nos acerquemos al lanzamiento de CMMC en 2025.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Mike Tierney

Exvicepresidente de Éxito del Cliente

Exvicepresidente de Éxito del Cliente en Netwrix. Cuenta con una trayectoria diversa construida a lo largo de 20 años en la industria del software, habiendo ocupado los cargos de CEO, COO y VP de Gestión de Productos en varias empresas enfocadas en seguridad, cumplimiento y en aumentar la productividad de los equipos de TI.

Aprende más sobre este tema

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad