Certificación de modelo de madurez en ciberseguridad de EE. UU. (CMMC)

El Departamento de Defensa de EE.UU. exige que todos los contratistas y subcontratistas de la base industrial de defensa (DIB) implementen los controles de seguridad que se describen en el documento NIST SP 800-171 r2 para proteger la información controlada no clasificada (CUI) tal como se indica en la cláusula 252.204-7012 del DFARS, Safeguarding Covered Defense Information and Cyber Incident Reporting. Los contratistas federales (incluidos los contratistas de defensa) que gestionan información sobre contratos federales (FCI) también deben cumplir los requisitos de seguridad que se indican en la cláusula 52.204-21 del FAR, Protección básica de los sistemas de información de contratistas cubiertos.

Para formalizar y verificar el cumplimiento del NIST SP 800-171 r2, el Departamento de Defensa de EE. UU. lanzó el programa CMMC el 15 de octubre del 2024 mediante la regla del programa CMMC de la sección 170 del capítulo 32 del CFR, que entró en vigor el 16 de diciembre del 2024. Una norma de adquisición propuesta (sección 204 del capítulo 48 del CFR) modificará el DFARS 252.204-7021 para exigir la certificación de la CMMC a los contratistas incluidos en ella. Una vez que se haya finalizado, se incorporará el cumplimiento de la CMMC en los contratos del Departamento de Defensa de EE. UU. Google Cloud y Google Workspace están preparados para ayudar a los contratistas a cumplir estos requisitos.

¿Cuáles son los 3 niveles de CMMC?

El programa CMMC tiene tres niveles:

Nivel 1: Protección básica de información sobre contratos federales

  • Objetivo: proteger la información sobre contratos federales (por ejemplo, información básica como números de contrato y calendarios de entrega). Este nivel se ha diseñado para que las organizaciones más pequeñas puedan cumplirlo más fácilmente, siempre que no vayan a gestionar información crítica para la seguridad nacional. 
  • Requisitos: 15 prácticas básicas de ciberseguridad, como cambiar las contraseñas con frecuencia y usar software antivirus.
  • Evaluación: autoevaluación anual.
  • Aplicabilidad: obligatorio para todos los contratistas que gestionen FCI en cualquier capacidad. Este es el nivel más habitual.

Nivel 2: Protección general de la información sin clasificar controlada (CUI)

  • Objetivo: proteger la información sin clasificar controlada (por ejemplo, datos sensibles sujetos a controles de divulgación o protección). Este nivel está diseñado para proteger la información crítica para la seguridad nacional.
  • Requisitos: 110 requisitos de seguridad que se ajustan a la norma NIST SP 800-171 r2. Por ejemplo, mantener un plan de seguridad del sistema (SSP), identificar, registrar y monitorizar los recursos de CUI, e implementar un programa de análisis de vulnerabilidades para identificar y solucionar los puntos débiles de seguridad.
  • Evaluación: definida en el contrato. Algunos contratos pueden requerir una autoevaluación, mientras que otros pueden requerir una evaluación externa por parte de una organización de evaluación externa del CMMC (C3PAO).
  • Aplicabilidad: obligatorio para los contratistas que gestionan CUI.

Nivel 3: protección de alto nivel de la información confidencial de identificación de clientes frente a amenazas persistentes avanzadas

  • Objetivo: proteger la CUI muy sensible en programas críticos. Se centra en las medidas de seguridad adicionales para protegerte frente a las amenazas persistentes avanzadas (APTs).
  • Requisitos: todos los requisitos del nivel 2, además de prácticas adicionales del documento NIST SP 800-172 para mejorar la seguridad, como desarrollar un plan integral de respuesta a incidentes, implementar un programa integral de monitorización continua y evaluar y gestionar el riesgo de seguridad de la cadena de suministro.
  • Evaluación: evaluación dirigida por el gobierno por parte del Centro de Evaluación de Ciberseguridad de la Base Industrial de Defensa (DIBCAC) de EE. UU.
  • Aplicabilidad: obligatorio para los contratistas que trabajan en los proyectos gubernamentales más sensibles. Este es el nivel menos habitual.
  • Requisito previo: Antes de que un contratista pueda obtener el nivel 3 del CMMC, debe tener el nivel 2.

En esencia, cuanto mayor sea el nivel del CMMC, más sensibles serán los datos que se gestionen y más estrictos serán los requisitos de ciberseguridad.

Google Cloud y Google Workspace son compatibles con CMMC

Puedes usar Google Cloud y Google Workspace para cumplir los requisitos de cumplimiento de CMMC de tu organización en todos los niveles, ya que se basan en los servicios autorizados por FedRAMP High de Google. Google Cloud y Google Workspace mantienen la autoridad para operar (ATO) de nivel alto de FedRAMP en los servicios incluidos.

Google proporciona la siguiente documentación de orientación para ayudarte a cumplir los requisitos de cumplimiento del CMMC:

  • Guía de implementación de CMMC de Google Workspace
  • Guía de implementación de CMMC de Google Cloud

Además, Google proporciona las siguientes cartas de certificación elaboradas por una organización de evaluación externa independiente:

  • Carta de atestación de CMMC de C3PAO de Google Workspace (se espera que Google Cloud la obtenga para agosto del 2025)
  • Carta de atestación de cumplimiento de NIST SP 800-171 para Google Cloud y Google Workspace

En el caso de Google Cloud, debes usar el límite de datos de Assured Workloads para FedRAMP High y utilizar la matriz de responsabilidad del cliente (CRM) de CMMC al configurar los sistemas para que cumplan los requisitos de CMMC. Ponte en contacto con el equipo de Ventas de Google o con tu representante de Google Cloud para obtener la documentación mencionada anteriormente, como el CRM.

En el caso de Google Workspace, debes usar servicios autorizados por FedRAMP High para cumplir el CMMC, así como Assured Controls Plus para habilitar el almacenamiento de datos exclusivamente en Estados Unidos. Si es necesario, los clientes pueden desactivar un servicio que aún no esté autorizado por FedRAMP.

Ve un paso más allá

Empieza a crear en Google Cloud con 300 USD en crédito gratis y más de 20 productos Always Free.

Google Cloud