Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS

Cumpliendo con el requisito de equivalencia FedRAMP de CMMC

Protege la CUI evitando afirmaciones vacías de equivalencia por parte de proveedores

¿Qué es DFARS 7012 y por qué es importante para el cumplimiento de CMMC?

DFARS 7012, o la Cláusula Suplementaria 252.204-7012 del Reglamento Federal de Adquisiciones, es un conjunto de requisitos de ciberseguridad para contratistas que trabajan con el Departamento de Defensa de EE. UU. (DoD). Su objetivo es proteger la información no clasificada controlada (CUI) y se basa en el estándar NIST SP 800-171. Por otro lado, CMMC 2.0, o Certificación de Modelo de Madurez de Ciberseguridad, es un marco que mide la madurez y preparación en ciberseguridad de una empresa para trabajar con el DoD. La relación entre DFARS 7012 y CMMC 2.0 es que están interconectados. Mientras DFARS 7012 se centra en controles de seguridad específicos para proteger CUI, CMMC 2.0 se apoya en DFARS e incorpora niveles de madurez para clasificar el grado de preparación en ciberseguridad de una organización. CMMC 2.0 abarca todos los requisitos de DFARS 7012 y va más allá al añadir niveles de madurez y un proceso formal de evaluación por terceros. Por lo tanto, los contratistas deben cumplir tanto con DFARS 7012 como con los requisitos específicos de su nivel de madurez CMMC, ya que CMMC 2.0 esencialmente integra y amplía el marco de DFARS 7012.

Aspectos destacados de la solución

  • FedRAMP Autorización Moderada
  • FIPS-140 cumple
  • Controles granulares de políticas
  • Evaluaciones de seguridad de 3PAO
DESCARGAR PDF

Para el cumplimiento de CMMC, DFARS 7012, específicamente el párrafo (D), exige que si un contratista planea utilizar un proveedor externo de servicios en la nube (CSP) para gestionar información de defensa cubierta (CDI), el CSP debe cumplir requisitos de seguridad equivalentes al estándar FedRAMP Moderate y ajustarse a las medidas de seguridad específicas indicadas en los párrafos (c) a (g) de la cláusula. Esto significa que el contratista es responsable de garantizar que el CSP cumpla estos estándares de seguridad al gestionar CDI. CMMC 2.0 abarca todos los requisitos de DFARS 7012 y va más allá al añadir niveles de madurez y un proceso formal de evaluación por terceros. Por lo tanto, los contratistas deben cumplir tanto con DFARS 7012 como con los requisitos específicos de su nivel de madurez CMMC, ya que CMMC 2.0 esencialmente integra y amplía el marco de DFARS 7012.

Es fundamental comprender con claridad qué significa ser «equivalente» para poder considerarse como tal. Afortunadamente, el DoD publicó recientemente el Memorando de Equivalencia FedRAMP, que ofrece orientación y aclara el significado de equivalencia. Según el memorando, para ser considerado equivalente a FedRAMP Moderate, los CSO deben lograr un cumplimiento del 100% con la última línea base de controles de seguridad FedRAMP Moderate mediante una evaluación realizada por una Organización Evaluadora de Terceros reconocida por FedRAMP, proporcionar al contratista un conjunto de evidencias (incluyendo el Plan de Seguridad del Sistema, el Plan de Evaluación de Seguridad, el Informe de Evaluación de Seguridad realizado por la 3PAO y el Plan de Acción e Hitos), y cumplir con los requisitos de DFARS 252.204-7012 para la notificación de incidentes cibernéticos, software malicioso, preservación y protección de medios, acceso a información adicional y equipos necesarios para el análisis forense, y evaluación de daños por incidentes cibernéticos.

Cumplimiento del requisito de equivalencia FedRAMP en CMMC

Con esta aclaración, hay tres preguntas que debes hacerle a tu proveedor CSP para asegurarte de que cumple:

  1. ¿Has sido evaluado por una Organización Evaluadora de Terceros reconocida por FedRAMP? Si no pueden demostrarlo, en realidad no se consideran equivalentes.
  2. ¿Puedes proporcionar un conjunto de evidencias de esta evaluación (incluyendo el Plan de Seguridad del Sistema, el Plan de Evaluación de Seguridad, el Informe de Evaluación de Seguridad realizado por la 3PAO y el Plan de Acción e Hitos)? Si no pueden hacerlo, en realidad no se consideran equivalentes.
  3. ¿Puedes mostrarme cómo cumples con los requisitos de DFARS 252.204-7012 para notificación de incidentes cibernéticos, software malicioso, preservación y protección de medios, acceso a información adicional y equipos necesarios para el análisis forense, y evaluación de daños por incidentes cibernéticos? Si no pueden hacerlo, en realidad no se consideran equivalentes.

Para los contratistas que gestionan datos confidenciales del gobierno y buscan mantener el cumplimiento con estrictas regulaciones de ciberseguridad en defensa, validar las capacidades de seguridad adecuadas puede ser una tarea ardua. Sin embargo, al apoyarse en socios que ya han completado certificaciones rigurosas como FedRAMP Moderate Authorized, las organizaciones pueden verificar de manera eficiente su postura de seguridad en lugar de intentar evaluaciones independientes extensas. Con una larga trayectoria en certificaciones de cumplimiento como FedRAMP, FIPS y SOC 2, Kiteworks permite a los contratistas validar rápidamente la conformidad con estándares como DFARS 7012 y CMMC 2.0, acelerando las adquisiciones y evitando riesgos derivados de socios «equivalentes» no conformes. Gracias a capacidades avanzadas aseguradas mediante pruebas y auditorías independientes continuas, las soluciones de Kiteworks permiten a los contratistas cumplir con los requisitos del DoD con confianza, fortaleciendo la protección de datos a través de una plataforma madura y probada en entornos exigentes.

 

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo
Compartir
Twittear
Compartir
Explore Kiteworks