Más de la mitad de los proveedores del DoD fallan en su control de gobernanza

Crisis de Gobernanza en CMMC 2.0: Los Datos Revelan que el 62% de los Contratistas de Defensa Carecen de Controles Críticos para Certificarse

Los contratistas de defensa que buscan la certificación de CMMC 2.0 nivel 2 se enfrentan a una dura realidad: el 62% opera sin los controles de gobernanza integral que se asocian con el éxito en la certificación. Este dato surge del análisis de Kiteworks 2025 sobre 104 organizaciones que están activamente en proceso de obtener la CMMC 2.0, como parte de una encuesta más amplia que examina las prácticas de seguridad de datos y cumplimiento en 461 organizaciones a nivel mundial. Informe: Más de la mitad de los proveedores del DoD fallan en sus controles de gobernanza.

El déficit de gobernanza genera vulnerabilidades en cascada a lo largo de las cadenas de suministro de defensa. Las organizaciones que monitorizan métricas de efectividad muestran resultados de seguridad notablemente mejores: solo el 19% cae en categorías de baja cobertura de cifrado frente al 25% de aquellas que operan sin disciplina de medición. Para los contratistas que manejan datos sensibles, estas brechas representan riesgos operativos y de cumplimiento significativos.

Cumplimiento CMMC 2.0 Hoja de ruta para contratistas del DoD

Leer ahora

Lo que revelan los datos sobre la preparación para CMMC 2.0

Entre los 104 contratistas de defensa que buscan la certificación CMMC 2.0 nivel 2, surgen patrones que deberían preocupar a cualquier organización de la base industrial de defensa. Los datos de la encuesta, recopilados entre octubre de 2024 y enero de 2025, muestran desconexiones fundamentales entre las inversiones en seguridad y la madurez de la gobernanza.

Solo el 38% de las organizaciones que buscan la CMMC han implementado sistemas integrales de control y seguimiento de gobernanza, ligeramente por debajo del 40% registrado en todas las industrias encuestadas. Esta desventaja de 2 puntos porcentuales se vuelve crítica al combinarse con otras deficiencias de gobernanza, creando riesgos compuestos para el éxito en la certificación. La brecha en disciplina de medición es aún más reveladora: las organizaciones que implementan algún tipo de medición de efectividad logran resultados visiblemente mejores. Dentro del grupo CMMC, el 19% de las organizaciones que monitorizan métricas cae en categorías de bajo cifrado (≤50% de cobertura) frente al 25% de las que no miden, mientras que el 95% de las organizaciones CMMC monitorizan alguna métrica frente al 93% en todas las industrias.

Quizás lo más preocupante es que solo el 22% de las organizaciones CMMC incluyen requisitos de seguridad en los contratos con proveedores, frente al 27% en el total de organizaciones encuestadas. Esta brecha de 5 puntos porcentuales representa una debilidad fundamental en la seguridad de la cadena de suministro, especialmente crítica considerando los requisitos de transmisión de protección de datos de la CMMC en toda la base industrial de defensa.

Conclusiones clave

  1. Las organizaciones medianas lideran el éxito en cifrado CMMC gracias a estrategias centradas en la gobernanza

    Las organizaciones medianas (5.000-9.999 empleados) alcanzan el mayor éxito en cifrado CMMC con un 59%. Su enfoque en la gobernanza—priorizando la actualización de políticas y presupuestos de cumplimiento sobre controles técnicos puros—supera tanto a las empresas más pequeñas (52%) como a las grandes (38%). Esto sugiere que los mejores resultados en CMMC provienen de una inversión equilibrada en gobernanza, más que del tamaño o los recursos de la organización.

  2. La disciplina de medición impulsa mejoras significativas en los resultados de seguridad

    La disciplina de medición genera una mejora de 6 puntos porcentuales en los resultados de seguridad. Las organizaciones que monitorizan métricas de efectividad muestran solo un 19% de tasas bajas de cifrado frente al 25% de aquellas sin sistemas de medición. Esta diferencia de desempeño representa miles de posibles vulnerabilidades en las cadenas de suministro de defensa e impacta directamente en la preparación para la certificación.

  3. Los requisitos contractuales de seguridad para proveedores siguen siendo una brecha crítica de gobernanza en CMMC

    Solo el 22% de las organizaciones CMMC incluyen requisitos contractuales de seguridad con sus proveedores. Esta brecha de 5 puntos porcentuales respecto al promedio del sector (27%) es la más crítica y fácil de abordar. Sin marcos contractuales, el 48% que realiza auditorías a proveedores no puede garantizar el cumplimiento en toda su cadena de suministro.

  4. Las organizaciones norteamericanas dominan la búsqueda de CMMC, generando ventajas y riesgos

    Las organizaciones norteamericanas lideran la búsqueda de la CMMC con un 62% frente al 32% en la encuesta general. Esta representación casi duplicada refleja la intensa presión sobre la base industrial de defensa de EE. UU., mientras que sugiere que los proveedores internacionales podrían estar subestimando sus obligaciones. Esta concentración geográfica genera ventajas competitivas y riesgos sistémicos para los contratistas nacionales.

  5. La disciplina interna de medición es esencial para aprovechar con éxito a los consultores externos

    Los consultores externos no aportan ventajas medibles sin disciplina interna de medición. Las organizaciones que trabajan con socios logran resultados similares a las que van por su cuenta cuando ambas mantienen sistemas de medición (45-46% de cifrado de alto nivel). Los datos indican que la experiencia sin marcos de gobernanza no mejora los resultados, por lo que la disciplina interna es el requisito previo para un compromiso exitoso con socios externos.

Concentración geográfica y dinámica de tamaño

La distribución geográfica muestra una fuerte presión dentro de la base industrial de defensa de EE. UU., con el 62% de los encuestados CMMC operando en Norteamérica frente al 32% en la encuesta general. Las regiones de Asia-Pacífico aportan el 20% de los encuestados CMMC, Europa representa el 11% y Oriente Medio/África el 7%. Esta concentración sugiere que los proveedores internacionales podrían estar subestimando sus obligaciones CMMC o están menos avanzados en sus preparativos.

El tamaño de la organización se correlaciona fuertemente con los resultados de seguridad, aunque no de la forma esperada. Las organizaciones medianas (5.000-9.999 empleados) demuestran el mejor desempeño, con un 59% logrando cobertura de cifrado de alto nivel (76-100%). Esto supera tanto a las organizaciones más pequeñas de menos de 5.000 empleados (52%) como a las grandes empresas de más de 20.000 empleados (38%). Esta paradoja sugiere que el éxito proviene de la disciplina en la gobernanza más que de los recursos o el tamaño.

El enfoque de las organizaciones medianas difiere notablemente del de sus pares. Mientras que el 36% prioriza la actualización de políticas y acuerdos de protección de datos (empatado con el aumento de presupuestos de cumplimiento), las organizaciones más pequeñas se centran en nuevos controles técnicos (37%) y las grandes empresas también enfatizan las soluciones tecnológicas (38%). Este enfoque centrado en la gobernanza entre las empresas medianas se correlaciona directamente con sus mejores resultados.

Evolución regulatoria y cumplimiento de proveedores: los mayores retos

Los encuestados clasificaron los retos usando un sistema de puntuación ponderada, revelando dos preocupaciones que sobresalen sobre el resto. “Mantenerse al día con la evolución de las regulaciones” obtuvo 78 puntos, con un 23% que la considera su principal reto y un 38% que la ubica entre sus dos mayores preocupaciones. Las organizaciones CMMC priorizan este reto 6 puntos porcentuales más que la población general, reflejando la naturaleza dinámica de los requisitos de cumplimiento en defensa.

Muy cerca, “cumplimiento y riesgo de proveedores” obtuvo 73 puntos, con un 18% que lo considera su principal reto y un 38% que lo sitúa entre sus dos mayores preocupaciones. Es relevante que el 39% de las organizaciones CMMC cita el cumplimiento de proveedores entre sus tres principales retos frente al 32% en todas las industrias, una brecha de 7 puntos porcentuales que subraya la presión única sobre la cadena de suministro en el sector defensa.

Estos retos regulatorios y de cadena de suministro superan ampliamente otras preocupaciones. “Equilibrar el cumplimiento frente al acceso a los datos” obtiene 59 puntos, mientras que “formación y concienciación de empleados” registra 42 puntos. Las limitaciones presupuestarias apenas suman 5 puntos, lo que sugiere que existen recursos, pero faltan marcos de gobernanza para desplegarlos eficazmente. Este patrón se repite en todos los tamaños de organización, con el cumplimiento de proveedores como el reto operativo más persistente independientemente de la escala.

Brecha en la administración de riesgos de proveedores

El reto del cumplimiento de proveedores merece un análisis más profundo dada su relevancia en todos los tamaños de organización y su papel crítico en el éxito de la CMMC. Los controles actuales de riesgo de proveedores entre las organizaciones CMMC muestran una madurez dispar. El 48% realiza auditorías periódicas a proveedores (frente al 44% general) y el 38% utiliza herramientas de administración de riesgos de terceros (frente al 37% general), pero persisten brechas críticas.

Solo el 28% de las organizaciones CMMC realiza evaluaciones formales de riesgos de terceros, apenas por encima del 25% del promedio del sector. Lo más preocupante es que solo el 22% incluye requisitos contractuales de seguridad—5 puntos porcentuales por debajo del estándar del sector (27%). Esta brecha contractual resulta especialmente preocupante dada la obligatoriedad de la CMMC de transmitir requisitos de protección de datos en toda la cadena de suministro. Sin obligaciones contractuales, las organizaciones no pueden garantizar que los proveedores mantengan los controles de seguridad requeridos ni gestionen adecuadamente la información sensible de defensa.

Las implicaciones se extienden a lo largo de las cadenas de suministro de defensa. Las organizaciones que gestionan cientos o miles de proveedores enfrentan una complejidad exponencial cuando no existen marcos contractuales para hacer cumplir los estándares. El 39% que cita el cumplimiento de proveedores como principal reto probablemente subestima el alcance total de su exposición, especialmente considerando que muchas desconocen todo su ecosistema de proveedores.

Patrones de implementación estratégica que revelan factores de éxito

Las organizaciones pequeñas y medianas de menos de 5.000 empleados se centran principalmente en soluciones técnicas, con un 37% que prioriza nuevos controles técnicos. Las acciones secundarias incluyen actualización de políticas y acuerdos de protección de datos (33%) y mejora en la administración de riesgos de terceros (28%). Sus retos reflejan patrones generales: el cumplimiento de proveedores afecta al 41%, el equilibrio entre acceso y requisitos preocupa al 39% y la evolución regulatoria inquieta al 37%. Con un 52% alcanzando cifrado de alto nivel, estas organizaciones logran un éxito moderado a pesar de las limitaciones de recursos.

Las organizaciones medianas entre 5.000 y 9.999 empleados muestran enfoques y resultados claramente distintos. Un porcentaje igual (36%) prioriza la actualización de políticas y el aumento de presupuestos de cumplimiento, mientras que el 32% refuerza la administración de riesgos de terceros. Sus retos se intensifican: el 46% tiene dificultades con el cumplimiento de proveedores y el 41% cita regulaciones superpuestas. Sin embargo, este enfoque centrado en la gobernanza produce la mayor tasa de éxito, con un 59% alcanzando cobertura de cifrado de alto nivel.

Las grandes empresas de más de 20.000 empleados enfrentan retos de complejidad a pesar de contar con recursos sustanciales. Los nuevos controles técnicos dominan su enfoque (38%), seguidos por el aumento de presupuestos (33%) y la actualización de políticas (24%). El cumplimiento de proveedores sigue siendo problemático para el 38%, mientras que la localización de datos regulados y la gestión de regulaciones cambiantes preocupan al 33% cada uno. A pesar de sus recursos, solo el 38% alcanza cifrado de alto nivel—la tasa más baja de todos los segmentos. Esta paradoja refuerza que el tamaño organizativo sin disciplina de gobernanza genera más vulnerabilidades, no menos.

Paradoja de los socios y la importancia de la medición

Uno de los hallazgos más sorprendentes de la encuesta se refiere a los consultores externos. Las organizaciones que trabajan con socios no muestran ventaja inherente sobre las que buscan la certificación de forma independiente, siempre que ambas mantengan disciplina de medición. Entre las organizaciones con sistemas de medición, tanto las que cuentan con socios como las que no logran resultados similares: aproximadamente el 45-46% alcanza cifrado de alto nivel y tasas bajas de cifrado en torno al 19-20%. Sin embargo, las organizaciones que ni miden ni cuentan con socios muestran resultados significativamente peores, con un 30% en categorías de bajo cifrado.

Este patrón sugiere que los programas CMMC exitosos consideran a los socios como impulsores de la disciplina interna, no como sustitutos de la madurez en gobernanza. Los datos indican que la experiencia sin medición aporta mejoras mínimas, mientras que la medición sin experiencia externa sigue generando resultados positivos. Para los contratistas de defensa que consideran recurrir a consultores, la lección es clara: primero establece marcos de medición y luego aprovecha la experiencia externa para acelerar el avance dentro de ese marco.

Construyendo bases de gobernanza para el éxito en CMMC

Según los resultados de la encuesta, los contratistas de defensa deben centrarse en cinco prioridades interconectadas que abordan las brechas más críticas. Primero y con mayor urgencia, hay que cerrar la brecha contractual de seguridad. Con solo el 22% incluyendo requisitos de seguridad en los contratos—5 puntos porcentuales por debajo del promedio del sector—esta es la debilidad más fácil de abordar. Cada relación con proveedores debe incluir requisitos explícitos de protección de datos, lenguaje de transmisión de obligaciones, derechos de auditoría y protocolos de notificación de incidentes.

En segundo lugar, los sistemas integrales de medición resultan esenciales para el éxito. La mejora de 6 puntos porcentuales en los resultados de seguridad para las organizaciones que miden exige establecer indicadores clave de desempeño para cada familia de controles, automatizar la recopilación de métricas cuando sea posible, realizar revisiones periódicas de gobernanza y hacer seguimiento de tendencias en lugar de evaluaciones puntuales. Las organizaciones que ya monitorizan algunas métricas deben ampliar la cobertura y formalizar los procesos de revisión.

En tercer lugar, la administración de riesgos de proveedores debe ir más allá de las auditorías básicas. Aunque el 48% realiza auditorías a proveedores (por encima del 44% general), la gobernanza integral de proveedores requiere evaluaciones sistemáticas de riesgos, implementación de plataformas tecnológicas, capacidades de monitoreo continuo y ciclos regulares de reevaluación. El 46% de las organizaciones medianas que tiene dificultades con el cumplimiento de proveedores demuestra que incluso los segmentos exitosos enfrentan retos constantes en esta área.

En cuarto lugar, las organizaciones deben alinear la estrategia con su tamaño y capacidades. Los patrones de éxito de las empresas medianas—59% alcanzando cifrado de alto nivel mediante enfoques centrados en la gobernanza—ofrecen un modelo replicable. Equilibra la inversión en gobernanza con los controles técnicos, prioriza el desarrollo de políticas y procesos junto con la implementación tecnológica y evita la tendencia de las grandes empresas a intentar resolver problemas de gobernanza solo con tecnología.

Por último, al trabajar con socios externos, considéralos facilitadores de la gobernanza y no soluciones llave en mano. Exige la creación de marcos de medición, solicita transferencia de conocimiento junto con la implementación, mantén la propiedad interna de los procesos de gobernanza y mide la efectividad de los socios a través de la mejora de métricas, no solo por la finalización de actividades.

El camino a seguir para los contratistas de defensa

Las implicaciones van más allá del éxito individual de los contratistas y afectan a toda la base industrial de defensa. Con el 62% de las organizaciones que buscan la CMMC operando sin controles de gobernanza integral, persisten vulnerabilidades sistémicas en las cadenas de suministro de defensa. Las regulaciones en evolución, que obtienen 78 puntos como reto, solo se intensificarán a medida que evolucionen las amenazas y aumenten los requisitos. Los problemas de cumplimiento de proveedores, con 73 puntos, se propagan en los distintos niveles de la cadena de suministro, generando riesgos compuestos. Las organizaciones con gobernanza madura obtienen ventajas competitivas sostenibles, mientras que las que no logran la certificación enfrentan presiones de consolidación en el mercado.

Existen patrones de éxito en todos los tamaños y sectores. Las empresas medianas que alcanzan un 59% de cifrado de alto nivel mediante enfoques centrados en la gobernanza demuestran lo que es posible con la priorización adecuada. Incluso las organizaciones más pequeñas, con recursos limitados, logran buenos resultados al centrarse en la disciplina de medición y el rigor contractual en lugar de invertir solo en tecnología. El dato alentador: las organizaciones CMMC ya superan los promedios del sector en seguimiento de efectividad (95% frente al 93%), auditorías a proveedores (48% frente al 44%) y evaluaciones de riesgos (28% frente al 25%). Lo que falta es la disciplina contractual y la gobernanza integral para transformar estas actividades en resultados de seguridad consistentes.

Conclusión: la gobernanza como base del éxito en CMMC

Los datos cuentan una historia clara: el éxito en CMMC 2.0 depende más de la madurez en la gobernanza que de la sofisticación técnica o los recursos organizativos. Con casi dos tercios de los contratistas de defensa operando sin controles de gobernanza integral, el camino hacia la certificación requiere cambios fundamentales en el enfoque, no solo mejoras incrementales.

Las organizaciones que miden de forma constante, incluyen requisitos contractuales y escalan los enfoques de manera adecuada logran resultados visiblemente mejores. La diferencia de 6 puntos porcentuales en tasas bajas de cifrado entre organizaciones que miden y las que no representa miles de posibles vulnerabilidades en la base industrial de defensa. Por cada organización que lucha con una tasa del 25% de bajo cifrado, otra con buena gobernanza alcanza el 19%—una diferencia significativa cuando se multiplica en toda la cadena de suministro de defensa.

Para los contratistas de defensa, la gobernanza no es burocracia—es la base que hace que cualquier otra inversión sea efectiva. Las organizaciones que construyen esta base hoy se posicionan no solo para la certificación, sino para una ventaja competitiva sostenible en un mercado de defensa cada vez más orientado a la seguridad. Los patrones están demostrados mediante el análisis empírico de 104 organizaciones que buscan la CMMC. Las brechas quedan claramente identificadas en el análisis comparativo de 461 encuestados en total. La pregunta es si tu organización se sumará al 38% exitoso con gobernanza madura o seguirá entre el 62% que espera que los controles técnicos sean suficientes.

Con los requisitos de CMMC 2.0 nivel 2 avanzando y los contratos de defensa cada vez más sujetos a la certificación, la ventana para construir bases de gobernanza adecuadas se sigue cerrando. Los datos muestran qué funciona, qué no y por qué. El resto depende del compromiso organizativo para transformar estos conocimientos en acción.

Este análisis se basa en el Informe Anual de Riesgos de Seguridad de Datos y Cumplimiento 2025 de Kiteworks. Se centra en 104 organizaciones que buscan activamente la certificación CMMC 2.0 nivel 2, como parte de una encuesta más amplia de 461 organizaciones realizada en abril de 2025.

Preguntas frecuentes

La encuesta Kiteworks 2025 a 104 organizaciones que buscan la certificación CMMC 2.0 nivel 2 reveló que el 62% carece de controles de gobernanza integral. Solo el 38% ha implementado sistemas de control y seguimiento de gobernanza, ligeramente por debajo del 40% en todas las industrias. Este déficit de gobernanza se correlaciona directamente con peores resultados de seguridad, ya que las organizaciones sin disciplina de medición muestran tasas bajas de cifrado del 25% frente al 19% de aquellas que monitorizan métricas de efectividad.

Las organizaciones medianas con 5.000-9.999 empleados demuestran la mayor tasa de éxito, con un 59% alcanzando cobertura de cifrado de alto nivel (76-100%). Esto supera a las organizaciones más pequeñas de menos de 5.000 empleados (52%) y supera significativamente a las grandes empresas de más de 20.000 empleados (38%). El factor diferencial clave es el enfoque: las empresas medianas priorizan la actualización de políticas y la gobernanza (36%) en lugar de centrarse principalmente en controles técnicos como sus pares más grandes y pequeños.

Según el sistema de puntuación ponderada utilizado en la encuesta, “mantenerse al día con la evolución de las regulaciones” ocupa el primer lugar con 78 puntos, seguido de cerca por “cumplimiento y riesgo de proveedores” con 73 puntos. Es relevante que el 39% de las organizaciones CMMC cita el cumplimiento de proveedores entre sus tres principales retos frente al 32% en todas las industrias, lo que resalta la presión única sobre la cadena de suministro en el sector defensa. Las limitaciones presupuestarias apenas suman 5 puntos, lo que sugiere que existen recursos pero faltan marcos de gobernanza.

Los datos de la encuesta revelan un hallazgo contraintuitivo: las organizaciones que utilizan consultores externos no muestran ventaja inherente sobre las que buscan la certificación de forma independiente, siempre que ambas mantengan disciplina de medición. Entre las organizaciones con sistemas de medición, tanto las que cuentan con socios como las que no logran tasas similares de cifrado de alto nivel (45-46%). El factor crítico es la disciplina de medición: las organizaciones que ni miden ni cuentan con socios muestran los peores resultados, con un 30% en categorías de bajo cifrado.

La debilidad de gobernanza más fácil de abordar son los requisitos contractuales de seguridad, ya que solo el 22% de las organizaciones CMMC los incluye en los contratos con proveedores frente al 27% en todas las industrias. Esta brecha de 5 puntos porcentuales es especialmente preocupante dada la obligatoriedad de la CMMC de transmitir requisitos. Aunque el 48% realiza auditorías periódicas a proveedores (por encima del 44% general), sin marcos contractuales las organizaciones no pueden garantizar que los proveedores mantengan los controles de seguridad requeridos ni gestionen adecuadamente la información sensible de defensa.

Recursos adicionales

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks