Certificación del Modelo de madurez de la seguridad cibernética (CMMC) de EE.UU

Actualmente, el Departamento de Defensa de EE.UU. (DoD) exige que todos los contratistas y subcontratistas de defensa contemplados implementen los controles de seguridad que se describen en NIST SP 800-171 r2. Este requisito está diseñado para proteger la información controlada no clasificada (CUI) como parte de los compromisos contractuales de la reglamentación DFARS 252.204-7012, Protección de la información contemplada de defensa y notificación de incidentes cibernéticos, para las entidades contempladas. Los contratistas federales (incluidos los contratos de defensa) que manejan información de contratos federales (FCI) están obligados a cumplir con los requisitos de seguridad de la FAR 52.204-21, Protección básica de los sistemas de información de contratistas contemplados.

Para formalizar este requisito y proporcionar al DoD un medio para verificar el cumplimiento del estándar NIST SP 800-171 r2, el DoD publicó la regla del programa de CMMC de la parte 170 de 32 CFR para lanzar oficialmente el programa de Certificación del Modelo de madurez de la seguridad cibernética (CMMC) el 15 de octubre de 2024, que entró en vigencia el 16 de diciembre de 2024. Además de la nueva regla del programa de CMMC de la parte 170 de 32 CFR, el DoD tiene una regla de adquisición propuesta (regla de adquisición de CMMC de la parte 204 de 48 CFR) para enmendar la DFARS y abordar los requisitos relacionados con la nueva regla del programa de CMMC de la parte 170 de 32 CFR. Se prevé que la regla de adquisición de CMMC de la parte 204 de 48 CFR actualizará la DFARS 252.204-7021 para exigir a los contratistas y subcontratistas contemplados que alcancen y mantengan el nivel requerido de certificación de CMMC durante la duración del contrato. Esto significa que, en los próximos meses, una vez que se haga definitiva, los contratistas podrían comenzar a ver la cláusula actualizada DFARS 252.204-7021, que exige el cumplimiento de CMMC, incluida en los contratos del DoD. Si bien la DFARS 252.204-7021 y los requisitos de CMMC correspondientes se están incorporando gradualmente a los contratos, los contratistas del DoD que ya manejan FCI o CUI pueden optar por obtener voluntariamente su estado de cumplimiento de CMMC. Google Cloud está preparado para ayudar a los contratistas del DoD a cumplir con los requisitos de cumplimiento de la CMMC.

¿Cuáles son los 3 niveles de la CMMC?

El programa de la CMMC tiene tres niveles: el nivel 1 está diseñado para verificar 15 requisitos alineados con FAR 52.204-21. El nivel 2 está diseñado para verificar 110 requisitos de NIST SP 800-171 r2. El nivel 3 agrega a eso la verificación de 24 requisitos adicionales de NIST SP 800-172. Más detalles se describen a continuación.

Nivel 1: Protección básica de la información de contratos federales (FCI)

  • Enfoque: Protección de la FCI (p. ej., información básica como números de contrato y cronogramas de entrega). Este nivel está diseñado para que sea más sencillo lograr para las organizaciones más pequeñas, si esas organizaciones no van a administrar información fundamental para la seguridad nacional. 
  • Requisitos: 15 prácticas básicas de seguridad cibernética. Ejemplos: Cambiar las contraseñas con frecuencia y usar software antivirus.
  • Evaluación: Autoevaluación anual.
  • Aplicabilidad: Obligatorio para todos los contratistas que manejan FCI de alguna forma. Este es el nivel más común.

Nivel 2: Protección amplia de la CUI

  • Enfoque: Protección de CUI (p. ej., datos sensibles sujetos a protección o controles de divulgación). Este nivel está diseñado para proteger la información fundamental para la seguridad nacional.
  • Requisitos: 110 requisitos de seguridad alineados con NIST SP 800-171 r2. Ejemplos: Mantener un plan de seguridad del sistema (SSP); identificar, registrar y supervisar los recursos de CUI, y también implementar un programa de análisis de vulnerabilidades para identificar y solucionar las debilidades de seguridad.
  • Evaluación: Se define en el contrato. Algunos contratos pueden requerir una autoevaluación, mientras que otros pueden requerir una evaluación de terceros por parte de una organización de evaluación externa de CMMC (C3PAO).
  • Aplicabilidad: Obligatorio para los contratistas que manejan CUI.

Nivel 3: Protección de nivel superior de la CUI contra amenazas persistentes avanzadas

  • Enfoque: Protección de CUI altamente sensible en programas fundamentales. Se enfoca en las protecciones adicionales para proteger contra las amenazas persistentes avanzadas (APT).
  • Requisitos: Todos los requisitos del nivel 2, además de prácticas adicionales de NIST SP 800-172 para mejorar la seguridad. Ejemplos: Desarrollar un plan de respuesta ante incidentes integral, implementar un programa de supervisión continua integral, y evaluar y administrar el riesgo de seguridad de la cadena de suministro.
  • Evaluación: Evaluación dirigida por el Gobierno, por el Centro de evaluación de seguridad cibernética de la base industrial de defensa (DIBCAC).
  • Aplicabilidad: Obligatorio para los contratistas que trabajan en los proyectos gubernamentales más sensibles. Este es el nivel menos común.
  • Requisito previo: Antes de que un contratista pueda obtener el nivel 3 de CMMC, debe tener el nivel 2.

En esencia, cuanto más alto sea el nivel de CMMC, más sensibles serán los datos que se manejan y más estrictos serán los requisitos de seguridad cibernética. El nivel requerido para un contrato específico depende del tipo de información involucrada y la sensibilidad del proyecto.

Google Cloud y Google Workspace son compatibles con la CMMC

Los clientes pueden usar Google Cloud y Google Workspace para cumplir con los requisitos de CMMC aplicables a CSP en todos los niveles aprovechando el modelo de referencia de FedRAMP de Google y configurando sus sistemas para garantizar el cumplimiento de FedRAMP. Google Cloud y Google Workspace mantienen FedRAMP Moderate y FedRAMP High Authority to Operate (ATO) para los servicios definidos. Todos los servicios FedRAMP Moderate y FedRAMP High se alinean con los requisitos de NIST 800-171 r2 para las CSP. Los clientes deben usar la Matriz de responsabilidad del cliente (CRM) de FedRAMP, que forma parte del plan de seguridad del sistema FedRAMP de Google, cuando configuren sus sistemas para garantizar el cumplimiento de FedRAMP.

Si lo solicitan, Google también puede proporcionar a los clientes una guía de implementación para respaldar la configuración de enclaves de CMMC y una carta de certificación de cumplimiento de CMMC de organización de auditoría externa certificada (C3PAO) para respaldar la verificación de requisitos. El equipo de ventas de Google o tu representante de Google Cloud pueden ayudarte a obtener acceso a la documentación correspondiente. 

En el caso de los contratistas del Departamento de Defensa que requieren el cumplimiento del nivel 1 de CMMC, todos los productos de Google Cloud pueden satisfacer sus necesidades de cumplimiento. Para alcanzar el cumplimeinto de nivel 2 o 3 de la CMMC, los contratistas del DoD que administran CUI deben aprovechar soluciones en la nube que ofrezcan un mínimo de servicios en la nube autorizados por FedRAMP Moderate. Los clientes que buscan cumplir con este modelo de referencia mediante los servicios de Google Cloud pueden aprovechar los servicios autorizados por FedRAMP que se indican aquí

Los clientes de Google Cloud deben seleccionar el paquete de control regulatorio FedRAMP Moderate o FedRAMP High para la implementación dentro del límite definido por software. Como se mencionó antes, los clientes deben usar la CRM de FedRAMP, que forma parte de la SSP de FedRAMP de Google, cuando configuren sus sistemas para garantizar el cumplimiento de FedRAMP.

Los clientes de Google Workspace deben asegurarse de usar solo los servicios que cumplen con el estándar FedRAMP Moderate o FedRAMP High dentro del alcance de su cumplimiento de CMMC. Si es necesario, un cliente puede desactivar un servicio que aún no está autorizado por FedRAMP. 

Los clientes que requieren que sus datos se almacenen de forma exclusiva en EE.UU. deben usar los servicios de FedRAMP High (configurados con Assured Workloads o Assured Controls Plus) y la CRM de FedRAMP. Esto garantizará que los datos del cliente se almacenen en las regiones de los centros de datos de Google ubicadas dentro de Estados Unidos. Los clientes también pueden optar por usar las soluciones de Google para IL2, IL4 o IL5 para satisfacer las necesidades de residencia de datos. Google recomienda que los clientes sigan la guía de configuración de FedRAMP de Google Workspace para garantizar el cumplimiento de CMMC.

Da el siguiente paso

Comienza a desarrollar en Google Cloud con el crédito gratis de $300 y los más de 20 productos del nivel Siempre gratuito.

Comenzar gratis
Google Cloud
DocumentaciónAsistencia
Consola
Acceder
Security
Página principalInformación y experienciaSecOpsSeguridad en la nubeRecursos de seguridad
Asistencia para la respuesta ante incidentes
Comunicarse con nosotros
  • Acelera tu transformación digital
  • Google Cloud puede ayudarte a superar los desafíos más complejos, ya sea que tu negocio recién comience su recorrido o se encuentre en una fase avanzada de la transformación digital.
  • Productos de Google Cloud
  • Explora más de 100 productos. Los clientes nuevos obtienen $300 en créditos gratuitos para ejecutar, probar e implementar cargas de trabajo. Todos los clientes pueden usar más de 25 productos gratis, hasta alcanzar los límites de uso mensuales.
  • Ahorra dinero con nuestro enfoque transparente de precios
  • Los precios de prepago de Google Cloud ofrecen ahorros automáticos en función del uso mensual y las tarifas con descuento para recursos prepagados. Comunícate con nosotros hoy para obtener una cotización.
Google Cloud