CMMC explicado: Análisis de los nuevos objetivos de ciberseguridad de la comunidad de defensa de EE. UU.

Por Danny Bradbury • 11 July 2024

La ciberseguridad se ha convertido en una preocupación crítica en la industria de defensa, con crecientes amenazas dirigidas a información sensible e infraestructura crítica. Ahí es donde entra en juego la Certificación del Modelo de Madurez de Ciberseguridad (CMMC). Es un marco para que los contratistas de defensa implementen medidas de ciberseguridad, protegiéndose a sí mismos y a la cadena de suministro del Departamento de Defensa de EE. UU. Pero, ¿cómo funciona y cómo se cumple?

Anunciado por primera vez en junio de 2019, el marco CMMC es ambicioso. En 2020, el Departamento de Defensa publicó la versión 1 del marco y una norma presidencial interina estableció un período gradual de cinco años para que los contratistas de defensa lograran el cumplimiento.

El cumplimiento implica navegar por un marco de estilo matricial estructurado en torno a 17 dominios de ciberseguridad que originalmente abarcaban cinco niveles de madurez. Cada uno de los dominios abarca una amplia gama de prácticas de seguridad, que van desde el control de acceso y la gestión de activos hasta la identificación y autenticación y la respuesta a incidentes hasta la integridad del sistema y la información. El marco detalla prácticas específicas en cada dominio correspondiente a la certificación en cada nivel de madurez.

Cada uno de los niveles de madurez del marco se basa en el que se encuentra debajo, creando un camino para que los contratistas de defensa maduren sus prácticas de ciberseguridad.

Revisiones del marco

Como era de esperar, dado que ambos provienen del gobierno federal, CMMC está estrechamente relacionado con otro estándar de seguridad: el estándar NIST SP 800-171 para proteger información controlada no clasificada (CUI) en sistemas y organizaciones no federales. Las reglas del Reglamento Federal de Adquisiciones (FAR) y del Suplemento del Reglamento Federal de Adquisiciones de Defensa (DFARS) (que dictan lo que deben hacer los contratistas federales y de defensa antes de poder trabajar con el gobierno federal) dictan el cumplimiento de NIST SP 800-171.

Una ventaja clave del CMMC original sobre NIST SP 800-171 fue que, mientras este último se basa en la autocertificación para el cumplimiento, CMMC 1.0 exigía evaluaciones de terceros para verificar la implementación. Sin embargo, en marzo de 2021, el Departamento de Defensa anunció una revisión interna de CMMC, que resultó en una versión actualizada, CMMC 2.0, en noviembre. Esta revisión fue una respuesta a los comentarios de la industria que pedían un costo de cumplimiento reducido (especialmente para las pequeñas empresas), junto con una mejor alineación con otros estándares.

CMMC 2.0 redujo el número de niveles de madurez a tres (Fundamental, Avanzado y Experto). También redujo los costos al introducir autoevaluaciones para el nivel Fundacional y algunos requisitos de Avanzado. Otros cambios diseñados para suavizar el impacto en las empresas incluyeron disposiciones para exenciones, junto con planes de acción e hitos (POA&M). Las exenciones permiten a las empresas solicitar exenciones temporales de CMMC en circunstancias específicas, mientras que los POA&M les permiten establecer objetivos con plazos para cerrar las brechas de cumplimiento.

En el CMMC 2.0 optimizado, los requisitos NIST SP 800-171 entran en vigor en el nivel dos, mientras que el nivel tres incluye algunos requisitos SP 800-172.

¿Cómo se puede cumplir con CMMC?

En este momento, el cumplimiento de CMMC 2.0 no es un requisito contractual porque aún es necesario completar la elaboración de reglas para esa actualización. Se espera que esto lleve hasta dos años. El Departamento de Defensa publicó su regla propuesta para CMMC en diciembre de 2023, con un período de consulta de 60 días. La norma entrará en vigor el 1 de octubre de 2026, por lo que es inteligente empezar ahora.

Comience definiendo el nivel CMMC que está buscando. Estos cubren diferentes tipos de información. El nivel fundamental cubre la información del contrato federal (FCI). Advanced es para organizaciones que buscan manejar CUI, defensa controlada, información técnica controlada o datos controlados por exportación. La certificación de experto le permite transportar información crítica, controlada y no clasificada y también se aplica a quienes trabajan en proyectos sensibles en los ámbitos aeroespacial o militar.

Tu nivel determinará los requisitos que deberás cumplir. La certificación fundamental exige el cumplimiento de los requisitos que se encuentran en la regla FAR 52.204-21 (17 Prácticas CMMC). Para alcanzar el estado avanzado, deberá cumplir con los 110 controles de seguridad de NIST 800-171, mientras que la certificación Experto también requerirá el cumplimiento de un subconjunto de requisitos de NIST 800-SP 172. Este estándar contiene requisitos mejorados para proteger CUI, incluidas medidas de mitigación contra amenazas persistentes avanzadas.

Identifique los activos cubiertos por CMMC y realice un análisis de deficiencias para ver dónde no alcanza actualmente la certificación que necesita. Elija un proveedor de servicios administrados para que lo ayude con sus requisitos de actualización de seguridad cuando sea necesario. También debe completar una evaluación CMMC, lo que podría significar una evaluación de un tercero según el nivel de madurez elegido.

Hay mucho en lo que trabajar ahora mismo

Mientras esperamos que llegue la fecha límite de CMMC, existen requisitos de cumplimiento más urgentes. El Departamento de Defensa ha creado el Suplemento del Reglamento Federal de Adquisiciones de Defensa

(DFARS) cláusula 252.204-7012, una norma reciente que exige medidas de ciberseguridad para los contratistas federales de defensa. Según esa regla, que está vigente ahora, los contratistas deben cumplir con los 110 requisitos de seguridad de NIST SP 800-171.

Más adelante, espere más desarrollos de CMMC ahora que NIST ha publicado la tercera revisión de NIST SP 800-71. Aparentemente, esto tiene menos requisitos que la versión 2, pero estos requisitos son mucho más importantes y requieren más preguntas de verificación y más trabajo. Si bien CMMC 2.0 no incluye el cumplimiento de NIST SP 800-71 v3, espérelo en el futuro.

Puede utilizar el trabajo existente que haya realizado sobre ISO 27001 para ayudar con estos preparativos. Aunque es un estándar independiente de CMMC, existe cierta superposición. Debido a que CMMC se basa en gran medida en NIST SP 800-71, puede utilizar la asignación de ISO 27001 en el Apéndice D de NIST SP 800-71 para obtener una ventaja sobre el cumplimiento de CMMC.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 20 November 2025

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

2025 no ha sido un buen año para los clientes de Salesforce. Un grupo criminal sin escrúpulos lanzó una serie de ataques contra sus clientes, afectando finalmente a...

danny bradbury

La seguridad cibernética 13 November 2025

Evaluación del cambio de la administración Trump en la política de ciberseguridad de EE. UU. (Banner)

Evaluación del cambio de política de ciberseguridad de Estados Unidos durante la administración Trump

Las recientes acciones ejecutivas y las reestructuraciones de agencias marcan un cambio significativo en la estrategia federal de ciberseguridad, lo que plantea interrogantes sobre la resiliencia nacional...

danny bradbury

La seguridad cibernética 23 October 2025

Por qué la investigación de la FTC sobre chatbots debería preocupar a las empresas B2B

Septiembre marcó un hito para los defensores de la ética de la IA. La FTC emitió órdenes conforme a la Sección 6(b) a siete importantes empresas tecnológicas que producen chatbots...

danny bradbury

CMMC explicado: Análisis de los nuevos objetivos de ciberseguridad de la comunidad de defensa de EE. UU.

Revisiones del marco

¿Cómo se puede cumplir con CMMC?

Hay mucho en lo que trabajar ahora mismo

danny bradbury

Artículos relacionados

Informe sobre el estado de la seguridad de la información: 11 estadísticas y tendencias clave para el sector financiero

IO nombrado líder de G2 Grid® en gobernanza, riesgo y cumplimiento para el invierno de 2025

Qué significa el proyecto de ley de ciberseguridad y resiliencia para las infraestructuras críticas

Lea más de Danny Bradbury

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

Evaluación del cambio de política de ciberseguridad de Estados Unidos durante la administración Trump

Por qué la investigación de la FTC sobre chatbots debería preocupar a las empresas B2B