Certificación de modelo de madurez en ciberseguridad de EE. UU. (CMMC)

Actualmente, el Departamento de Defensa de EE. UU. exige que todos los contratistas y subcontratistas que trabajan con información de defensa cubierta implementen los controles de seguridad que se describen en el documento NIST SP 800‐171 r2. Este requisito está diseñado para proteger la información controlada no clasificada (CUI) como parte de los compromisos contractuales descritos en la cláusula 252.204-7012 del DFARS para las entidades cubiertas: Protección de la información de defensa cubierta e informes de ciberincidentes. Los contratistas federales (incluidos los contratos de defensa) que gestionan información sobre contratos federales (FCI) tienen la obligación de cumplir los requisitos de seguridad que se indican en la cláusula 52.204-21 del FAR: Protección básica de los sistemas de información de contratistas cubiertos.

Para formalizar este requisito y proporcionar al Departamento de Defensa de EE. UU. un medio para verificar el cumplimiento del NIST SP 800-171 r2, el Departamento de Defensa publicó la regla del programa CMMC en virtud de la sección 170 del capítulo 32 del CFR para lanzar oficialmente el programa de certificación de modelo de madurez en ciberseguridad (CMMC) el 15 de octubre del 2024, y entró en vigor el 16 de diciembre del 2024. Además de la nueva regla del programa CMMC de la sección 170 del capítulo 32 del CFR, el Departamento de Defensa ha propuesto una norma de adquisición (sección 204 del capítulo 48 del CFR, norma de adquisición de la CMMC) para modificar la DFARS y abordar los requisitos relacionados con la nueva norma del programa CMMC de la sección 170 del capítulo 32 del CMMC. Se prevé que la regla de adquisición del CMMC en virtud de la sección 204 del capítulo 48 del CFR actualice el DFARS 252.204-7021 para exigir a los contratistas y subcontratistas incluidos en ella que alcancen y mantengan el nivel de certificación de la CMMC que se exija durante la duración del contrato. Esto significa que, en los próximos meses, una vez que se publique la versión definitiva, los contratistas pueden empezar a ver la cláusula 252.204-7021 actualizada del DFARS, que exige el cumplimiento de los estándares del CMMC en los contratos del Departamento de Defensa de EE. UU. Mientras se van incorporando de forma gradual los requisitos del DFARS 252.204-7021 y del CMMC a los contratos, los contratistas del Departamento de Defensa de EE. UU. que ya gestionan información de carácter financiero o información de carácter personal sensible pueden optar por solicitar voluntariamente su estado de cumplimiento de los estándares del CMMC. Google Cloud está preparado para ayudar a los contratistas del Departamento de Defensa de EE. UU. a cumplir los requisitos de cumplimiento del CMMC.

¿Cuáles son los 3 niveles de CMMC?

El programa CMMC tiene tres niveles: el nivel 1 está diseñado para verificar 15 requisitos de conformidad con FAR 52.204-21. El nivel 2 está diseñado para verificar 110 requisitos del NIST SP 800-171 r2. El nivel 3 añade a eso la verificación de otros 24 requisitos de la norma NIST SP 800-172. A continuación se incluyen más detalles.

Nivel 1: Protección básica de información sobre contratos federales

  • Objetivo: proteger la información sobre contratos federales (por ejemplo, información básica como números de contrato y calendarios de entrega). Este nivel se ha diseñado para que las organizaciones más pequeñas puedan cumplirlo más fácilmente, siempre que no vayan a gestionar información crítica para la seguridad nacional. 
  • Requisitos: 15 prácticas básicas de ciberseguridad. Por ejemplo, cambiar las contraseñas con frecuencia y usar software antivirus.
  • Evaluación: autoevaluación anual.
  • Aplicabilidad: obligatorio para todos los contratistas que gestionen FCI en cualquier capacidad. Este es el nivel más habitual.

Nivel 2: Protección general de la información sin clasificar controlada (CUI)

  • Objetivo: proteger la información sin clasificar controlada (por ejemplo, datos sensibles sujetos a controles de divulgación o protección). Este nivel está diseñado para proteger la información crítica para la seguridad nacional.
  • Requisitos: 110 requisitos de seguridad que se ajustan a la norma NIST SP 800-171 r2. Ejemplos: mantener un plan de seguridad del sistema (SSP), identificar, registrar y monitorizar los recursos de CUI, e implementar un programa de análisis de vulnerabilidades para identificar y solucionar los puntos débiles de seguridad.
  • Evaluación: definida en el contrato. Algunos contratos pueden requerir una autoevaluación, mientras que otros pueden requerir una evaluación externa por parte de una organización de evaluación externa del CMMC (C3PAO).
  • Aplicabilidad: obligatorio para los contratistas que gestionan CUI.

Nivel 3: protección de alto nivel de la información confidencial de identificación de clientes frente a amenazas persistentes avanzadas

  • Objetivo: proteger la CUI muy sensible en programas críticos. Se centra en las medidas de seguridad adicionales para protegerte frente a las amenazas persistentes avanzadas (APTs).
  • Requisitos: todos los requisitos del nivel 2, además de prácticas adicionales del documento NIST SP 800-172 para mejorar la seguridad. Ejemplos: desarrollar un plan integral de respuesta a incidentes, implementar un programa integral de monitorización continua y evaluar y gestionar el riesgo de seguridad de la cadena de suministro.
  • Evaluación: evaluación dirigida por el gobierno por parte del Centro de Evaluación de Ciberseguridad de la Base Industrial de Defensa (DIBCAC) de EE. UU.
  • Aplicabilidad: obligatorio para los contratistas que trabajan en los proyectos gubernamentales más sensibles. Este es el nivel menos habitual.
  • Requisito previo: Antes de que un contratista pueda obtener el nivel 3 del CMMC, debe tener el nivel 2.

En esencia, cuanto mayor sea el nivel del CMMC, más sensibles serán los datos que se gestionen y más estrictos serán los requisitos de ciberseguridad. El nivel requerido para un contrato concreto depende del tipo de información que se trate y de la sensibilidad del proyecto.

Google Cloud y Google Workspace son compatibles con CMMC

Los clientes pueden usar Google Cloud y Google Workspace para cumplir los requisitos de CMMC aplicables a los CSPs en todos los niveles aprovechando la referencia de FedRAMP de Google y configurando sus sistemas para que cumplan los requisitos de FedRAMP. Google Cloud y Google Workspace mantienen los niveles de autoridad para operar (ATO) moderados y altos de FedRAMP en los servicios definidos. Todos los servicios de nivel moderado y alto de FedRAMP cumplen los requisitos del NIST 800‐171 r2 para proveedores de servicios en la nube. Los clientes deben usar la matriz de responsabilidad del cliente (CRM) de FedRAMP, que forma parte del plan de seguridad del sistema de FedRAMP de Google, al configurar sus sistemas para que cumplan los requisitos de dicho programa.

A petición del cliente, Google también puede proporcionar una guía de implementación para facilitar la configuración de enclaves de CMMC y una carta de confirmación de cumplimiento de CMMC de una organización de auditoría externa certificada (C3PAO) para facilitar la verificación de los requisitos. El equipo de Ventas de Google o tu representante de Google Cloud pueden ayudarte a acceder a la documentación aplicable. 

Si eres un contratista del Departamento de Defensa de EE. UU. que necesita cumplir el nivel 1 del CMMC, todos los productos de Google Cloud pueden ayudarte a satisfacer tus necesidades de cumplimiento. Para cumplir los requisitos de los niveles 2 o 3 de CMMC, los contratistas del Departamento de Defensa que gestionen CUI deben utilizar soluciones en la nube que ofrezcan, como mínimo, servicios en la nube autorizados por FedRAMP Moderate. Los clientes que quieran cumplir este requisito básico con los servicios de Google Cloud pueden usar los servicios autorizados por FedRAMP que se indican en esta página

Los clientes de Google Cloud deben seleccionar el paquete de control regulador FedRAMP Moderate o FedRAMP High para el despliegue dentro de los límites definidos por el software. Como se ha mencionado anteriormente, los clientes deben utilizar nuestra matriz de responsabilidad del cliente (CRM) de FedRAMP, que forma parte de nuestro plan de seguridad del sistema (SSP) de FedRAMP de Google, al configurar sus sistemas para que cumplan los requisitos de FedRAMP.

Los clientes de Google Workspace deben asegurarse de que solo usan los servicios FedRAMP Moderate o FedRAMP High dentro del ámbito de cumplimiento del CMMC. Si es necesario, los clientes pueden desactivar un servicio que aún no esté autorizado por FedRAMP. 

Los clientes que necesiten que sus datos se almacenen exclusivamente en EE.UU. deben utilizar los servicios de FedRAMP High (configurados con Assured Workloads o Assured Controls) y el CRM de FedRAMP. De esta forma, los datos se almacenan en las regiones de los centros de datos de Google ubicadas en Estados Unidos. Los clientes también pueden elegir usar las soluciones de Google para los niveles IL2, IL4 o IL5 para cumplir los requisitos de residencia de datos. Google recomienda a los clientes que sigan la guía de configuración de FedRAMP de Google Workspace para cumplir con el CMMC.

Ve un paso más allá

Empieza a crear en Google Cloud con 300 USD en crédito gratis y más de 20 productos Always Free.

Empezar gratis
Google Cloud
DocumentosAsistencia
Consola
Iniciar sesión
Security
Página principalInteligencia y experienciaSecOpsSeguridad en la nubeRecursos sobre seguridad
Asistencia para responder a incidentes
Contactar
  • Agiliza tu transformación digital
  • Tanto si tu negocio ya está inmerso en la transformación digital como si aún se encuentra en la etapa inicial, Google Cloud puede ayudarte a hacer frente a los retos más difíciles.
  • Productos de Google Cloud
  • Descubre más de 100 productos. Los nuevos clientes reciben 300 USD en crédito gratis para ejecutar, probar y desplegar cargas de trabajo. Todos los clientes pueden usar más de 25 productos de forma gratuita hasta alcanzar los límites de uso mensuales.
  • Ahorra dinero con nuestro enfoque de transparencia sobre los precios
  • El modelo de pago por uso de Google Cloud ofrece ahorros automáticos en función del uso mensual y de las tarifas con descuento para los recursos de prepago. Ponte en contacto con nosotros y solicita un presupuesto.
Google Cloud