Certificación de modelo de madurez en ciberseguridad de EE. UU. (CMMC)

Actualmente, el Departamento de Defensa de EE. UU. exige que todos los contratistas y subcontratistas que trabajan con información de defensa cubierta implementen los controles de seguridad que se describen en el documento NIST SP 800‐171. Este requisito está diseñado para proteger la información sobre contratos federales (FCI) y la información controlada no clasificada (CUI) como parte de los compromisos contractuales descritos en la cláusula 252.204-7012 del DFARS para las entidades cubiertas.

El Departamento de Defensa de EE. UU. está desarrollando la certificación de modelo de madurez en ciberseguridad (CMMC) para formalizar el requisito anteriormente descrito y disponer de un medio para verificar el cumplimiento del NIST SP 800-171. Todos los contratistas del Departamento de Defensa de EE. UU. cuyo contrato incluya la cláusula 252.204-7012 del DFARS deberán alcanzar el nivel de la CMMC que se exija en ellos como condición para la adjudicación de esos contratos cuando se publique la versión definitiva de la regla.

Información contextual sobre la versión 2.0 de la CMMC

El 26 de diciembre del 2023, el Departamento de Defensa de EE. UU. publicó una propuesta de regla abierta a la opinión del público. El periodo para aportar comentarios abarca 60 días y, una vez transcurrido este plazo, los responsables de las reglas los revisarán de cara a la publicación final. Según esta cronología, los analistas del sector estiman que la publicación final de la regla tendrá lugar a principios del 2025 y que la primera ronda de contratistas recibirá la certificación CMMC a partir de entonces. Esta fecha puede cambiar en función de los plazos del proceso de toma de decisiones del Gobierno.

CMMC y Google Cloud

La versión 2.0 de la CMMC ofrece tres niveles a las empresas, en función de los requisitos del Departamento de Defensa de EE. UU. Aunque las empresas no pueden someterse a una evaluación oficial de la CMMC hasta que se haya publicado la versión final de la regla, en Google Cloud nos estamos preparando para el nivel 2 de esta certificación. Con ese objetivo, participamos en evaluaciones simuladas con nuestro C3PAO designado, que respalda nuestros procesos de autorización de FedRAMP que se aplican tanto a los servicios de Google Cloud como a los de Google Workspace. Cuando la versión 2.0 de la CMMC sea definitiva, Google continuará con el proceso de certificación formal definido para los proveedores de servicios en la nube (CSPs).

Aunque ninguna empresa ha recibido una certificación CMMC hasta la fecha, Google ha solicitado evaluaciones del NIST SP 800‐171 para prepararse para el programa de la versión 2.0 de la CMMC. Estos informes de evaluación se encuentran en nuestra página del NIST SP 800-171.

Según el borrador actual de la CMMC, los contratistas que utilicen soluciones en la nube para almacenar CUI deben utilizar CSPs que mantengan, como mínimo, una autorización de FedRAMP Moderate. Para prepararse para la CMMC, los contratistas de la base industrial de defensa (DIB) que utilizan los servicios de Google Cloud deberán consultar nuestra matriz de responsabilidad del cliente (CRM) de FedRAMP, que forma parte de nuestro plan de seguridad del sistema (SSP) de FedRAMP, para familiarizarse con el modelo de responsabilidad compartida de cara al cumplimiento previsto de la CMMC. Nuestro equipo de Ventas o tu representante de Google Cloud pueden responder a tus preguntas y facilitarte la documentación de referencia.

Ve un paso más allá

Empieza a crear en Google Cloud con 300 USD en crédito gratis y más de 20 productos Always Free.

Google Cloud
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
Consola
Google Cloud