Certificación del Modelo de Madurez de Ciberseguridad (CMMC) Versión 2: Consideraciones sobre la gestión de riesgos de terceros

CMMC v2.0 racionaliza los niveles de certificación, elimina las capas de madurez propias y ajusta las responsabilidades de evaluación de riesgos de terceros. Descubra cómo puede aplicarse a su empresa.

Personal de Mitratech
Personal de Mitratech 8 de diciembre de 2021 6 min leer
 

En noviembre de 2021, la Oficina del Subsecretario de Defensa para Adquisiciones y Sostenimiento del Departamento de Defensa de los Estados Unidos (DoD) publicó la versión 2.0 de la Certificación del Modelo de Madurez de Ciberseguridad (CMMC), un marco integral diseñado para proteger la base industrial de defensa de ciberataques cada vez más frecuentes y complejos. La versión 2.0 simplifica el modelo racionalizando los niveles de certificación de cinco (5) a tres (3), eliminando capas de madurez propias y ajustando las responsabilidades de evaluación. Este artículo resume las novedades de la versión 2.0 y explica cómo Prevalent puede ayudar a simplificar el proceso de evaluación del CMMC.

¿Qué es el CMMC?

CMMC es una certificación del gobierno federal de EE.UU. en materia de ciberseguridad y mejores prácticas de gestión de la información no clasificada controlada (CUI, por sus siglas en inglés), y dicha certificación determina en última instancia si el DoD puede adjudicar un contrato a una empresa. CMMC tiene como objetivo garantizar que toda nuestra cadena de suministro de defensa nacional (DIBS - proveedores de la base industrial de defensa) sea segura y resistente.

¿Cuáles son los niveles de certificación CMMC?

Todos los proveedores del Departamento de Defensa deberán estar certificados en uno de los tres niveles, desde el nivel 1 (Básico) hasta el nivel 3 (Experto). Esto supone un cambio con respecto a la versión 1.0, que ofrecía cinco niveles de certificación. Los niveles de certificación de la versión 2.0 se derivan de los requisitos básicos de salvaguarda de la Información Contractual Federal (FCI) especificados en la cláusula 52.204-21 del Reglamento Federal de Adquisiciones (FAR) y los requisitos de seguridad para la información no clasificada controlada (CUI) especificados en la Publicación Especial (SP) 800-171 Rev 2 del Instituto Nacional de Estándares y Tecnología (NIST ) según la cláusula 252.204-7012 del Suplemento al Reglamento Federal de Adquisiciones de Defensa (DFARS) y los controles adicionales de la SP 800-172 del NIST Requisitos de seguridad mejorados para proteger la información no clasificada controlada: Suplemento de la publicación especial 800-171 del NIST.

  • Nivel 1 - Autoevaluación realizada por el proveedor respecto a 17 controles. Este nivel de certificación se considera básico y para proveedores que gestionan ILC que no son críticas para la seguridad nacional. Este nivel de certificación no ha cambiado desde la versión 1.0, anunciada originalmente en enero de 2020.
  • Nivel 2 - Un nivel más avanzado de certificación realizado por auditores externos (conocidos como C3PAO, u organizaciones de auditoría externas certificadas) respecto a 110 controles adicionales de la norma NIST SP 800-171. Este nivel se considera para las empresas que tienen información no clasificada controlada (CUI). En algunos casos, las organizaciones pueden realizar una autoevaluación a este nivel.
  • Nivel 3 - Considerado un nivel experto para los proveedores del Departamento de Defensa de mayor prioridad, este nivel se basa en el Nivel 2 añadiendo un subconjunto de controles NIST SP 800-172 en la parte superior. El gobierno federal realizará las auditorías de las empresas de este nivel.
Requisitos detallados del CMMC
Consulte la tabla siguiente para ver un resumen de los requisitos CMMC por nivel, organizados por Controles de seguridad relevantes NIST SP 800-171r2, que se incluyen como cuestionarios integrados en la Plataforma Prevalent. La información sobre el nivel 3 será publicada por el DoD de EE.UU. en una fecha posterior y contendrá un subconjunto de los requisitos de seguridad especificados en NIST SP 800-172.

 

 

 

Control de acceso
Nivel 1

3.1.1 Control de acceso autorizado
3.1.2 Control de transacciones y funciones
3.1.20 Conexiones Externas
3.1.22 Control de Información Pública

 Nivel 2

3.1.3 Controlar el flujo de CUI
3.1.4 Separación de funciones
3.1.5 Mínimo Privilegio
3.1.6 Uso de cuentas sin privilegios
3.1.7 Funciones Privilegiadas
3.1.8 Intentos fallidos de inicio de sesión
3.1.9 Avisos de Privacidad y Seguridad
3.1.10 Bloqueo de Sesión
3.1.11 Terminación de Sesión
3.1.12 Control de Acceso Remoto
3.1.13 Configurabilidad de Acceso Remoto
3.1.14 Enrutamiento de Acceso Remoto
3.1.15 Acceso Remoto Privilegiado
3.1.16 Autorización de acceso inalámbrico
3.1.17 Protección de acceso inalámbrico
3.1.18 Conexión de dispositivos móviles
3.1.19 Encriptar CUI en Móviles
3.1.21 Uso de Almacenamiento Portátil
Sensibilización y formación
Nivel 1

N/A

 Nivel 2

3.2.1 Concienciación sobre riesgos basada en funciones
3.2.2 Formación basada en funciones
3.2.3 Concienciación sobre amenazas internas

Cómo realizar evaluaciones CMMC para todos los niveles
Auditoría y rendición de cuentas
Nivel 1

N/A

 Nivel 2

3.3.1 Auditoría del sistema
3.3.2 Responsabilidad de los usuarios
3.3.3 Revisión de Eventos
3.3.4 Alerta de Fallo de Auditoría
3.3.5 Correlación de Auditorías
3.3.6 Reducción e Informes
3.3.7 Fuente de tiempo autorizada
3.3.8 Protección de Auditoría
3.3.9 Gestión de Auditoría
Gestión de la configuración
Nivel 1

N/A

 Nivel 2

3.4.1 Establecimiento de la base del sistema
3.4.2 Aplicación de la configuración de seguridad
3.4.3 Gestión de cambios del sistema
3.4.4 Análisis de impacto de seguridad
3.4.5 Restricciones de acceso para cambios
3.4.6 Funcionalidad mínima
3.4.7 Funcionalidad no esencial
3.4.8 Política de ejecución de aplicaciones
3.4.9 Software Instalado por el Usuario
Identificación y autenticación
Nivel 1

3.5.1 Identificación
3.5.2 Autentificación

 Nivel 2

3.5.3 Autenticación multifactor
3.5.4 Autenticación a prueba de repeticiones
3.5.5 Reutilización de identificadores
3.5.6 Manejo de identificadores
3.5.7 Complejidad de las contraseñas
3.5.8 Reutilización de contraseñas
3.5.9 Contraseñas temporales
3.5.10 Contraseñas protegidas criptográficamente
3.5.11 Retroalimentación Oscura
Respuesta a incidentes
Nivel 1

N/A

 Nivel 2

3.6.1 Gestión de incidentes
3.6.2 Reporte de Incidentes
3.6.3 Pruebas de respuesta a incidentes
Mantenimiento
Nivel 1

N/A

 Nivel 2

3.7.1 Realizar el mantenimiento
3.7.2 Control del mantenimiento del sistema
3.7.3 Higienización de Equipos
3.7.4 Inspección de Medios
3.7.5 Mantenimiento No Local
3.7.6 Personal de mantenimiento
Protección de los medios de comunicación
Nivel 1

3.8.3 Eliminación de soportes

 Nivel 2

3.8.1 Protección de soportes
3.8.2 Acceso a los soportes
3.8.4 Marcado de los medios
3.8.5 Responsabilidad de los medios
3.8.6 Cifrado de almacenamiento portátil
3.8.7 Medios extraíbles
3.8.8 Medios compartidos
3.8.9 Proteger las copias de seguridad
Seguridad del personal
Nivel 1

N/A

 Nivel 2

3.9.1 Selección de personas
3.9.2 Acciones relativas al personal
Protección física
Nivel 1

3.10.1 Limitar el acceso físico
3.10.3 Escoltar a los Visitantes
3.10.4 Registros de Acceso Físico
3.10.5 Gestionar el Acceso Físico

 Nivel 2

3.10.2 Instalación del monitor
3.10.6 Lugares de trabajo alternativos
Evaluación de riesgos Fila 2, Columna 2
Nivel 1

N/A

 Nivel 2

3.11.1 Evaluación de riesgos
3.11.2 Exploración de vulnerabilidades
3.11.3 Corrección de vulnerabilidades
Evaluación de la seguridad
Nivel 1

N/A

 Nivel 2

3.12.1 Evaluación de los controles de seguridad
3.12.2 Plan de Acción
3.12.3 Monitoreo del Control de Seguridad
3.12.4 Plan de seguridad del sistema
Protección de sistemas y comunicaciones
Nivel 1

3.13.1 Protección de límites
3.13.5 Separación de sistemas de acceso público

 Nivel 2

3.13.2 Ingeniería de seguridad
3.13.3 Separación de roles
3.13.4 Control de recursos compartidos
3.13.6 Comunicación de red por excepción
3.13.7 Túnel dividido
3.13.8 Datos en tránsito
3.13.9 Terminación de conexiones
3.13.10 Gestión de claves
3.13.11 Cifrado CUI
3.13.12 Control colaborativo de dispositivos
3.13.13 Código móvil
3.13.14 Protocolo de voz sobre Internet
3.13.15 Autenticidad de las comunicaciones
3.13.16 Datos en reposo
Integridad del sistema y de la información
Nivel 1

3.14.1 Corrección de fallos
3.14.2 Protección contra código malicioso
3.14.4 Actualización de la protección contra código malicioso
3.14.5 Escaneo de Sistema y Archivos

 Nivel 2

3.14.3 Alertas y avisos de seguridad
3.14.6 Monitorear comunicaciones por ataques
3.14.7 Identificar uso no autorizado

La plataforma de gestión de riesgos de terceros de Prevalent cuenta con cuestionarios integrados para los niveles 1 y 2, que permiten a los proveedores evaluarse a sí mismos y a los auditores evaluar a sus clientes con respecto a cada nivel. Cuando se publiquen los requisitos de certificación de nivel 3, Prevalent añadirá el cuestionario correspondiente a la plataforma.

Los C3PAO pueden:

  • Invitar a los clientes a la plataforma Prevalent para completar su evaluación de control estandarizada de nivel 2 en un inquilino seguro y fácil de usar.
  • Automatice los recordatorios de seguimiento a proveedores o clientes para reducir el tiempo necesario para completar las evaluaciones.
  • Centralizar los justificantes presentados como prueba de la presencia de controles
  • Ver un registro único de los riesgos planteados en función de cómo responda el cliente o proveedor a las preguntas
  • Emitir recomendaciones para remediar los controles fallidos
  • Entregar informes personalizados sobre el nivel actual de cumplimiento, demostrando el impacto en la reducción de riesgos de la aplicación de futuros controles.

Cualquier proveedor del DoD puede realizar una autoevaluación de nivel 1 o 2 para:

  • Evaluarse a sí mismos con respecto a los 17 controles necesarios para medir el cumplimiento del Nivel 1.
  • Evaluarse a sí mismos con respecto a los 110 controles necesarios para medir el cumplimiento del Nivel 2.
  • Cargar documentación y pruebas que respalden las respuestas a las preguntas
  • Obtenga visibilidad del estado actual de cumplimiento
  • Aproveche las orientaciones integradas para subsanar las deficiencias
  • Elaborar informes para medir el cumplimiento para los auditores

Para obtener más información sobre cómo Prevalent ayuda a proteger la cadena de suministro del Departamento de Defensa, visite nuestra página de cumplimiento CMMC, descargue nuestro libro blanco sobre cumplimiento o solicite una demostración de la plataforma Prevalent hoy mismo.

 

Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. All rights reserved.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. All rights reserved.