Certificación del modelo de madurez de ciberseguridad (CMMC)

Información general

140940_AWS_Multi-Logo Graphic_600x400_DoD

La Oficina del Subsecretario de Defensa para la Adquisición y el Sostenimiento (OUSD) del Departamento de Defensa (DoD) de los Estados Unidos implementa la CMMC como un mecanismo para proteger la información confidencial y la propiedad intelectual del DoD ante incidentes de ciberseguridad en contra de los contratistas principales y los subcontratistas. Centrándose en la seguridad y la resiliencia de la cadena de suministro externa del Departamento de Defensa, incluidos los miembros de la base industrial de defensa (DIB), la CMMC introduce requisitos de nivelación para los dominios, las prácticas y los procedimientos que las organizaciones deben certificar a través de un asesor externo para poder competir por la mayoría de los contratos del Departamento de Defensa. AWS permite a los contratistas de defensa crear entornos compatibles con CMMC para procesar, mantener y almacenar los datos del Departamento de Defensa.

  • ¿Qué es la CMMC?

    CMMC significa “Certificación del modelo de madurez de ciberseguridad”. La CMMC abarca múltiples niveles de madurez que van desde la “higiene básica de ciberseguridad” hasta lo “avanzado/progresivo”. Cada nivel de madurez incluye requisitos que son gradualmente más exigentes en cuanto a los procesos y las prácticas para obtener la certificación. Los contratos del Departamento de Defensa establecen los niveles requeridos de la CMMC de la siguiente forma: el nivel 1, para salvaguardar la información de los contratos federales; el nivel 2, para la transición para la protección de la información controlada no clasificada (CUI); el nivel 3, para la protección de la CUI; y los niveles 4 y 5, para la protección de la CUI y la reducción de riesgos de amenazas persistentes avanzadas (APT).

    El Departamento de Defensa planea incluir los requisitos de la CMMC en el Suplemento del Reglamento Federal de Adquisiciones de Defensa (DFARS) y hará que la certificación sea un requisito para la mayoría de los contratos del Departamento de Defensa. Vaya a https://www.acq.osd.mil/cmmc/index.html para obtener más información.

  • ¿Por qué se implementa la CMMC?

    El Departamento de Defensa se encuentra en un proceso de transición hacia el nuevo marco de la CMMC para protegerse contra el robo de información confidencial y propiedad intelectual del DoD. La CMMC evaluará y mejorará la seguridad cibernética de la cadena de suministro de la base industrial de defensa (DIB) y se asegurará de que se apliquen los procesos y las prácticas de seguridad cibernética adecuados.

  • ¿Quién debe obtener la certificación CMMC?

    El Departamento de Defensa calcula que más de 300 000 organizaciones necesitarán la evaluación y la certificación para alguno de los cinco niveles de la CMMC. Esto incluye a los contratistas principales, los subcontratistas y, en general, a todas las organizaciones que realizan ventas o prestan servicios al Departamento de Defensa.

  • ¿Cuándo será implementado el requisito de la CMMC por parte del Departamento de Defensa?

    El Departamento de Defensa introducirá gradualmente los requisitos de la CMMC en nuevos contratos a partir de 2020. Para el 2020, el Departamento de Defensa planea que diez solicitudes de información (RFI) y diez solicitudes de propuestas (RFP) incluyan los requisitos de la CMMC. En los próximos cinco años los requisitos de la CMMC se incluirán en los nuevos contratos del Departamento de Defensa a un ritmo cada vez mayor. Además, para el año fiscal 2026 casi todos los nuevos contratos del Departamento de Defensa incluirán los requisitos de la CMMC.

  • ¿Hay miembros de la cadena de suministro del Departamento de Defensa que utilizan AWS en este momento?

    Una amplia gama de organizaciones, programas y contratistas de toda la cadena de suministro del Departamento de Defensa utilizan AWS para transformar sus negocios y operaciones. Utilizan AWS para crear entornos seguros para procesar, mantener y almacenar datos del gobierno federal de los Estados Unidos conforme al Suplemento del Reglamento Federal de Adquisiciones de Defensa (DFARS), la Guía de Requisitos de Seguridad de Computación en la Nube del Departamento de Defensa (SRG), el Programa de Administración de Autorizaciones y Riesgos Federales (FedRAMP), y otros programas de conformidad federal.

    Puede consultar los casos prácticos para aprender cómo AWS ayuda al Departamento de Defensa, incluida la Agencia de Logística de Defensa de los Estados Unidos, la Fuerza Aérea de los Estados Unidos , laArmada de los Estados Unidos y el Mando de Operaciones Especiales de los Estados Unidos, así como a contratistas del Departamento de Defensa, como Lockheed Martin, Raytheon y GDIT. Para obtener más información acerca de cómo AWS cumple los requisitos de alta seguridad del Departamento de Defensa, consulte la página web de informática en la nube para el sector de la defensa.

  • ¿Cómo puede mi organización obtener la certificación?

    La CMMC ha establecido un organismo de acreditación (AB) independiente y sin fines de lucro para capacitar y acreditar a los asesores individuales de las organizaciones de evaluación de terceros certificadas (C3PAO). El organismo de acreditación (AB) de la CMMC planea lanzar un Marketplace para que los contratistas del Departamento de Defensa consulten, seleccionen e interactúen con las organizaciones de evaluación de terceros certificadas (C3PAO) aprobadas para las evaluaciones y las certificaciones.

    Los contratistas del Departamento de Defensa se someterán a una evaluación de seguridad independiente por parte de una C3PAO cada tres años y serán certificados en un nivel de madurez específico de la CMMC. El organismo de acreditación (AB) de la CMMC proporcionará la información sobre los requisitos y las actualizaciones en su página web: https://www.cmmcab.org.

  • ¿AWS cuenta con la certificación CMMC?

    El organismo de acreditación (AB) de la CMMC aún no ha identificado y certificado a los evaluadores y las C3PAO. Tampoco ha creado el Marketplace del AB de la CMMC, que proporcionará la lista de las C3PAO que han sido certificadas para realizar la evaluación. AWS trabaja con el Departamento de Defensa y el organismo de acreditación (AB) de la CMMC en los requisitos y el proceso de certificación.

  • ¿AWS proporciona soluciones para ayudar a obtener la certificación CMMC?

    AWS trabaja con el Departamento de Defensa y el organismo de acreditación (AB) de la CMMC en los requisitos de la CMMC para facilitar la aceleración de la adopción y la certificación en la cadena de suministro de defensa (DSC). El organismo de acreditación (AB) de la CMMC adelanta un proceso para identificar y entrenar a los asesores de CMMC certificados y a las C3PAO, definir el proceso de certificación, detallar la reciprocidad de FedRAMP y crear el Marketplace de CMMC. AWS planea proporcionar a los clientes soluciones de CMMC para acelerar su certificación de CMMC y reducir el nivel de esfuerzo y riesgo. AWS planea ofrecer soluciones de CMMC que incluyan capacidades de implementación automatizadas, arquitecturas de referencia, una matriz de responsabilidad de prácticas de CMMC y la posible herencia de autorización FedRAMP (una vez definida por el Departamento de Defensa), así como documentación de certificación de apoyo para que los clientes la utilicen mientras logran la certificación CMMC. AWS se propone ofrecer a los clientes la flexibilidad de implementar y certificar las soluciones de CMMC de AWS en todas nuestras regiones (Norte de Virginia, AWS GovCloud (EE. UU.), etc.) en función de los requisitos de los programas del Departamento de Defensa y sus negocios.

Si tiene preguntas acerca de la conformidad con CMMC o DoD, contacte con el director de cuenta de AWS o envíe el formulario de contacto de conformidad de AWS para comunicarse con el equipo de la cuenta.

compliance-contactus-icon
¿Tiene preguntas? ¿Necesita ponerse en contacto con un representante empresarial de AWS?
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »