Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Tu DSPM te dijo dónde está tu CUI. Entonces, ¿por qué sigues fallando en CMMC?

Tu DSPM te dijo dónde está tu CUI. Entonces, ¿por qué sigues fallando en CMMC?

by Danielle Barbour updated febrero 25, 2026 Cumplimiento CMMC
Reading Time: 11 minutes

Las organizaciones de la Base Industrial de Defensa están invirtiendo sumas de seis y siete cifras en herramientas de Administración de Postura de Seguridad de Datos (DSPM). Y esas herramientas cumplen exactamente lo prometido: escanean repositorios de archivos, almacenamiento en la nube, bases de datos y aplicaciones SaaS para encontrar Información No Clasificada Controlada dispersa por toda la empresa.

Los paneles de control lucen perfectos en las reuniones de la junta. Los informes de distancia son exhaustivos. Las puntuaciones de riesgo están codificadas por colores y resultan realmente alarmantes.

Solo hay un problema. El descubrimiento no protege nada.

5 puntos clave

  1. DSPM resuelve el problema del descubrimiento, no el de la protección. Las plataformas DSPM destacan en el escaneo de repositorios de archivos, almacenamiento en la nube, bases de datos y aplicaciones SaaS para localizar Información No Clasificada Controlada. Mapean dónde reside la CUI, quién puede acceder y si los controles existentes son adecuados. Pero el descubrimiento es solo la mitad del cumplimiento CMMC 2.0. Las herramientas DSPM no proporcionan el enclave seguro, el cifrado validado FIPS 140-3 ni los canales de comunicación gobernados que exigen los evaluadores. Encontrar CUI y proteger CUI son dos disciplinas fundamentalmente distintas.
  2. La colaboración externa es el punto ciego de DSPM. Las organizaciones DIB comparten CUI con contratistas principales, subcontratistas y agencias gubernamentales todos los días. Las herramientas DSPM se enfocan en repositorios internos. No tienen mecanismo para gobernar cómo se mueve la CUI entre organizaciones: quién la recibe, por qué canal, bajo qué cifrado o con qué registro de auditoría. Para las empresas cuyo negocio depende del intercambio controlado de información a través de la cadena de suministro, esta es la brecha más crítica en su postura de cumplimiento.
  3. La detección a posteriori no es prevención. DSPM te alerta cuando la CUI se maneja incorrectamente, pero solo después de que la infracción ya ocurrió. Los evaluadores CMMC quieren ver controles que prevengan el acceso y la transmisión no autorizados en el momento del intercambio de datos. Un sistema de notificaciones que informa sobre infracciones no es lo mismo que una plataforma de aplicación que las detiene.
  4. El modelo «Mejor Juntos» está ganando terreno. Los principales proveedores de DSPM y plataformas de aplicación están formando alianzas estratégicas que conectan el descubrimiento de datos con la aplicación automatizada de políticas. Estas integraciones usan etiquetas de clasificación para activar controles en tiempo real —cifrado, restricciones de acceso, uso compartido con tiempo limitado— cada vez que los datos sensibles se mueven externamente. Las organizaciones que avanzan más rápido hacia la certificación CMMC están implementando ambas capacidades como flujos de trabajo paralelos.
  5. DSPM es la capa de evaluación; aún necesitas una capa de protección. La tecnología completa de CMMC incluye evaluación (DSPM), protección (enclave seguro de CUI y comunicaciones gobernadas), infraestructura (EDR, firewalls, SIEM), identidad (MFA, administración de accesos privilegiados) y gobernanza (plataformas GRC). DSPM ocupa una capa. Para lograr la certificación, necesitas todas.

La incómoda verdad sobre DSPM y CMMC 2.0

Las plataformas DSPM son buenas en lo que hacen. Encuentran CUI que no sabías que existía. Señalan cuentas inactivas con acceso a datos sensibles. Identifican el aumento de privilegios que se ha acumulado durante años. Mapean los flujos de datos y resaltan brechas de cumplimiento frente a las prácticas del nivel 2 de CMMC.

Eso importa. No puedes proteger datos que no has encontrado. Pero aquí es donde la lógica se rompe: encontrar los datos y asegurarlos son dos disciplinas completamente diferentes.

Un escaneo DSPM puede revelar CUI almacenada en una carpeta de SharePoint no aprobada, compartida con un grupo «Todos», sin ningún cifrado. Información útil. Pero la herramienta DSPM no puede mover esos datos a un entorno reforzado, cifrarlos con criptografía validada FIPS 140-3, aplicar acceso de privilegio mínimo ni generar el registro de auditoría inmutable que exigirá un evaluador CMMC.

DSPM diagnostica. No trata.

Esa distinción importa más de lo que la mayoría de las organizaciones DIB se da cuenta. CMMC 2.0 nivel 2 exige protección demostrable de la CUI en 110 prácticas de seguridad derivadas de NIST SP 800-171. El descubrimiento y la clasificación cubren solo algunas de esas prácticas. La mayoría —especialmente las de las familias de Control de Acceso, Auditoría y Responsabilidad, y Protección de Sistemas y Comunicaciones— requieren aplicación activa: cifrado en reposo y en tránsito, flujos de datos controlados, registros inmutables y controles de acceso de privilegio mínimo que operan en el punto de intercambio de datos.

Ninguna herramienta DSPM del mercado proporciona esa capa de aplicación. Y ningún nivel de sofisticación en el descubrimiento cambia esa limitación fundamental.

Cumplimiento CMMC 2.0 Hoja de ruta para contratistas del DoD

Leer ahora

Lo que realmente hace bien DSPM

Antes de profundizar en las brechas, vale la pena precisar lo que DSPM aporta. Estas capacidades son reales y relevantes para la preparación CMMC.

Descubrimiento y clasificación de CUI. Las plataformas DSPM escanean repositorios de archivos en las instalaciones, almacenamiento en la nube, bases de datos y aplicaciones SaaS para localizar CUI. Mapean dónde se almacena, quién tiene acceso y si las protecciones existentes cumplen los requisitos mínimos. Para organizaciones que nunca han inventariado su CUI —la mayoría— este es el primer paso esencial.

Evaluación de riesgos de acceso. Estas herramientas identifican CUI sobreexpuesta: archivos compartidos con grupos amplios, cuentas inactivas que mantienen acceso, permisos acumulados durante años sin revisión. El resultado es una visión priorizada por riesgo de quién puede acceder a los datos sensibles y si debería poder hacerlo.

Análisis de distancia de cumplimiento. Las plataformas DSPM mapean los datos descubiertos frente a las prácticas de CMMC 2.0. Generan informes de distancia, priorizan la remediación según el riesgo e impacto en el cumplimiento y hacen seguimiento del progreso hacia la preparación. Estos informes son realmente útiles en las primeras etapas de la preparación CMMC.

Monitoreo continuo. Una vez implementadas, las herramientas DSPM alertan sobre nuevos repositorios de CUI creados fuera de sistemas aprobados, detectan violaciones de políticas como CUI almacenada en servicios en la nube no aprobados y monitorean desviaciones de configuración que puedan abrir brechas de cumplimiento.

Todo esto es valioso. Nada de esto es suficiente.

Tres puntos de dolor que impulsan la conversación DSPM más protección

Las organizaciones que buscan la certificación CMMC 2.0 se topan con los mismos obstáculos, y el patrón es predecible.

La CUI está en todas partes y nadie se encarga de la limpieza. Los escaneos DSPM revelan CUI en docenas —a veces cientos— de repositorios en correo electrónico, repositorios de archivos, almacenamiento en la nube y plataformas de colaboración. Los equipos de seguridad ahora tienen un inventario integral de problemas. Lo que les falta es un destino gobernado: un enclave seguro diseñado para almacenar y transmitir CUI. Sin uno, los informes de distancia solo siguen creciendo. Cada escaneo trimestral descubre más CUI en más ubicaciones no aprobadas, y el atraso de remediación aumenta porque no hay un lugar «correcto» designado para moverla.

La colaboración externa es el punto ciego. Las organizaciones DIB comparten CUI con contratistas principales, subcontratistas y agencias gubernamentales todos los días. Las herramientas DSPM se enfocan en repositorios internos. No tienen mecanismo para gobernar cómo se mueve la CUI entre organizaciones: quién la recibe, por qué canal, bajo qué cifrado, con qué registro de auditoría. Para las empresas cuyo negocio depende del intercambio controlado de información a través de la cadena de suministro, esto no es una brecha menor. Es la brecha. Y es la brecha más probable de recibir atención durante una evaluación CMMC, porque los evaluadores revisan específicamente cómo las organizaciones protegen la CUI durante la transmisión externa.

La detección a posteriori no es prevención. DSPM te alerta cuando alguien almacena CUI en una ubicación no aprobada, pero solo después de que la infracción ya ocurrió. Los evaluadores quieren ver controles que prevengan el acceso y la transmisión no autorizados en el punto de intercambio, no un sistema de notificaciones que lo reporte después. Considera el escenario: un ingeniero envía por correo electrónico un plano técnico que contiene CUI a un subcontratista usando una cuenta personal de Gmail. Una herramienta DSPM podría señalar esto después. Pero los datos ya salieron de la organización por un canal no cifrado y no gobernado, sin registro de auditoría. La infracción de cumplimiento está completa. El daño ya está hecho. La prevención en el punto de intercambio es lo que exige CMMC, y esa es una capacidad que DSPM no ofrece.

Dónde termina DSPM y empieza la protección: una visión de requisitos

La forma más clara de entender la división de responsabilidades es mapear requisitos específicos de CMMC a las herramientas diseñadas para abordarlos.

Para la práctica de Control de Acceso AC.L2-3.1.1 —limitar el acceso al sistema a usuarios autorizados— DSPM descubre quién tiene acceso actualmente a los repositorios de CUI. Una plataforma de protección aplica el acceso de privilegio mínimo a la CUI dentro de un enclave seguro.

Para AC.L2-3.1.20 —controlar el flujo de CUI— DSPM mapea los flujos de datos actuales. Una plataforma de protección aplica flujos de CUI aprobados a través de canales gobernados y cifrados.

Para la práctica de Auditoría y Responsabilidad AU.L2-3.3.1 —crear y conservar registros de auditoría— DSPM identifica sistemas sin registros de auditoría. Una plataforma de protección genera registros de auditoría inmutables para cada acceso, modificación y transmisión de CUI.

Para la práctica de Protección de Sistemas y Comunicaciones SC.L2-3.13.11 —emplear criptografía validada FIPS— DSPM identifica CUI almacenada sin cifrado. Una plataforma de protección proporciona cifrado validado FIPS 140-3 para CUI en reposo y en tránsito.

Para SC.L2-3.13.16 —proteger la confidencialidad de la CUI— DSPM evalúa la postura de protección actual. Una plataforma de protección implementa un enclave reforzado para las comunicaciones de CUI.

El patrón se repite en todas las familias de controles CMMC. DSPM te dice dónde falla el cumplimiento. La capa de protección lo reconstruye.

El modelo de asociación DSPM: descubrimiento y aplicación

El enfoque más efectivo para el cumplimiento CMMC trata DSPM y protección como capas complementarias en una pila unificada, no como soluciones en competencia. Esto no es un argumento teórico. El mercado avanza en esa dirección mediante alianzas estratégicas entre proveedores de DSPM y plataformas de aplicación.

Estas integraciones suelen funcionar mediante etiquetas de clasificación. Cuando una plataforma DSPM clasifica un documento como «Confidencial» o lo etiqueta con categorías de cumplimiento como «CMMC» o «ITAR«, la plataforma de aplicación aplica automáticamente los controles correspondientes —cifrado, restricciones de acceso, uso compartido con tiempo limitado, edición sin posesión— cada vez que esos datos se comparten externamente. La clasificación impulsa la política. La política impulsa la aplicación. Y la aplicación genera el registro de auditoría.

Este modelo elimina la transferencia manual que históricamente ha afectado a los programas de cumplimiento. En lugar de que un analista de seguridad revise un informe DSPM, identifique una brecha, cree un ticket y espere a que alguien la remedie, todo el ciclo se cierra automáticamente: clasificar, aplicar, registrar. Esa velocidad y consistencia son clave durante las evaluaciones CMMC, donde los evaluadores revisan no solo si existen controles, sino si operan de manera continua y confiable.

La Red de Contenido Privado de Kiteworks está diseñada en torno a este modelo de integración. Consume etiquetas de Microsoft Information Protection aplicadas por plataformas DSPM y las utiliza para crear y aplicar automáticamente políticas cuando los datos se comparten externamente. Esto incluye si los archivos pueden copiarse o descargarse, cuánto tiempo tienen acceso los destinatarios y qué nivel de cifrado se aplica en tránsito y en reposo. Cada acción genera un registro de auditoría inmutable.

Kiteworks cuenta con Autorización FedRAMP de impacto moderado desde 2017 y obtuvo la designación FedRAMP de impacto alto en 2025. Ese historial de autorizaciones es relevante durante las evaluaciones CMMC porque demuestra controles de seguridad prevalidados que se alinean directamente con los requisitos del nivel 2. Combinado con criptografía validada FIPS 140-3 y una arquitectura de dispositivo virtual reforzado, proporciona la infraestructura de protección de CUI que las herramientas DSPM identifican como necesaria pero que no pueden ofrecer por sí mismas.

La pila tecnológica completa de CMMC

DSPM y las plataformas de protección no funcionan de forma aislada. La arquitectura completa de cumplimiento CMMC incluye cinco capas, cada una con un propósito distinto:

  • Evaluación: Descubre CUI, identifica brechas, prioriza la remediación. Esta es la capa DSPM.
  • Protección: Asegura el almacenamiento y la transmisión de CUI mediante un enclave gobernado y canales de comunicación cifrados.
  • Infraestructura: Endpoints reforzados, segmentación de red, detección y respuesta de endpoints, firewalls y SIEM.
  • Identidad: Autenticación multifactor, gestión de accesos privilegiados y gobernanza de identidades.
  • Gobernanza: Gestión de políticas, seguimiento de cumplimiento y plataformas GRC que integran las demás capas.

Las organizaciones que invierten mucho en una capa y descuidan las demás se encontrarán con capacidades impresionantes en un área y deficiencias notables en otra. Los evaluadores revisan toda la pila, no componentes individuales.

Qué significa esto para las organizaciones DIB en diferentes etapas

Si tu organización ya tiene DSPM implementado, ya respondiste la primera pregunta: ¿dónde está nuestra CUI y quién puede acceder? La segunda pregunta es más difícil: ¿qué estamos haciendo al respecto? Una implementación integral de DSPM sin una plataforma de aplicación es una forma costosa de documentar tu propio incumplimiento. Los informes de distancia serán exhaustivos. El evaluador igual te fallará. El siguiente paso es poner en marcha la capa de protección: un enclave seguro con canales de comunicación gobernados que pueda recibir, almacenar y transmitir CUI según los requisitos de CMMC.

Si tu organización está evaluando DSPM, planea desde el inicio tanto el descubrimiento como la protección. Muchas organizaciones DIB cometen el error de tratar DSPM como una solución CMMC independiente, solo para darse cuenta meses después de que el descubrimiento sin aplicación no alcanza la certificación. Presupuesta para ambos. Implementa en paralelo o en secuencia, pero reconoce desde el primer día que necesitas ambas capas.

Si tu organización no tiene ninguna de las dos, tienes dos necesidades paralelas: entender dónde está tu CUI hoy y construir el entorno seguro donde debería estar. Algunas organizaciones comienzan con DSPM para dimensionar el problema y luego implementan una plataforma de protección para resolverlo. Otras implementan primero la capa de protección y luego usan DSPM para encontrar y migrar la CUI. El orden importa menos que reconocer que ambas capas son innegociables.

Cuando los proveedores de DSPM exageran: cómo evaluar sus afirmaciones

Algunos proveedores de DSPM presentan sus herramientas como soluciones CMMC integrales. La afirmación suele sonar así: «Nuestra plataforma descubre, clasifica y monitorea CUI, brindándote cumplimiento CMMC continuo». Así es como puedes evaluar esa afirmación frente a lo que realmente exige CMMC.

¿Proporciona un enclave seguro para la CUI? CMMC exige que la CUI se almacene y transmita en entornos protegidos. DSPM escanea sistemas existentes. No crea la infraestructura reforzada que exige CMMC. Si la herramienta no ofrece infraestructura FedRAMP autorizada y validada FIPS 140-3 para flujos de trabajo de CUI, no es una solución de protección.

¿Gobierna el intercambio externo de CUI? Las organizaciones DIB deben compartir CUI con socios externos bajo condiciones controladas. Si la herramienta monitorea repositorios internos pero no puede aplicar cifrado, controles de acceso y registros de auditoría cuando la CUI se transmite a un contratista principal o agencia gubernamental, deja sin cubrir la parte más revisada de la evaluación CMMC.

¿Aplica controles en tiempo real? La detección y las alertas son valiosas. Pero CMMC exige prevención: controles que operen en el punto de intercambio de datos, no después de que ocurra una infracción. Si el mecanismo principal de la herramienta es alertar después del incidente, es una herramienta de monitoreo, no de aplicación.

¿Proporciona registros de auditoría listos para CMMC? DSPM puede registrar escaneos de descubrimiento y eventos de alerta. Los evaluadores CMMC exigen registros de auditoría inmutables de cada acceso, modificación y transmisión de CUI. Si la herramienta no puede producir esos registros para intercambios de datos externos, no cumple los requisitos de auditoría y responsabilidad.

Ninguna de estas limitaciones disminuye el valor de DSPM para su propósito original. Pero sí deben guiar cómo las organizaciones evalúan las afirmaciones de los proveedores sobre preparación para CMMC.

En resumen

DSPM identifica el problema. Aún necesitas algo que lo resuelva.

Las organizaciones que lograrán la certificación CMMC 2.0 más rápido son las que entienden esta distinción desde el principio. Implementan DSPM para descubrir y clasificar su CUI. Implementan una plataforma de protección para construir el enclave seguro y gobernar las comunicaciones externas. Integran ambas para que las etiquetas de clasificación activen la aplicación automáticamente. Y generan los registros de auditoría inmutables que demuestran cumplimiento continuo ante los evaluadores.

Descubrimiento y protección. Evaluación y aplicación. Diagnóstico y tratamiento. CMMC exige ambos lados de la ecuación. La pregunta no es si invertir en DSPM, sino si has planeado qué hacer después de que DSPM te diga dónde está tu CUI y cuán expuesta está.

Porque esa es la pregunta que te hará el evaluador. Y «tenemos un panel muy bueno» no es una respuesta válida.

Para saber cómo Kiteworks puede ayudarte, agenda una demo personalizada hoy.

Preguntas frecuentes

La Administración de Postura de Seguridad de Datos (DSPM) es una categoría de herramientas de seguridad que descubren, clasifican y monitorean datos sensibles en todo el entorno de TI de una organización. Para CMMC 2.0, las plataformas DSPM escanean repositorios de archivos en las instalaciones, almacenamiento en la nube, bases de datos y aplicaciones SaaS para localizar Información No Clasificada Controlada. Identifican quién tiene acceso, señalan datos sobreexpuestos, mapean flujos de datos y generan informes de distancia de cumplimiento frente a las prácticas del nivel 2 de CMMC. DSPM es especialmente valioso durante la fase de evaluación y preparación de CMMC porque brinda a las organizaciones un inventario completo de su CUI y una visión clara de dónde fallan los controles existentes. Sin embargo, DSPM aborda el descubrimiento y monitoreo, pero no proporciona el cifrado, la aplicación de accesos, los enclaves seguros ni los registros de auditoría que exige CMMC para la protección y transmisión de CUI.

No. CMMC 2.0 nivel 2 exige que las organizaciones implementen 110 prácticas de seguridad derivadas de NIST SP 800-171. Las herramientas DSPM cubren un subconjunto de estas prácticas, principalmente en las áreas de descubrimiento, clasificación y monitoreo. La mayoría de los requisitos CMMC —especialmente los de las familias de Control de Acceso, Auditoría y Responsabilidad, y Protección de Sistemas y Comunicaciones— exigen capacidades de aplicación activa: cifrado validado FIPS 140-3, controles de acceso de privilegio mínimo, registros de auditoría inmutables, colaboración externa segura e infraestructura reforzada para flujos de trabajo de CUI. Estas capacidades de aplicación están fuera del alcance de DSPM. Las organizaciones necesitan tanto una capa de descubrimiento (DSPM) como una capa de protección (enclave seguro de CUI y comunicaciones gobernadas) para lograr la certificación.

DSPM te dice dónde está tu CUI, quién puede acceder y dónde están tus brechas de cumplimiento. Una plataforma de protección de CUI proporciona el entorno seguro donde debe almacenarse la CUI y los canales gobernados por donde debe transmitirse. En la práctica, DSPM descubre que la CUI está en una carpeta de SharePoint no aprobada, con permisos excesivos y sin cifrado. Una plataforma de protección proporciona el enclave autorizado por FedRAMP y validado FIPS donde esa CUI debe moverse, aplica acceso de privilegio mínimo, cifra los datos en reposo y en tránsito y genera registros de auditoría inmutables de cada interacción. DSPM es la herramienta de diagnóstico; la plataforma de protección es el tratamiento.

Las implementaciones más efectivas integran el descubrimiento DSPM con la aplicación automatizada de políticas. Las plataformas DSPM clasifican la CUI y aplican etiquetas de sensibilidad. Las plataformas de protección consumen esas etiquetas y aplican automáticamente los controles correspondientes cuando los datos se comparten: cifrado, restricciones de acceso, limitaciones de descarga y uso compartido con tiempo limitado. Esto crea un ciclo cerrado: clasificar, aplicar, registrar. La clasificación impulsa la política, la política impulsa la aplicación y la aplicación genera el registro de auditoría que exigen los evaluadores CMMC. Las organizaciones pueden implementar ambas herramientas en paralelo o en secuencia, pero la integración entre descubrimiento y aplicación es lo que cierra las brechas de cumplimiento y mantiene la preparación continua.

Para DSPM, prioriza el descubrimiento integral de CUI en todos los repositorios de datos (nube, instalaciones, SaaS, correo electrónico), clasificación precisa frente a categorías relevantes para CMMC, evaluación de riesgos de acceso, informes de distancia de cumplimiento mapeados a las prácticas del nivel 2 de CMMC y monitoreo continuo de desviaciones de configuración. Para una plataforma de protección, exige autorización FedRAMP, criptografía validada FIPS 140-3, arquitectura de enclave o dispositivo virtual reforzado, capacidades de colaboración externa segura para el intercambio de CUI en la cadena de suministro, registros de auditoría inmutables para todas las interacciones con CUI, controles CMMC pre-mapeados con soporte SSP y POA&M, y opciones de implementación flexibles (en las instalaciones, nube privada o nube autorizada). Lo más crítico: evalúa si ambas herramientas se integran para que las clasificaciones DSPM activen automáticamente las políticas de aplicación.

Recursos adicionales

  • Resumen Kiteworks + Administración de Postura de Seguridad de Datos (DSPM)
  • Artículo del Blog DSPM vs Seguridad de Datos Tradicional: Cerrando brechas críticas de protección de datos
  • Artículo del Blog Calculadora de ROI de DSPM: Beneficios de costos por industria
  • Artículo del Blog Por qué DSPM se queda corto y cómo los líderes de riesgos pueden minimizar brechas de seguridad
  • Artículo del Blog Estrategias esenciales para proteger datos confidenciales clasificados por DSPM en 2026

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks