Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Requisitos de ciberseguridad del DoD: Consejos para el cumplimiento

Requisitos de ciberseguridad del DoD: Consejos para el cumplimiento

Sep 28, 2022

Los sistemas de TI y los datos del Departamento de Defensa (DoD) y su red de contratistas son un asunto de seguridad nacional. En consecuencia, el DoD mantiene requisitos de ciberseguridad que las organizaciones deben cumplir para ser un proveedor aprobado para el DoD.

Este artículo ofrece una visión general de los documentos más pertinentes que informan las expectativas de ciberseguridad del DoD para las organizaciones de la base industrial de defensa (DIB), una revisión de marcos útiles y consejos para implementar los requisitos del DoD.

Contenido relacionado seleccionado:

¿Cuáles son los requisitos de ciberseguridad del DoD?

Los requisitos para la ciberseguridad se pueden encontrar en los siguientes tres documentos, que se apoyan y hacen referencia entre sí:

  • Suplemento de Regulación de Adquisiciones Federales de Defensa (DFARS) — La cláusula 252.204-7012 describe las expectativas de higiene cibernética para las organizaciones de la Base Industrial de Defensa.
  • NIST 800-171 — Basado en DFARS, NIST 800-171 proporciona pautas detalladas para que las empresas evalúen sus prácticas de ciberseguridad.
  • CMMC — El CMMC ofrece un plan claro para que las organizaciones de DIB obtengan la certificación de higiene cibernética requerida para ser un proveedor aprobado del DoD.

DFARS

DFARS establece los requisitos para las empresas que hacen negocios con el Departamento de Defensa. La ciberseguridad está cubierta bajo la cláusula 252.204-7012, “Protección de la Información de Defensa Cubierta y Reporte de Incidentes Cibernéticos.”

¿Qué tipos de datos deben ser protegidos?

Los requisitos de ciberseguridad del DoD protegen dos tipos principales de registros digitales y físicos: Controlled Unclassified Information (CUI) y Federal Contract Information (FCI)

CUI incluye lo siguiente:

  • Información de identificación personal (PII)
  • Información Comercial Propietaria (PBI)
  • Información Técnica Controlada No Clasificada (CTI)
  • Para Uso Oficial Únicamente (FOUO)

FCI incluye los detalles de un contrato entre el gobierno y una organización. FCI no incluye información que ya es de conocimiento público (como la que se encuentra en sitios web gubernamentales) o información transaccional. PCI nunca está destinado para ser divulgado públicamente.

Las organizaciones que desean trabajar con el DoD necesitan poder identificar la CUI y la FCI que almacenan y procesan, para poder protegerla de acuerdo con los requisitos del DoD.

¿Quién necesita cumplir con la normativa?

Mientras que los estándares del DoD proporcionan pautas útiles para la ciberseguridad en general, son un requisito para algunos negocios. Cualquier contratista que trabaje con el DoD y almacene, procese o circule CUI debe cumplir con los estándares DFARS. Esto incluye asegurar que todos los datos no clasificados del DoD estén protegidos con las salvaguardias adecuadas, minimizando las vulnerabilidades del sistema y las posibles consecuencias de una violación, e implementando buenas prácticas de reporte de incidentes.

NIST 800-171

En respuesta a DFARS, el Instituto Nacional de Estándares y Tecnología (NIST) desarrolló NIST 800-171 para proporcionar un desglose detallado de las mejores prácticas de higiene cibernética. Específicamente, NIST 800-171 está diseñado para ayudar a los contratistas del DoD a proteger los datos CUI. No cubre la protección de los datos FCI.

Familias de controles NIST 800-171

NIST 800-171 desglosa los controles de seguridad en las siguientes 14 familias:

1. Control de Acceso

Monitoree todos los eventos de acceso dentro de un sistema y limite el acceso de cada usuario a los sistemas y datos al mínimo necesario para realizar su trabajo.

2. Concienciación y Formación

Asegúrese de que el personal reciba suficiente capacitación sobre políticas, prácticas y riesgos de seguridad adecuados a su privilegio de acceso. Capacite regularmente para que los usuarios estén preparados para responder a las amenazas.

3. Auditoría y Responsabilidad

Mantenga registros de auditoría adecuados, prácticas de gestión de registros y reportes de auditoría. Limite el acceso a los sistemas de auditoría.

4. Gestión de Configuración

Configure el hardware y el software para restringir el acceso a funciones y programas no esenciales y prevenir la instalación de software no autorizado.

5. Identificación y Autenticación

Prevenga el uso no autorizado de sistemas implementando autenticación multifactor (MFA) y políticas de contraseñas fuertes.

6. Respuesta a Incidentes

Desarrolle y pruebe procedimientos para garantizar la detección y respuesta rápidas a las amenazas.

7. Mantenimiento

Realice mantenimiento del sistema para prevenir la divulgación de CUI. Monitoree a los empleados, prevenga el uso de dispositivos con CUI fuera de las instalaciones y revise los medios para detectar código malicioso.

8. Protección de Medios

Controle el acceso, la protección y la eliminación de medios que contienen CUI. Utilice criptografía para proteger los datos digitales.

9. Protección Física

Prevenga daños físicos en hardware, software, redes y datos limitando el acceso y manteniendo registros de auditoría

10. Seguridad del Personal

Monitoree la actividad de los usuarios, especialmente durante los cambios de personal.

11. Evaluación de Riesgos

Realice pruebas de vulnerabilidad de los sistemas y evalúe frecuentemente los riesgos potenciales para su organización.

12. Evaluación de Seguridad

Defina los límites del sistema e implemente un plan para reducir las vulnerabilidades. Refine los requisitos de seguridad con frecuencia.

13. Protección de Sistemas y Comunicaciones

Asegure la comunicación de la información CUI. Utilice redes o subredes separadas para la información no protegida y establezca por defecto la denegación de comunicaciones de red (listas blancas).

14. Integridad del sistema e información

Identifique rápidamente las fallas del sistema. Responda inmediatamente a las violaciones de seguridad y errores del sistema. Actualice el software de seguridad tan pronto como se lancen nuevas versiones.

Se pueden encontrar más detalles sobre los controles NIST 800-171 aquí.

Contenido relacionado seleccionado:

Actualizaciones de NIST

NIST 800-171 fue creado en 2015 y recibe actualizaciones periódicas. Cada vez que ocurre una actualización, los contratistas tienen un plazo establecido para cumplir con las nuevas regulaciones o arriesgarse a perder su estatus de proveedor aprobado con el DoD.

CMMC

Mientras la DFARS clause establece las mejores prácticas para la ciberseguridad empresarial, la Cybersecurity Maturity Model Certification (CMMC) evalúa la calidad de los programas de ciberseguridad de una organización y proporciona un conjunto de certificaciones que atestiguan esta calidad. Estas certificaciones estandarizan la aprobación de los proveedores del DoD. Las certificaciones CMMC se aplican tanto a los datos FCI como CUI.

¿A quién se aplica CMMC?

Los estándares CMMC se aplican a todas las organizaciones que reciben financiamiento del DoD para realizar negocios o prestar servicios. Conocido como el complejo industrial de defensa, esto incluye a más de 300,000 organizaciones que proveen bienes o servicios para el DoD.

Cronología de CMMC

Prácticamente cualquiera que haya seguido la evolución del CMMC tiene preguntas sobre la cronología. Después de la versión 1.0 y las subsiguientes “reglas provisionales” para el CMMC, la segunda versión de la certificación se lanzó en noviembre de 2021. Sin embargo, aún no ha entrado en vigor; CMMC 2.0 todavía está en el proceso de creación de normas, lo cual podría tardar hasta dos años.

Esto no significa que los estándares de certificación no deban ser una prioridad para las empresas. Los contratistas están dando prioridad al cumplimiento de los nuevos estándares dentro de sus cadenas de suministro con la esperanza de adelantarse. El cumplimiento con CMMC 2.0 también alineará a su empresa con las directrices NIST 800-171.

Niveles de cumplimiento de CMMC

El DoD realizó varios cambios entre CMMC 1.0 y 2.0 para simplificar los niveles de cumplimiento. La primera versión tenía cinco niveles con diferentes estándares de evaluaciones. En la versión 2.0, hay tres niveles de cumplimiento de CMMC, dependiendo del tipo de datos y la intensidad del contrato con el DoD. Los diferentes niveles tienen diferentes expectativas para las evaluaciones. Consulte el gráfico a continuación para obtener más detalles sobre los niveles de cumplimiento de CMMC 2.0.

Nivel

Tipo de evaluación

Quién debe cumplir

Nivel 1. Fundamental

Evaluaciones anuales de autoevaluación

Empresas que solo tratan con FCI

Nivel 2. Avanzado

Evaluaciones de terceros cada tres años y autoevaluaciones anualesEvaluaciones de tercerosevaluaciones

Empresas que manejan CUI

Nivel 3. Experto

Evaluaciones adicionales lideradas por el gobierno cada tres años

Especificados en contratos individuales del DoD

Cómo cumplir con el CMMC

Cumplir con el CMMC requiere el cumplimiento de los 17 conjuntos de estándares. Estos incluyen las 14 familias de controles de NIST 800-171 revisadas anteriormente y los siguientes tres grupos adicionales:

Área Adicional

Descripción

Recuperación

Cree un plan de recuperación en caso de una data breach o pérdida.

Conciencia situacional

Comprenda su entorno de TI para aprender eficientemente sobre amenazas cibernéticas y responder a ellas de manera adecuada.

Gestión de activos

Identifique activos, particularmente datos CUI, y defina sus procedimientos para manejar y clasificar esos activos.

Para soporte, descargue esta CMMC compliance starter checklist.

DoD Frameworks

Como subdirector de CIO o CISO para una organización afiliada al DoD, puede que encuentre que los requisitos de DFARS, NIST y el CMMC son abrumadores. Pero hay una gran cantidad de recursos disponibles para ayudarle a lograr el cumplimiento de la ciberseguridad del DoD, como esta compilación de material de referencia. A continuación, proporcionamos recursos útiles para ayudarle con muchos aspectos críticos del cumplimiento.

Desarrollando una estrategia de ciberseguridad

Las organizaciones deben crear una estrategia de ciberseguridad de 4 a 5 años que les permita modificar procesos e implementar controles. Los siguientes recursos pueden ayudarte a crear una sólida estrategia de ciberseguridad:

Construyendo redes defensibles

Construir una red defendible requiere implementar herramientas y procesos de monitoreo, automatización, detección de amenazas y respuesta ante incidentes. Los siguientes recursos pueden ayudar:

  • FIPS 199 — Proporciona categorías estandarizadas para sistemas de información federales basados en su nivel de riesgo, lo que puede ayudarle a establecer prioridades para su estrategia de seguridad
  • FIPS 200 – Define los requisitos mínimos de seguridad dependiendo del nivel de riesgo de la información y explica el proceso para seleccionar controles de seguridad basados en el nivel de riesgo de su información
  • NIST SP 800-53 — Proporciona un catálogo de controles de seguridad y privacidad para sistemas de información federales y organizaciones y un proceso para seleccionar los controles apropiados

Estableciendo protección de infraestructura crítica

La protección de infraestructuras críticas (CIP) se refiere a una estrategia integral de creación de sistemas, redes y bases de datos resilientes. Esto incluye la prevención de daños y la protección de datos, así como la mitigación de incidentes, respuesta y recuperación. Hay muchos recursos para planes y políticas de CIP que pueden apoyar a los CIOs y CISOs. Por ejemplo, los estándares ISA/IEC 62443 proporcionan herramientas de seguridad y mejores prácticas para propietarios de activos, proveedores de servicios y proveedores.

Gestión de acceso

Los siguientes recursos pueden ayudarlo a gestionar adecuadamente el acceso a sus datos, aplicaciones y otros activos de TI:

  • NIST SP 800-60 — Informa las prácticas de gestión de acceso proporcionando orientación para categorizar la información como CUI y controlar quién tiene acceso a ella
  • NIST SP 800-133 — Le ayuda a proteger datos sensibles utilizando algoritmos criptográficos aprobados

Compartiendo información

Compartir información sobre amenazas cibernéticas y atacantes es crucial para reforzar la ciberseguridad. Los siguientes recursos pueden ayudar.

  • DoD Cyber Exchange — Proporciona orientación y formación para profesionales de ciberseguridad dentro y fuera del DoD

Construyendo una fuerza laboral de ciberseguridad

Los siguientes recursos pueden ayudarte en la incorporación, calificación y gestión de personas que trabajan en TI o ciberseguridad:

  • NIST SP 800-16 — Proporciona conceptos para la formación en seguridad informática en el ciberespacio moderno permitiendo flexibilidad para el software y tecnologías futuras
  • NIST SP 800-100 — Proporciona orientación para los gerentes sobre el establecimiento de un programa de seguridad de la información

Consejos para mantenerse ciberseguro

El Centro Nacional de Integración de Ciberseguridad y Comunicaciones (NCCIC) ha recopilado siete estrategias clave para comenzar a cumplir con los estándares de higiene cibernética del DoD:

  • Utilice la lista blanca de aplicaciones (AWL) — Defina una lista de software aprobado y bloquee todo lo demás. Esto es mucho más efectivo que intentar poner en la lista negra cada aplicación no deseada.
  • Practique una configuración adecuada y la gestión de parches — Implemente configuraciones de línea base seguras y corrija rápidamente cualquier desviación. Asegúrese de que las actualizaciones críticas se apliquen de manera oportuna.
  • Refuerce la seguridad de su red — Minimice los posibles puntos de entrada para atacantes y segmente su red en múltiples enclaves para aislar a los atacantes.
  • Implemente la autenticación multifactor — Utilice MFA, especialmente para cuentas con acceso privilegiado a CUI.
  • Acceso remoto seguro — Controle el acceso remoto utilizando MFA y estándares controlados por el operador y limitados por tiempo. Busque regularmente puertas traseras ocultas que podrían permitir a los atacantes obtener acceso remoto a un sistema.
  • Monitoree los sistemas constantemente — Para acelerar la detección de amenazas y la respuesta y garantizar la rendición de cuentas, implemente monitoreo continuo con inteligencia de amenazas para el tráfico IP en los límites de ICS, el tráfico IP dentro de la red y la actividad de la cuenta de administrador.
  • Establezca y pruebe regularmente un plan de respuesta a incidentes — Cree un plan de respuesta integral para incidentes de seguridad. Las acciones de respuesta pueden incluir desconectar todos los dispositivos de internet, deshabilitar cuentas específicas, aislar segmentos de la red, realizar una búsqueda de malware e inmediatamente requerir un restablecimiento de contraseña. Pruebe y revise el plan periódicamente.
  • Desarrolle una tarjeta de puntuación de ciberseguridad de acuerdo con los estándares y marcos del DoD — Una tarjeta de puntuación le ayudará a medir su progreso hacia una ciberseguridad más robusta.

Cómo Netwrix puede ayudar

Lograr y mantener el cumplimiento con los estándares de ciberseguridad del DoD es necesario para obtener un lugar en la lista de proveedores aprobados del gobierno. Netwrix solutions ofrecen un enfoque integral a los desafíos de la ciberseguridad asegurando su organización en todas las superficies de ataque principales: datos, identidad e infraestructura.

Conozca más sobre nuestras principales soluciones:

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Kevin Joyce

Director de Product Management

Director de Product Management en Netwrix. Kevin tiene una pasión por la ciberseguridad, específicamente en comprender las tácticas y técnicas que los atacantes utilizan para explotar los entornos de las organizaciones. Con ocho años de experiencia en product management, enfocándose en Active Directory y la seguridad de Windows, ha llevado esa pasión a ayudar a construir soluciones para que las organizaciones protejan sus identidades, infraestructura y datos.

Aprende más sobre este tema

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad