Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS

¿Qué es CMMC CUI?

Inicio Glosario La información no clasificada controlada (CUI) en CMMC y qué significa

La información no clasificada controlada (CUI) según CMMC es información que el gobierno determina que necesita protección o controles de difusión. No cuenta con la protección legal de la información clasificada, pero está sujeta a regulaciones y requisitos de protección, control y uso. Incluye información que no está especificada como inteligencia, relacionada con el orden público o la seguridad nacional, y normalmente se etiqueta mediante marcas o leyendas. La CUI es uno de los dos principales tipos de información que la CMMC existe para proteger. El otro es la información sobre contratos federales (FCI).

Zero Trust Data Exchange

¿Qué es CMMC?

La Certificación del Modelo de Madurez de Ciberseguridad, o CMMC, es un programa de certificación iniciado por el Departamento de Defensa (DoD) para garantizar la seguridad de la cadena de suministro y los datos del DoD. El marco fue remodelado en 2021 para consolidar los cinco niveles iniciales en tres. El nuevo marco se denomina CMMC 2.0. La certificación mide y valida la implementación de prácticas de seguridad que van desde la higiene básica de ciberseguridad hasta la gestión avanzada de amenazas. También incluye medidas como la evaluación del desempeño y las capacidades organizacionales.

La CUI debe estar protegida por ley o política nacional. Incluye datos gubernamentales y empresariales que son sensibles pero no clasificados. La CUI abarca información sujeta a divulgación o difusión restringida, ya sea por su sensibilidad o porque está regulada de otra manera. Incluye cualquier información que debe protegerse para evitar su divulgación no autorizada. Un objetivo principal de la CMMC es proteger al DoD frente a ciberataques en su extensa cadena de suministro.

¿Quién necesita la certificación CMMC?

Las organizaciones dentro de la Base Industrial de Defensa (DIB) que gestionan Información sobre Contratos Federales (FCI) o Información No Clasificada Controlada (CUI) deben obtener la Certificación del Modelo de Madurez de Ciberseguridad (CMMC) en el nivel especificado en sus contratos con el DoD. Esto incluye contratistas principales con contratos directos con el DoD, así como subcontratistas y proveedores en todos los niveles que suministran bienes o servicios a los contratistas principales.

El requisito se extiende a diversas entidades, incluidos proveedores de software, proveedores de servicios en la nube y socios de consultoría que apoyan contratos del DoD. Básicamente, si tu organización crea, procesa, transmite o almacena FCI o CUI como parte de su trabajo para el DoD, la certificación CMMC es necesaria.

Existen tres niveles CMMC 2.0 y el nivel específico requerido depende del tipo de información gestionada: CMMC Nivel 1 aplica a contratistas que solo gestionan FCI, requiriendo la implementación de prácticas básicas de protección descritas en FAR 52.204-21. CMMC Nivel 2 es obligatorio para organizaciones que gestionan CUI, exigiendo cumplimiento con los 110 controles de seguridad especificados en NIST SP 800-171 Rev 2, según lo requerido por la Cláusula DFARS 252.204-7012. CMMC Nivel 3 es para organizaciones que gestionan CUI asociada a programas críticos o activos de alto valor, requiriendo controles mejorados adicionales de NIST 800-172 para contrarrestar amenazas persistentes avanzadas (APT).

Los contratistas principales son responsables de asegurar que sus subcontratistas alcancen el nivel CMMC adecuado según la información que se les transfiere, como lo exige la Cláusula DFARS 252.204-7021. Los proveedores internacionales dentro del DIB también están sujetos a los requisitos de CMMC si gestionan FCI o CUI.

Por ejemplo, un pequeño fabricante que suministra piezas a un contratista principal y solo gestiona detalles básicos del contrato (FCI) necesitaría el Nivel 1, mientras que un desarrollador de software cuyo producto procesa especificaciones técnicas sensibles (CUI) para un sistema de defensa probablemente requeriría el Nivel 2 o incluso el Nivel 3, dependiendo de la criticidad del programa. Comprender la relación entre los requisitos de CUI y CMMC es clave para mantener la elegibilidad contractual.

Tipos de Información No Clasificada Controlada (CUI)

Existen varios tipos de CUI, y se puede clasificar en dos categorías:

  • CUI básica: Es un tipo de CUI que requiere medidas de protección básicas para evitar su divulgación no autorizada. Ejemplos de CUI básica pueden incluir información sobre contratos gubernamentales, información sensible pero no clasificada, o información sujeta a cumplimiento normativo, que incluye leyes y estándares de privacidad de datos (GDPR, HIPAA, PCI DSS, NIST CSF, CCPA, etc.) o decretos ejecutivos.
  • CUI específica: Es un tipo de CUI que requiere medidas de protección adicionales para evitar su divulgación no autorizada. Puede incluir información relacionada con la seguridad nacional, el orden público o cualquier otra información que requiera protección bajo leyes o regulaciones específicas.

Algunos ejemplos específicos de CUI incluyen:

  • Información personal identificable e información de salud protegida: Información como nombres, direcciones, números de Seguro Social, así como información de salud como resultados de laboratorio, historiales de medicamentos y notas de médicos, constituyen PII/PHI y están reguladas por GDPR, PCI DSS y muchas otras para PII, y HIPAA y HITECH para PHI.
  • Datos controlados por exportación o comercio internacional: Datos relacionados con exportaciones, importaciones y comercio internacional.
  • Propiedad intelectual: Patentes, derechos de autor y marcas registradas.
  • Información sensible de contratistas: Información que tiene que ver con contratos, subcontratos y licitaciones.
  • Información empresarial confidencial (PBI), también conocida como Información Empresarial Confidencial (CBI).
  • Información técnica controlada no clasificada (UCTI): Información que contiene datos militares sensibles que no están clasificados pero requieren protección. Ejemplos incluyen planes operativos, tecnologías en desarrollo, equipos esenciales para misiones, métodos de vigilancia y otra información sensible.
  • Sensible pero no clasificada (SBU): Información no clasificada que sigue siendo sensible y requiere manejo especial. Puede incluir información personal protegida, información empresarial e información gubernamental que necesita seguridad y protección frente a accesos no autorizados.

¿Cuándo es obligatoria la conformidad con CMMC?

El Departamento de Defensa (DoD) está implementando CMMC 2.0 mediante un enfoque de implementación gradual. La Regla Final del Programa CMMC (32 CFR Parte 170) se publicó el 15 de octubre de 2024 y entró en vigor el 16 de diciembre de 2024.

Sin embargo, la inclusión de los requisitos de CMMC en los contratos reales del DoD depende de la finalización de la regla DFARS asociada (48 CFR, DFARS Case 2019-D041), que codifica CMMC en las regulaciones de adquisición. Se prevé que esta regla se finalice alrededor del segundo o tercer trimestre de 2025. Una vez que la regla 48 CFR sea definitiva, el DoD comenzará a incluir los requisitos de CMMC en nuevas licitaciones y contratos según la siguiente línea de tiempo por fases:

  1. Fase 1 (A partir de ~Q2/Q3 2025): El DoD comenzará a incluir los requisitos de autoevaluación de CMMC Nivel 1 y Nivel 2 en las licitaciones aplicables.
  2. Fase 2 (A partir de ~Q2/Q3 2026): El DoD empezará a incluir requisitos de evaluación de certificación CMMC Nivel 2 (realizada por una C3PAO) en las licitaciones relevantes.
  3. Fase 3 (A partir de ~Q2/Q3 2027): Los requisitos de certificación CMMC Nivel 2 comenzarán a aparecer como condición para ejercer períodos opcionales en contratos aplicables. Las evaluaciones de CMMC Nivel 3 (realizadas por DIBCAC) probablemente también comenzarán a aparecer en licitaciones relevantes durante esta fase o posteriormente.
  4. Fase 4 (Implementación total, prevista entre 1 de octubre de 2026 y 2028): Se espera que todas las nuevas licitaciones y contratos del DoD que involucren FCI o CUI incluyan los requisitos de nivel CMMC apropiados.

Aunque la inclusión oficial en los contratos comienza con la finalización de la Propuesta de Regla CMMC 48 CFR, ya ha comenzado un “lanzamiento al mercado”, con evaluaciones CMMC disponibles desde el primer trimestre de 2025.

Los contratistas principales cada vez exigen más a sus subcontratistas que demuestren cumplimiento desde ahora. Las organizaciones que gestionan CUI ya deben cumplir con NIST 800-171 a través de DFARS 252.204-7012 y reportar las puntuaciones de autoevaluación en SPRS según DFARS 252.204-7019/7020.

Dado que lograr el cumplimiento puede llevar entre 6 y 18 meses, las organizaciones no deberían retrasar la preparación. Los pasos preparatorios incluyen realizar un análisis de distancia respecto al nivel CMMC requerido, desarrollar un Plan de Seguridad del Sistema (SSP), crear Planes de Acción e Hitos (POA&M) para las brechas y asegurar que las puntuaciones SPRS se envíen correctamente. Comprender el cronograma de CUI CMMC es vital para no interrumpir los negocios con el DoD.

Requisitos de manejo para la Información No Clasificada Controlada (CUI)

El manejo de la CUI requiere medidas específicas para garantizar su protección, incluyendo:

  • Controles de acceso: El acceso a la CUI debe estar protegido por sólidos controles de acceso que limiten el acceso solo a personas con la autorización adecuada y necesidad de saber.
  • Almacenamiento: La CUI debe almacenarse en un lugar seguro y protegerse con medidas de seguridad físicas o electrónicas.
  • Difusión: La CUI solo debe difundirse a personas con la autorización adecuada y necesidad de saber.
  • Destrucción: La CUI debe destruirse cuando ya no sea necesaria o cuando lo exija la ley o la regulación.

¿Por qué es importante proteger la Información No Clasificada Controlada (CUI)?

La protección de la CUI es importante por varias razones, entre ellas:

  • Seguridad nacional: La divulgación no autorizada de CUI puede causar daños significativos a la seguridad nacional.
  • Privacidad: La divulgación no autorizada de información personal identificable puede afectar la privacidad de las personas y provocar robo de identidad.
  • Intereses económicos: La divulgación no autorizada de información empresarial confidencial puede dañar gravemente los intereses económicos de una empresa.

Protección de CMMC CUI: Niveles 1, 2 y 3 de CMMC 2.0

CMMC es un conjunto de estándares y mejores prácticas para proteger la CUI. Es utilizado por el Departamento de Defensa de Estados Unidos (DoD) y otras agencias gubernamentales para asegurar que los contratistas tomen en serio la protección de la CUI. CMMC 2.0 consta de tres niveles de evaluación para organizaciones que buscan certificación para gestionar CUI:

  • CMMC Nivel 1: Fundamental. Este nivel de protección exige la implementación de medidas básicas de ciberseguridad, como gestión de identidades, control de acceso y protección de datos.
  • CMMC Nivel 2: Avanzado. Este nivel incluye medidas de seguridad más avanzadas, como autenticación de sistemas y cifrado.
  • CMMC Nivel 3: Experto. Este nivel abarca las medidas de seguridad más avanzadas, como monitoreo continuo y planes de respuesta a incidentes de seguridad.

CMMC Nivel 1: Salvaguardas fundamentales para FCI

  1. Alcance: Aplica a contratistas que procesan, almacenan o transmiten Información sobre Contratos Federales (FCI), pero no CUI.
  2. Requisitos: Exige la implementación de los 15 requisitos básicos de protección descritos en FAR 52.204-21 (a veces referidos como 17 prácticas en la documentación de CMMC, aunque alineados con los 15 controles FAR). Estos requisitos representan la higiene cibernética básica.
  3. Prácticas de ejemplo (alineadas con FAR 52.204-21): Incluyen prácticas como limitar el acceso a los sistemas de información a usuarios autorizados, autenticar a los usuarios antes de conceder acceso, proteger los sistemas contra código malicioso (por ejemplo, antivirus), realizar actualizaciones/registros periódicos, controlar el acceso físico a los sistemas y sanitizar medios antes de su eliminación o reutilización.
  4. Tipo de evaluación: Requiere una autoevaluación anual realizada por el propio contratista.
  5. Declaración: Un alto directivo de la empresa debe afirmar anualmente el cumplimiento a través del Supplier Performance Risk System (SPRS).
  6. Interesados típicos: Organizaciones de la DIB, incluidas pequeñas empresas, subcontratistas y proveedores, que solo gestionan FCI como parte de su trabajo contractual con el DoD. Este nivel aplica a casi todos los contratos del DoD que no son COTS.

CMMC Nivel 2: Seguridad avanzada para CUI

CMMC Nivel 2 está diseñado para organizaciones que gestionan Información No Clasificada Controlada (CUI) y eleva significativamente los requisitos de ciberseguridad respecto al Nivel 1.

Este nivel se alinea directamente y exige la implementación de los 110 controles de seguridad especificados en NIST 800-171 Revisión 2, que ha sido un requisito para contratistas que gestionan CUI bajo la Cláusula DFARS 252.204-7012 desde 2017.

El objetivo principal del Nivel 2 es asegurar una protección robusta para la CUI frente a amenazas cibernéticas más sofisticadas. Dependiendo de los requisitos contractuales específicos y la sensibilidad de la CUI involucrada, las organizaciones que buscan el cumplimiento de Nivel 2 necesitarán una evaluación trienal por parte de una Organización Evaluadora de Terceros CMMC acreditada (C3PAO) o, para ciertos contratos con CUI menos sensible, una trienal COPPA. Independientemente del tipo de evaluación, se requiere una declaración anual de cumplimiento por parte de un alto directivo de la empresa presentada a través de SPRS.

Proteger eficazmente la CUI incluye los pasos descritos en los 110 controles de NIST SP 800-171. Las acciones clave suelen implicar establecer sólidos controles de acceso (limitando quién puede acceder a la CUI), implementar autenticación multifactor (MFA), cifrar la CUI tanto en reposo como en tránsito, desarrollar planes integrales de respuesta a incidentes, realizar capacitación regular de concienciación en seguridad, monitoreo continuo y gestión de vulnerabilidades, y mantener configuraciones seguras del sistema.

Alcanzar el Nivel 2 demuestra un compromiso significativo con la protección de información de defensa sensible dentro del marco CUI CMMC.

CMMC Nivel 3: Controles expertos para una protección completa

CMMC Nivel 3 representa el nivel más alto de madurez en ciberseguridad dentro del marco CMMC 2.0, diseñado para organizaciones que gestionan CUI asociada a los programas y tecnologías más críticos del DoD.

Este nivel se basa en los 110 controles del Nivel 2 (NIST SP 800-171) incorporando un subconjunto de los requisitos de seguridad mejorados de NIST 800-172. Estos controles adicionales se centran en proporcionar protección reforzada frente a amenazas persistentes avanzadas (APT) y adversarios sofisticados mediante capacidades proactivas de defensa cibernética.

Las áreas clave incluyen respuesta a incidentes mejorada (posiblemente requiriendo un Centro de Operaciones de Seguridad o SOC), búsqueda avanzada de amenazas, gestión de riesgos de la cadena de suministro y diseño de sistemas para resiliencia cibernética.

A diferencia de los Niveles 1 y 2, las evaluaciones de Nivel 3 no las realizan C3PAO ni se hacen por autoevaluación; en su lugar, son lideradas por personal del gobierno de la Defense Contract Management Agency (DCMA), Defense Industrial Base Cybersecurity Assessment Center (DIBCAC) cada tres años.

Alcanzar el Nivel 3 requiere una inversión significativa en recursos, tecnología y personal. Las organizaciones que buscan el Nivel 3 deben planificar cuidadosamente sus recursos y considerar cómo estos controles avanzados se integran con sus marcos de seguridad existentes, como ISO 27001 u otras directrices NIST. Se estima que solo un pequeño porcentaje de contratistas del DIB (quizás menos del 1%) necesitarán certificación de Nivel 3, específicamente aquellos involucrados en programas críticos o que gestionan datos CUI CMMC especialmente sensibles.

¿Cómo sé si tengo CUI en mi entorno?

La CUI puede encontrarse en muchos lugares diferentes, incluidos bases de datos, redes, sitios web y documentos. Para identificar CUI en un entorno, es importante saber dónde se almacena la información y quién tiene acceso a ella. Fuentes comunes de CUI incluyen listas de clientes, registros financieros y planes de negocio. Además, la CUI puede estar en correos electrónicos, mensajes de texto y otras comunicaciones.

¿Qué tipo de CUI tengo?

Una vez que hayas identificado la CUI en tu entorno, es importante determinar de qué tipo se trata. La CUI se divide en varias categorías, como PII, PHI, datos controlados por exportación, propiedad intelectual, información sensible de contratistas e información nacional sensible no clasificada. Cada categoría de CUI requiere su propio conjunto de protecciones.

¿Cómo protejo la CUI y cumplo los requisitos de cumplimiento?

La CUI puede contener información confidencial, sensible y/o propietaria—datos que deben protegerse a toda costa. Como se mencionó anteriormente, es fundamental proteger la CUI y cumplir los requisitos de cumplimiento, ya que no hacerlo puede resultar en pérdidas financieras y, peor aún, en la pérdida de confianza de clientes, proveedores y empleados.

El primer paso para proteger la CUI y cumplir los requisitos de cumplimiento es determinar las leyes y regulaciones aplicables a los datos en tu organización. Es importante tener una comprensión clara de estos estándares, incluidos los riesgos y vulnerabilidades asociados a tu sector específico. Una vez identificados los estándares aplicables, las organizaciones deben implementar medidas adecuadas para proteger la CUI. Este proceso debe incluir una variedad de medidas de seguridad técnicas, físicas y administrativas, como cifrado, protección contra malware, copias de seguridad seguras y protección mediante contraseñas. Además, deben establecerse políticas de acceso para controlar quién puede acceder y modificar la CUI, así como procesos para rastrear, registrar e informar sobre la CUI.

Las organizaciones también deben contar con un sistema para la gestión de incidentes y vulnerabilidades, asegurando que cualquier problema de seguridad o exposición de la CUI se aborde rápidamente. Los planes de respuesta a incidentes deben incluir procesos para responder a incidentes, recopilar y analizar pruebas, y reducir cualquier daño. También deben realizarse revisiones y pruebas de seguridad periódicas para validar la eficacia de las medidas de seguridad actuales e identificar áreas de mejora.

Al tomar las medidas necesarias para proteger la CUI y cumplir los requisitos de cumplimiento, las organizaciones pueden asegurar que sus datos estén protegidos y que sus operaciones sigan cumpliendo con las leyes aplicables. Hacerlo es fundamental para la reputación de la organización y la seguridad de su información.

Pasos adicionales para asegurar que la CUI esté debidamente protegida por las organizaciones incluyen:

  • Implementar medidas sólidas de ciberseguridad, como gestión de identidades y accesos (IAM), cifrado de correo electrónico y autenticación multifactor (MFA).
  • Establecer protocolos para el manejo de CUI, como limitar el acceso solo a personal autorizado y monitorear el acceso a la CUI mediante el análisis de registros de auditoría.
  • Asegurar que todo el personal con acceso a CUI reciba capacitación adecuada en procedimientos de protección de CUI mediante formación en concienciación de seguridad.

La Red de Datos Privados de Kiteworks es clave para proteger la CUI

Cada día, las organizaciones enfrentan desafíos cada vez mayores para mantener a salvo datos sensibles como la CUI frente a terceros maliciosos, ciberataques y filtraciones de datos. Para garantizar la seguridad de estos datos sensibles, Kiteworks ofrece una Red de Datos Privados (PDN) que unifica, rastrea, controla y protege las comunicaciones de contenido sensible con una gobernanza integral de seguridad y cumplimiento. Con Kiteworks, las organizaciones pueden proteger información sensible como la CUI en todos los canales de comunicación con controles centralizados, aplicación automatizada y visibilidad completa—sin sacrificar la eficiencia operativa.

Kiteworks utiliza un dispositivo virtual reforzado para proteger las comunicaciones de contenido sensible frente a ciberdelincuentes y estados hostiles. El uso de capas de seguridad que incluyen doble cifrado AES 256 a nivel de archivo y volumen de disco dificulta enormemente que un ciberataque acceda a cualquier contenido. Gracias al nivel de seguridad que emplea Kiteworks, la vulnerabilidad y la gravedad del impacto de las vulnerabilidades se reducen drásticamente.

Kiteworks unifica las comunicaciones de archivos y correo electrónico en una sola plataforma que ofrece seguimiento y controles consolidados para gestionar el envío, compartición, recepción, colaboración y almacenamiento de contenido. Con correo electrónico seguro, uso compartido seguro de archivos, transferencia segura de archivos administrada, formularios web seguros y SFTP integrados en una sola plataforma, las organizaciones logran mejoras notables en cumplimiento operativo, eficiencia y seguridad.

El cifrado de datos es un elemento clave del PDN de Kiteworks. Protege los datos sensibles codificándolos para que solo personas autorizadas puedan acceder a ellos. Además, ni Kiteworks ni los proveedores en la nube tienen acceso a la gestión de tus claves y cifrado. Los clientes de Kiteworks mantienen la propiedad total y el acceso a sus claves de cifrado. Las agencias gubernamentales, abogados y tribunales no pueden acceder a tu contenido sensible en Kiteworks mediante acciones legales.

Solicita una programa una demostración personalizada para descubrir cómo puedes proteger la CUI bajo CMMC Nivel 2 con Kiteworks—que cumple con casi el 90% de los requisitos de CMMC Nivel 2 de forma nativa

Volver al Glosario de Riesgo y Cumplimiento

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo
Compartir
Twittear
Compartir
Explore Kiteworks