Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Test 2 – Lo que las organizaciones sanitarias de Luxemburgo deben saber sobre la información de salud protegida (PHI) transfronteriza

Test 2 – Lo que las organizaciones sanitarias de Luxemburgo deben saber sobre la información de salud protegida (PHI) transfronteriza

by Bob Ertl updated abril 29, 2026 Cumplimiento CMMC
Reading Time: 12 minutes

Dada la complejidad del marco de Cybersecurity Maturity Model Certification (CMMC), es fundamental que los contratistas y subcontratistas del gobierno cuenten con una lista de verificación integral de cumplimiento CMMC para asegurarse de cumplir con todos los requisitos.

El proceso de certificación CMMC es arduo, pero nuestra hoja de ruta de cumplimiento CMMC 2.0 puede ayudarte.

Este artículo del blog explora los requisitos de cumplimiento CMMC para el marco CMMC 2.0, proporciona una lista de verificación integral de cumplimiento CMMC y ofrece a los contratistas del Departamento de Defensa (DoD) ideas prácticas sobre cómo pueden lograr el cumplimiento CMMC.

¿Qué es el cumplimiento CMMC?

CMMC es un marco de ciberseguridad que regula a los contratistas de manufactura que trabajan en la Base Industrial de Defensa (Defense Industrial Base), una extensa lista de socios de la cadena de suministro del DoD. Cualquier contratista o subcontratista que procese, envíe, comparta o reciba información no clasificada controlada (CUI) o información sobre contratos federales (FCI) debe demostrar cumplimiento con CMMC.

El objetivo del marco CMMC es tomar requisitos y estándares dispares, junto con varios modelos de autoevaluación y atestación, y consolidarlos en prácticas de seguridad confiables, rigurosas y robustas con las que cualquier empresa pueda alinearse.

Los componentes de CMMC que lo diferencian de otras regulaciones federales, como las Regulaciones Internacionales de Tráfico de Armas (ITAR), la Ley Federal de Gestión de Seguridad de la Información (FISMA) o el Programa Federal de Administración y Autorización de Riesgos (FedRAMP), incluyen:

  • Información No Clasificada Controlada (CUI) e Información sobre Contratos Federales (FCI): CMMC abarca el almacenamiento, procesamiento, transmisión y destrucción de CUI de manera explícita. La CUI es un tipo de dato único que no ha sido designado bajo la clasificación de Secreto pero requiere protecciones especiales para preservar la seguridad nacional. Ejemplos de CUI pueden incluir información financiera relacionada con contratos gubernamentales, información personal identificable o información de salud protegida (PII/PHI) de empleados gubernamentales, o datos técnicos sensibles relacionados con sistemas de defensa.

    La FCI es otra forma de información de menor sensibilidad que tiene que ver con las relaciones contractuales entre contratistas y agencias. CMMC está diseñado para gestionar ambos casos.

  • Estándares NIST: CMMC, al igual que otros marcos federales de ciberseguridad, se basa en estándares creados y mantenidos por el Instituto Nacional de Estándares y Tecnología (NIST). Específicamente, CMMC se apoya en NIST 800-171, «Protección de Información No Clasificada Controlada en Sistemas y Organizaciones No Federales».

    Además, el Nivel 3 del cumplimiento CMMC tomará elementos de NIST SP 800-172, «Requisitos de Seguridad Mejorados para la Protección de Información No Clasificada Controlada: Un Suplemento a la Publicación Especial 800-171 del NIST».

  • Niveles de Madurez: Para ayudar a los contratistas y agencias de defensa a alinearse en el nivel de seguridad requerido para establecer relaciones de trabajo, CMMC divide el cumplimiento en tres niveles de madurez según la implementación de los controles NIST SP 800-171 (y potencialmente SP 800-172) por parte del contratista.
  • Evaluaciones de terceros: Al igual que FedRAMP, CMMC depende de evaluaciones de terceros realizadas por Organizaciones Evaluadoras de Terceros CMMC (C3PAO) certificadas como las que aparecen aquí.

Puntos clave

  1. Niveles de madurez simplificados

    El marco CMMC 2.0 solo contempla tres niveles de madurez: Fundamental (Nivel 1), Avanzado (Nivel 2) y Experto (Nivel 3). Esta reducción busca simplificar la estructura de requisitos para contratistas y subcontratistas de defensa.

  2. Alineación con estándares NIST

    CMMC 2.0 pone mayor énfasis en alinearse con los estándares NIST existentes. Específicamente, el cumplimiento de Nivel 2 se alinea con NIST SP 800-171, mientras que el Nivel 3 incluye elementos de NIST SP 800-172, buscando mejorar la coherencia con marcos de ciberseguridad consolidados.

  3. Autoevaluaciones y evaluaciones de terceros

    Los contratistas de defensa que gestionan Información sobre Contratos Federales (FCI) en el Nivel 1 pueden realizar autoevaluaciones anuales, eliminando la necesidad de certificación de terceros. Sin embargo, el Nivel 2 requiere una combinación de autoevaluaciones y evaluaciones de terceros según el tipo de información no clasificada controlada (CUI) gestionada.

  4. Lista de verificación de cumplimiento

    Evalúa el nivel de madurez deseado, realiza una autoevaluación, aprovecha marcos existentes, crea un POA&M y SSP, selecciona una C3PAO y define un cronograma y presupuesto.

¿Cuándo se requiere el cumplimiento CMMC?

La fecha prevista de entrada en vigor para CMMC 2.0 es el 16 de diciembre de 2024, exactamente 60 días después de su publicación.

El requisito para lograr el cumplimiento CMMC depende del calendario de implementación gradual del Departamento de Defensa, que comenzó tras la publicación de la regla final que afecta los Requisitos 32 CFR y la Regla Propuesta CMMC 48 CFR. Si bien la Regulación CFR CMMC estableció la base legal del programa, la inclusión real de los requisitos CMMC en los contratos se está realizando de manera gradual a lo largo de varios años.

El DoD está incorporando cláusulas CMMC en las Solicitudes de Información (RFI) y Solicitudes de Propuestas (RFP) según la prioridad del programa y la sensibilidad de la información involucrada. Los contratistas deben monitorear de cerca las nuevas licitaciones para identificar cuándo los niveles específicos de CMMC se vuelven obligatorios para participar en las ofertas.

Para el Nivel 1, se requieren autoevaluaciones anuales al adjudicarse el contrato.

Para el Nivel 2 que involucra CUI crítica, es necesaria una evaluación trienal de terceros por parte de una C3PAO antes de la adjudicación del contrato, mientras que otros contratos de Nivel 2 pueden permitir autoevaluaciones anuales.

El Nivel 3 requiere evaluaciones trienales lideradas por el gobierno. Los contratos existentes generalmente no requerirán automáticamente el cumplimiento CMMC a menos que sean modificados, pero todos los nuevos contratos del DoD que involucren FCI o CUI eventualmente incluirán estos requisitos a medida que avance la implementación gradual.

Dado el tiempo necesario para prepararse para las evaluaciones, especialmente las certificaciones de terceros, las organizaciones deben comenzar sus esfuerzos de cumplimiento CMMC mucho antes de anticipar contratos con estas estipulaciones.

¿Necesitas asegurar una evaluación exitosa de una C3PAO? No dejes de consultar nuestra Guía de Evaluación CMMC Nivel 2.

¿Quién necesita la certificación CMMC?

La certificación CMMC es prácticamente inevitable si ofreces productos o servicios al DoD. Los siguientes tipos de organizaciones deben demostrar cumplimiento y obtener la certificación CMMC, ya sea en el Nivel 1, 2 o 3:

  • Todos los contratistas y subcontratistas del DoD: Cualquier organización, sin importar su tamaño, que gestione Información sobre Contratos Federales (FCI) o Información No Clasificada Controlada (CUI) como parte de un contrato con el DoD debe alcanzar el nivel requerido de cumplimiento CMMC. Esto aplica a toda la cadena de suministro de la Base Industrial de Defensa (DIB).
  • Contratistas principales: Las organizaciones que contratan directamente con el DoD son responsables de asegurar su propio cumplimiento y de verificar el cumplimiento de sus subcontratistas.
  • Subcontratistas (todos los niveles): Las empresas que trabajan para contratistas principales, o incluso para otros subcontratistas, deben cumplir con los requisitos CMMC que les correspondan según el tipo de información que gestionan (FCI o CUI). Si un subcontratista gestiona CUI relacionada con un contrato que exige CMMC Nivel 2, ese subcontratista también debe lograr el cumplimiento o certificación de Nivel 2.
  • Proveedores y vendedores: Incluso las organizaciones que proveen productos comerciales estándar (COTS) podrían necesitar CMMC Nivel 1 si gestionan FCI durante el proceso de contratación. Si gestionan CUI, aplican niveles superiores.
    Ejemplos de tipos de empresas: Esto incluye fabricantes, firmas de ingeniería, desarrolladores de software, proveedores de servicios de TI, instituciones de investigación, consultores, empresas de logística y cualquier otra entidad que participe en la cadena de suministro del DoD y gestione información sensible de contratos.
  • Variación de requisitos: El nivel CMMC específico requerido (Nivel 1, 2 o 3) depende directamente del tipo y sensibilidad de la información gestionada. El Nivel 1 se enfoca en proteger FCI (requiere higiene cibernética básica y autoevaluación). Los Niveles 2 y 3 se enfocan en proteger CUI, exigiendo prácticas de seguridad cada vez más robustas alineadas con NIST SP 800-171 y NIST SP 800-172, respectivamente, y a menudo requieren evaluaciones de terceros o del gobierno para la certificación CMMC.

Conoce la diferencia entre certificación CMMC y cumplimiento CMMC.

Requisitos de CMMC 2.0

La transición de CMMC 1.0 a CMMC 2.0 reflejó una simplificación y refinamiento del marco y los requisitos CMMC para hacer el cumplimiento más eficiente y práctico para los contratistas de defensa en la base industrial de defensa (DIB). Los cambios en los requisitos CMMC incluyen:

1. Menos niveles de madurez CMMC

CMMC 1.0 contemplaba cinco niveles, desde higiene cibernética básica (Nivel 1) hasta avanzado/progresivo (Nivel 5). En cambio, CMMC 2.0 exige que los contratistas de defensa cumplan ahora con uno de solo tres niveles de madurez: Nivel 1 (Fundamental), Nivel 2 (Avanzado) y Nivel 3 (Experto).

2. Alineación con estándares NIST

CMMC 2.0 pone mayor énfasis en alinear los requisitos de certificación con los estándares NIST existentes (NIST SP 800-171 para el Nivel 2 y NIST SP 800-172 para el Nivel 3). Esta alineación busca reducir la complejidad y mejorar la coherencia con marcos consolidados.

3. Autoevaluaciones

Bajo CMMC 2.0, las empresas responsables de gestionar Información sobre Contratos Federales (FCI) en el Nivel 1 solo deben realizar autoevaluaciones anuales en lugar de requerir la certificación de terceros por parte de una organización evaluadora certificada (C3PAO). Nota: El cumplimiento CMMC Nivel 2 requiere una combinación de autoevaluaciones y evaluaciones de terceros según el tipo de información gestionada.

4. Eliminación de ciertas prácticas y procesos

El marco CMMC 2.0 ya no incluye los procesos de madurez que formaban parte de los niveles en CMMC 1.0 y se enfoca únicamente en prácticas de ciberseguridad, simplificando los requisitos CMMC.

En definitiva, la transición de CMMC 1.0 a CMMC 2.0 refleja un enfoque más simplificado y alineado para los requisitos de ciberseguridad de los contratistas de defensa.

A pesar de la reducción y simplificación de los niveles, la importancia de cumplir con estos requisitos no puede subestimarse. El cumplimiento CMMC no solo es esencial para mantener contratos existentes y asegurar nuevos con el DoD, sino que también es fundamental para proteger información sensible y mantener la integridad y confiabilidad de la cadena de suministro de defensa.

CMMC 1.0 vs CMMC 2.0: Diferencias clave

CMMC 2.0 representa una evolución significativa respecto al marco inicial CMMC 1.0, diseñado para simplificar requisitos, reducir costos y alinearse mejor con los estándares existentes. Comprender estas diferencias es crucial para una planificación efectiva del cumplimiento CMMC. Aquí las distinciones clave:

  • Niveles de madurez: CMMC 1.0 tenía cinco niveles de madurez. CMMC 2.0 simplifica esto a tres niveles: Nivel 1 (Fundamental), Nivel 2 (Avanzado) y Nivel 3 (Experto). Esta simplificación centra los esfuerzos en estándares clave de ciberseguridad.
  • Alineación con estándares NIST: CMMC 1.0 incluía prácticas y procesos de madurez propios, más allá de los estándares NIST. CMMC 2.0 alinea el Nivel 1 con los requisitos básicos de protección de FAR 52.204-21, el Nivel 2 directamente con los 110 controles de NIST SP 800-171 y el Nivel 3 con NIST SP 800-171 más un subconjunto de controles NIST SP 800-172. Esto elimina controles específicos de CMMC, aprovechando marcos de ciberseguridad consolidados.
  • Requisitos de evaluación: CMMC 1.0 requería evaluaciones de terceros para los Niveles 3-5. CMMC 2.0 cambia esto significativamente: el Nivel 1 exige autoevaluaciones anuales. El Nivel 2 requiere evaluaciones trienales de terceros realizadas por C3PAO para contratos que involucren CUI crítica, pero permite autoevaluaciones anuales para algunos contratos de Nivel 2 (según la sensibilidad de la información). El Nivel 3 exige evaluaciones trienales lideradas por el gobierno (realizadas por DIBCAC).
  • Planes de Acción e Hitos (POA&M): CMMC 1.0 exigía cumplimiento total con todas las prácticas en el momento de la evaluación. CMMC 2.0 permite el uso limitado de POA&M para ciertos requisitos bajo condiciones estrictas (por ejemplo, deben cerrarse en 180 días, no aplican a los requisitos de mayor peso, se requiere una puntuación mínima de evaluación). Esto ofrece cierta flexibilidad pero no elimina la necesidad de un cumplimiento CMMC robusto.
  • Implicaciones de costos: Al reducir el número de niveles, eliminar requisitos exclusivos de CMMC y permitir autoevaluaciones para el Nivel 1 y algunos escenarios de Nivel 2, CMMC 2.0 busca reducir la carga y el costo de cumplimiento, especialmente para pequeñas empresas.
  • Cambios en el cronograma: La implementación de CMMC 2.0 sigue un enfoque de implementación gradual a lo largo de varios años, integrándose en los contratos del DoD de forma progresiva, en contraste con el plan inicial potencialmente más rápido de CMMC 1.0.
  • Impacto en la estrategia de cumplimiento: Las organizaciones que comenzaron a prepararse para CMMC 1.0 deben reevaluar su nivel objetivo bajo la estructura CMMC 2.0. Los esfuerzos invertidos en cumplir con los requisitos de NIST SP 800-171 siguen siendo muy relevantes para CMMC 2.0 Nivel 2. El enfoque debe pasar a cerrar cualquier brecha restante frente a los estándares NIST, preparar el Plan de Seguridad del Sistema (SSP) y determinar la vía de evaluación adecuada (autoevaluación o C3PAO).

¿Cuándo se exigirá CMMC 2.0 en los contratos?

La inclusión de los requisitos CMMC 2.0 en los contratos del Departamento de Defensa (DoD) se está realizando mediante un enfoque estructurado y gradual que comenzó tras la entrada en vigor de la regla final del programa CMMC (codificada en el Título 32 CFR) y la correspondiente regla de adquisiciones (que impacta en DFARS en el Título 48 CFR).

Si bien las fechas específicas dependen de la finalización y entrada en vigor de estas reglas (previstas para principios de 2025), el DoD ha delineado una estrategia de implementación a varios años. Esto significa que los requisitos CMMC 2.0 no aparecerán en todos los contratos al mismo tiempo. En su lugar, el DoD irá introduciendo gradualmente cláusulas CMMC en nuevas licitaciones (RFI, RFP) según la importancia estratégica del contrato y la sensibilidad de la información involucrada (FCI o CUI). Se espera que la implementación comience con un número reducido de contratos y se expanda con el tiempo, abarcando finalmente todos los contratos aplicables del DoD.

Durante el periodo intermedio antes de que los requisitos CMMC aparezcan en un contrato específico, los contratistas que gestionan CUI deben seguir cumpliendo con la cláusula DFARS 252.204-7012 existente, que exige implementar NIST SP 800-171 y reportar las puntuaciones de evaluación al Sistema de Riesgo de Desempeño de Proveedores (SPRS).

No se han anunciado programas piloto generalizados para CMMC 2.0 como los que hubo inicialmente para 1.0, pero los contratistas deben tratar cualquier contrato que incluya una cláusula CMMC como si requiriera cumplimiento para la fecha de adjudicación (o según lo especificado).

El punto clave es que lograr el cumplimiento CMMC, especialmente en los Niveles 2 y 3 que involucran evaluaciones, requiere tiempo y recursos significativos. Los contratistas deben prepararse de manera proactiva ahora, evaluando su situación frente a los requisitos relevantes de CMMC 2.0 (NIST SP 800-171/172), desarrollando su Plan de Seguridad del Sistema (SSP) y planificando las evaluaciones necesarias, en lugar de esperar a que los requisitos aparezcan en una licitación.

Requisitos CMMC por nivel de madurez

Es fundamental que los contratistas de defensa comprendan los requisitos específicos de cada nivel de madurez CMMC antes de iniciar el proceso de cumplimiento y certificación (esto incluye entender la diferencia entre certificación CMMC y cumplimiento CMMC). Cada uno de los tres niveles de madurez del marco CMMC 2.0, Fundamental, Avanzado y Experto, tiene su propio conjunto de prácticas y procesos, diseñados para mejorar progresivamente la postura de ciberseguridad del contratista en paralelo con la sensibilidad de la información que procesan y comparten con el DoD. Los requisitos clave para cada nivel de madurez CMMC 2.0 incluyen:

Requisitos CMMC 2.0 Nivel 1: Ciberseguridad Fundamental

CMMC Nivel 1 se centra en prácticas básicas de ciberseguridad para organizaciones que gestionan información sobre contratos federales (FCI). Este nivel está dirigido a organizaciones que buscan demostrar una higiene cibernética básica. Los requisitos clave son:

  1. Prácticas básicas de protección: Las organizaciones deben implementar 17 prácticas alineadas con el Federal Acquisition Regulation (FAR) 52.204-21, que incluye requisitos fundamentales de protección para la FCI.
  2. Control de acceso: Limitar el acceso a los sistemas de información a usuarios y dispositivos autorizados.
  3. Concienciación y formación: Ofrecer capacitación en concienciación de seguridad al personal de la organización.
  4. Gestión de configuración: Establecer y mantener configuraciones base para los sistemas de información de la organización.
  5. Identificación y autenticación: Identificar a los usuarios, procesos y dispositivos de los sistemas de información y verificar sus identidades antes de conceder acceso.
  6. Protección de medios: Proteger los medios de los sistemas de información tanto durante como después de su uso.
  7. Protección física: Limitar el acceso físico a los sistemas de información y sus componentes.
  8. Evaluación de riesgos: Evaluar y revisar periódicamente los riesgos para las operaciones de la organización.
  9. Evaluación de seguridad: Realizar evaluaciones de seguridad periódicas para asegurar el cumplimiento de los requisitos de seguridad.
  10. Protección de sistemas y comunicaciones: Monitorear, controlar y proteger las comunicaciones organizacionales en los límites externos y puntos internos clave.
  11. Integridad de sistemas e información: Identificar, reportar y corregir fallos en la información y los sistemas de información de manera oportuna.

En general, CMMC 2.0 Nivel 1 exige prácticas básicas de ciberseguridad que deberían ser familiares y sencillas de implementar para la mayoría de las organizaciones, proporcionando protección esencial para el manejo de FCI.

Requisitos CMMC 2.0 Nivel 2: Ciberseguridad Avanzada

CMMC Nivel 2 está dirigido a contratistas de defensa que gestionan información no clasificada controlada (CUI) como parte de sus contratos con el DoD. Estos son los requisitos principales para lograr el Nivel 2 de CMMC 2.0:

  1. Alineación con NIST SP 800-171: El Nivel 2 se alinea principalmente con las 110 prácticas de seguridad descritas en la Publicación Especial 800-171 del Instituto Nacional de Estándares y Tecnología (NIST SP 800-171). Esto incluye controles en varios dominios como control de acceso, respuesta a incidentes y gestión de riesgos.
  2. Evaluación y certificación: Las organizaciones deben someterse a una evaluación de terceros por una Organización Evaluadora de Terceros CMMC (C3PAO) certificada para verificar el cumplimiento. Esto es obligatorio para contratos que involucren CUI.
  3. Autoevaluaciones anuales: También se requiere que las organizaciones realicen autoevaluaciones anuales para asegurar el cumplimiento continuo y mejoras en sus prácticas de ciberseguridad.
  4. Documentación y desarrollo de políticas: Las empresas deben contar con políticas y procedimientos documentados que respalden cada una de las prácticas de seguridad. Esto incluye registros y trazabilidad de auditoría actualizados regularmente.
  5. Gestión de riesgos: Las organizaciones deben implementar un enfoque de gestión de riesgos que identifique, evalúe y gestione los riesgos de ciberseguridad de manera continua.
  6. Reporte de incidentes: Deben existir procedimientos para reportar incidentes al DoD, asegurando una comunicación oportuna y respuesta ante posibles brechas.
  7. Monitoreo continuo: Las empresas deben contar con mecanismos para el monitoreo continuo de sus sistemas de información, a fin de detectar y responder rápidamente a amenazas de seguridad.
  8. Concienciación y formación en seguridad: Implementar un programa de capacitación en seguridad para que todos los empleados comprendan sus responsabilidades de ciberseguridad y la importancia de proteger la CUI.

Al cumplir con estos requisitos, las organizaciones pueden asegurarse de estar preparadas para proteger información sensible y mantener la elegibilidad para contratos del DoD que involucren CUI.

Requisitos CMMC 2.0 Nivel 3: Ciberseguridad Experta

CMMC Nivel 3 está dirigido a organizaciones que gestionan información no clasificada controlada (CUI) y exige la implementación de prácticas de ciberseguridad más avanzadas. Los requisitos para el Nivel 3 aún no están completamente detallados en la documentación pública, sin embargo, aquí tienes una visión general basada en la información disponible:

  1. Alineación con estándares NIST: El Nivel 3 se alinea estrechamente con NIST SP 800-172, que amplía los controles descritos en NIST SP 800-171 al enfocarse en prácticas y protecciones avanzadas de ciberseguridad.
  2. Prácticas de seguridad avanzadas: Las organizaciones deben cumplir con más de 110 prácticas, incluyendo las de los niveles inferiores (Nivel 1 y Nivel 2), reforzadas con requisitos adicionales enfocados en la detección y respuesta sofisticada ante amenazas.
  3. Respuesta y gestión de incidentes: Se deben establecer prácticas sólidas de respuesta a incidentes, con capacidades para gestionar y reportar incidentes de ciberseguridad de manera eficaz.
  4. Monitoreo continuo: Las organizaciones deben implementar sistemas de monitoreo continuo para detectar, responder y recuperarse rápidamente de eventos de ciberseguridad.
  5. Gestión de riesgos: Se requiere un marco de gestión de riesgos maduro para evaluar, priorizar y minimizar riesgos de manera continua.
  6. Evaluación de nivel experto: Las organizaciones en este nivel deben someterse a evaluaciones trienales realizadas por evaluadores de terceros certificados.
  7. Protección de Información sobre Contratos Federales (FCI) y CUI: Las organizaciones deben demostrar capacidades sólidas en la protección tanto de FCI como de CUI.

Dado que estas son directrices generales, las organizaciones que aspiren al cumplimiento CMMC 2.0 Nivel 3 deben seguir de cerca las actualizaciones del Departamento de Defensa (DoD) y consultar con expertos en ciberseguridad para asegurarse de cumplir con todos los requisitos específicos a medida que evolucionan.

Lista de verificación de cumplimiento CMMC

La certificación CMMC, paso previo al cumplimiento CMMC, es un proceso riguroso. Para obtener la certificación CMMC, las empresas deben cumplir con un extenso conjunto de requisitos establecidos por el DoD. A continuación, nuestra lista de verificación CMMC con los elementos que las organizaciones deben abordar y cumplir si desean lograr la certificación CMMC.

Evalúa el nivel de madurez CMMC adecuado para tu organización

El primer paso para lograr el cumplimiento CMMC 2.0 es determinar qué nivel de madurez CMMC es el más adecuado para tu organización. El proceso de certificación CMMC es un enfoque escalonado, y las empresas deben elegir el nivel correcto a perseguir según la sensibilidad de los datos que gestionan. Hay tres niveles de certificación CMMC (ver arriba).

Realiza una autoevaluación CMMC para medir tu preparación para el cumplimiento

Una vez que hayas determinado el nivel de madurez que tu organización desea o requiere, el siguiente paso es realizar una autoevaluación del perfil de ciberseguridad de tu organización. Esta evaluación debe incluir una revisión de la madurez de ciberseguridad de tu organización, incluyendo políticas y procedimientos, seguridad de red, control de acceso y capacidades de respuesta a incidentes.

Aprovecha otros marcos de ciberseguridad para agilizar el cumplimiento CMMC

Si bien lograr la certificación CMMC puede ser un proceso complejo, las organizaciones pueden facilitar la transición aprovechando marcos y certificaciones existentes que se alinean con los requisitos CMMC. CMMC se desarrolló a partir de marcos existentes y existe una superposición significativa entre CMMC y otros marcos de ciberseguridad consolidados que se utilizan para el cumplimiento normativo.

Uno de estos marcos es el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST CSF), que proporciona un conjunto de directrices y mejores prácticas para administrar y reducir los riesgos de ciberseguridad. Al implementar el CSF, las organizaciones pueden alinear sus prácticas de ciberseguridad con los requisitos CMMC, lo que probablemente hará que el proceso de certificación sea más sencillo y eficiente.

Otros marcos y certificaciones que pueden ayudar a las organizaciones a lograr la certificación CMMC incluyen FedRAMP, FISMA, los estándares 27000 de la Organización Internacional de Normalización (ISO 27001) y la Publicación Especial 800-171 del NIST. Al aprovechar estos marcos y certificaciones, las organizaciones también pueden mejorar su postura general de ciberseguridad y demostrar cumplimiento con los requisitos CMMC.

Elabora un Plan de Acción e Hitos (POA&M) para el cumplimiento CMMC

Un Plan de Acción e Hitos (POA&M) es un documento clave que describe la estrategia de una organización para abordar sus debilidades y deficiencias en materia de ciberseguridad. Juega un papel significativo en la demostración del cumplimiento CMMC. Elaborar un POA&M requiere una serie de pasos. Después de identificar el nivel adecuado, identifica las brechas entre la postura actual de ciberseguridad de tu organización y las certificaciones requeridas. Esto exige una evaluación exhaustiva de las políticas, procedimientos y medidas técnicas existentes en tu organización.

Con base en las brechas identificadas, prioriza las áreas que deben abordarse primero. Luego, desarrolla un cronograma para cada tarea, incluyendo fechas límite para la finalización de cada acción. Asigna tareas a los miembros del equipo con responsabilidades claras y asegúrate de que se mantengan en el camino correcto. Por último, documenta todos los pasos realizados hacia el cumplimiento y haz un seguimiento regular del progreso, actualizando el plan de acción e hitos según sea necesario. Este acercamiento asegura un proceso estructurado y metódico para el cumplimiento CMMC, logrando mayor eficiencia y resultados oportunos.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks