Certificación del Modelo de madurez de la seguridad cibernética (CMMC) de EE.UU

El Departamento de Defensa de EE.UU. (DoD) exige que todos los contratistas y subcontratistas de la base industrial de defensa (DIB) implementen los controles de seguridad que se describen en NIST SP 800-171 r2 para proteger la información controlada no clasificada (CUI) como se describe en DFARS 252.204-7012, Protección de la información contemplada de defensa y notificación de incidentes cibernéticos. Los contratistas federales (incluidos los contratistas de defensa) que manejan información de contratos federales (FCI) también deben cumplir con los requisitos de seguridad de la FAR 52.204-21, Protección básica de los sistemas de información de contratistas contemplados.

Para formalizar y verificar el cumplimiento de NIST SP 800-171 r2, el DoD lanzó el programa CMMC el 15 de octubre de 2024 a través de la regla del programa CMMC de la parte 170 de 32 CFR, que entró en vigencia el 16 de diciembre de 2024. Una regla de adquisición propuesta (parte 204 de 48 CFR) enmendará la DFARS 252.204-7021 para exigir la certificación de CMMC a los contratistas cubiertos. Una vez finalizado, esto incorporará el cumplimiento de CMMC en los contratos del DoD. Google Cloud y Google Workspace están listos para ayudar a los contratistas a cumplir con estos requisitos.

¿Cuáles son los 3 niveles de la CMMC?

El programa de la CMMC tiene tres niveles:

Nivel 1: Protección básica de la información de contratos federales (FCI)

  • Enfoque: Protección de la FCI, por ejemplo, información básica como números de contrato y cronogramas de entrega. Este nivel está diseñado para que sea más sencillo lograr para las organizaciones más pequeñas, si esas organizaciones no van a administrar información fundamental para la seguridad nacional. 
  • Requisitos: 15 prácticas básicas de ciberseguridad, por ejemplo, cambiar las contraseñas con frecuencia y usar software antivirus.
  • Evaluación: Autoevaluación anual.
  • Aplicabilidad: Obligatorio para todos los contratistas que manejan FCI de alguna forma. Este es el nivel más común.

Nivel 2: Protección amplia de la CUI

  • Enfoque: Protección de CUI, por ejemplo, datos sensibles sujetos a protección o controles de divulgación. Este nivel está diseñado para proteger la información fundamental para la seguridad nacional.
  • Requisitos: 110 requisitos de seguridad alineados con NIST SP 800-171 r2, por ejemplo, mantener un plan de seguridad del sistema (SSP); identificar, registrar y supervisar los recursos de CUI, y también implementar un programa de análisis de vulnerabilidades para identificar y solucionar las debilidades de seguridad.
  • Evaluación: Se define en el contrato. Algunos contratos pueden requerir una autoevaluación, mientras que otros pueden requerir una evaluación de terceros por parte de una organización de evaluación externa de CMMC (C3PAO).
  • Aplicabilidad: Obligatorio para los contratistas que manejan CUI.

Nivel 3: Protección de nivel superior de la CUI contra amenazas persistentes avanzadas

  • Enfoque: Protección de CUI altamente sensible en programas fundamentales. Se enfoca en las protecciones adicionales para proteger contra las amenazas persistentes avanzadas (APT).
  • Requisitos: Todos los requisitos del nivel 2, además de prácticas adicionales de NIST SP 800-172 para mejorar la seguridad, por ejemplo, desarrollar un plan de respuesta ante incidentes integral, implementar un programa de supervisión continua integral, y evaluar y administrar el riesgo de seguridad de la cadena de suministro.
  • Evaluación: Evaluación dirigida por el Gobierno, por el Centro de evaluación de seguridad cibernética de la base industrial de defensa (DIBCAC).
  • Aplicabilidad: Obligatorio para los contratistas que trabajan en los proyectos gubernamentales más sensibles. Este es el nivel menos común.
  • Requisito previo: Antes de que un contratista pueda obtener el nivel 3 de CMMC, debe tener el nivel 2.

En esencia, cuanto más alto sea el nivel de CMMC, más sensibles serán los datos que se manejan y más estrictos serán los requisitos de ciberseguridad.

Google Cloud y Google Workspace son compatibles con la CMMC

Puedes usar Google Cloud y Google Workspace para cumplir con los requisitos de cumplimiento de CMMC de tu organización en todos los niveles, basándote en los servicios autorizados de FedRAMP High de Google. Google Cloud y Google Workspace mantienen FedRAMP High Authority to Operate (ATO) para los servicios incluidos en el alcance.

Google proporciona la siguiente documentación de orientación para ayudarte a cumplir con los requisitos de cumplimiento de CMMC:

  • Guía de implementación de CMMC de Google Workspace
  • Guía de implementación de CMMC de Google Cloud

Además, Google proporciona las siguientes cartas de certificación producidas por una organización de evaluación independiente de terceros:

  • Carta de certificación C3PAO CMMC de Google Workspace (se espera que la de Google Cloud esté disponible para agosto de 2025)
  • Carta de certificación de cumplimiento de NIST SP 800-171 de Google Cloud y Google Workspace

En Google Cloud, debes usar el límite de datos de Assured Workloads para FedRAMP High y utilizar la Matriz de responsabilidad del cliente (CRM) de CMMC cuando configures sistemas para respaldar el cumplimiento de CMMC. Comunícate con el equipo de ventas de Google o con tu representante de Google Cloud para obtener la documentación mencionada anteriormente, como el CRM.

Para Google Workspace, debes usar los servicios autorizados de FedRAMP High para el cumplimiento de CMMC, así como Assured Controls Plus para habilitar el almacenamiento de datos exclusivamente en Estados Unidos. Si es necesario, puedes desactivar un servicio que aún no está autorizado por FedRAMP.

Da el siguiente paso

Comienza a desarrollar en Google Cloud con el crédito gratis de $300 y los más de 20 productos del nivel Siempre gratuito.

Security
Google Cloud