Certificación del Modelo de madurez de la seguridad cibernética (CMMC) de EE.UU
Actualmente, el Departamento de Defensa de EE.UU. (DoD) exige que todos los contratistas y subcontratistas de defensa cubiertos implementen los controles de seguridad que se describen en NIST SP 800-171. Este requisito está diseñado para proteger la información de contratos federales (FCI) y la información controlada no clasificada (CUI) como parte de los compromisos contractuales de la reglamentación DFARS 252.204-7012 para las entidades contempladas.
El DoD está desarrollando la Certificación del Modelo de madurez de la seguridad cibernética (CMMC) para formalizar este requisito y obtener un medio para verificar el cumplimiento del estándar NIST SP 800-171. Todos los contratistas del DoD con la cláusula 252.204-7012 de DFARS en sus contratos deberán alcanzar el nivel de CMMC requerido en el contrato del DoD como condición de adjudicación del contrato cuando la regla sea definitiva.
Introducción a la CMMC 2.0
El 26 de diciembre de 2023, el DoD lanzó una regla propuesta para los comentarios públicos. El período de comentarios durará 60 días y, luego, los creadores de las reglas revisarán los comentarios y realizarán la publicación final. En función de este cronograma, los analistas de la industria estiman que la publicación final de las reglas ocurrirá a principios de 2025, y la primera ronda de contratistas recibirán la certificación CMMC después de esa publicación. La fecha está sujeta a cambios, según el cronograma de la toma de decisiones del Gobierno.
CMMC y Google Cloud
La CMMC 2.0 tiene tres niveles disponibles para que las organizaciones los sigan, según los requisitos del DoD. Si bien las organizaciones no pueden someterse a una evaluación de CMMC oficial hasta que se haya publicado la regla final, Google Cloud se está preparando para el nivel 2 de CMMC, ya que participa en evaluaciones simuladas con nuestro C3PAO designado que respalda los Procesos de autorización FedRAMP para los servicios de Google Cloud y Google Workspace. Una vez que la CMMC 2.0 tenga una versión definitiva, Google continuará con el proceso de certificación formal según lo definido para los proveedores de servicios en la nube (CSP).
Si bien ninguna organización ha recibido una CMMC hasta la fecha, Google buscó evaluaciones del SP 800-171 de NIST como ayuda para prepararse para el programa CMMC 2.0. Puedes encontrar estos informes de evaluación en nuestra página NIST SP 800-171.
Según el borrador actual de la CMMC, los contratistas que usan soluciones en la nube para almacenar CUI deben usar CSP que mantengan una autorización FedRAMP Moderada como mínimo. Para prepararse para la CMMC, los contratistas de la Base Industrial de Defensa (DIB) que usan servicios de Google Cloud deben consultar nuestra matriz de responsabilidad del cliente (CRM) de FedRAMP, que es parte de nuestro plan de seguridad del sistema FedRAMP (SSP), para comprender el modelo de responsabilidad compartida en relación con el cumplimiento previsto de la CMMC. Nuestro equipo de ventas o tu representante de Google Cloud están a tu disposición para responder tus preguntas y proporcionarte la documentación de referencia.
Ofertas relacionadas
- NIST SP 800-171Descubre qué servicios de Google Cloud se sometieron a una evaluación independiente de terceros que confirmó el cumplimiento de los controles NIST 800‑171.
- FedRAMPGoogle Cloud mantiene P-ATO de FedRAMP High y FedRAMP Moderate para productos de Google Cloud y Google Workspace.
- DISASe agregaron servicios de IL5 autorizados recientemente de forma provisional por DISA.
Da el siguiente paso
Comienza a desarrollar en Google Cloud con el crédito gratis de $300 y los más de 20 productos del nivel Siempre gratuito.
Conoce las prácticas recomendadas sobre seguridad
Consultar nuestras prácticas recomendadasSoluciona problemas comunes
Mirar videos de casos de uso sobre la seguridadTrabaja con un socio
Consultar nuestros socios de seguridad
