Certificación del modelo de madurez de ciberseguridad (CMMC)

Información general

La Oficina del Subsecretario de Defensa para la Adquisición y el Sostenimiento (OUSD) del Departamento de Defensa (DoD) de los Estados Unidos implementa la CMMC como un mecanismo para proteger la información confidencial y la propiedad intelectual del DoD ante incidentes de ciberseguridad en contra de los contratistas principales y los subcontratistas. Centrándose en la seguridad y la resiliencia de la cadena de suministro externa del Departamento de Defensa, incluidos los miembros de la base industrial de defensa (DIB), la CMMC introduce requisitos de nivelación para los dominios, las prácticas y los procedimientos que las organizaciones deben certificar a través de un asesor externo para poder competir por la mayoría de los contratos del Departamento de Defensa. AWS permite a los contratistas de defensa crear entornos compatibles con CMMC para procesar, mantener y almacenar los datos del Departamento de Defensa.

  • ¿Qué es la CMMC?

    CMMC significa “Certificación del modelo de madurez de ciberseguridad”. La CMMC abarca múltiples niveles de madurez que van desde la “higiene básica de ciberseguridad” hasta lo “avanzado/progresivo”. Cada nivel de madurez incluye requisitos que son gradualmente más exigentes en cuanto a los procesos y las prácticas requeridas para obtener la certificación. Los contratos del Departamento de Defensa definirán los niveles que requiere la CMMC: Nivel 1, salvaguardar la información de los contratos federales (FCI); Nivel 2, la transición a fin de proteger la información controlada no clasificada (CUI); Nivel 3, la protección de la CUI; y Niveles 4 y 5, la protección de la CUI y la reducción de riesgos de amenazas persistentes avanzadas (APT). Consulte el sitio web de CMMC para obtener más información.

  • ¿Por qué se implementa la CMMC?

    El DoD se encuentra en un proceso de transición hacia el nuevo marco de la CMMC para protegerse contra el robo de información confidencial y propiedad intelectual del DoD. El marco de la CMMC evaluará y mejorará la seguridad cibernética de la cadena de suministro de la base industrial de defensa (DIB) y se verificará de que se apliquen los procesos y las prácticas de seguridad cibernética adecuados.

  • ¿Quién debe obtener la certificación CMMC?

    El DoD calcula que más de 300 000 organizaciones DIB necesitarán la evaluación y la certificación para alguno de los cinco niveles de la CMMC. Esto incluye a los contratistas principales, los subcontratistas y, en general, a todas las organizaciones que realizan ventas o prestan servicios al DoD. Los requisitos de los niveles de la CMMC se emitirán individualmente mediante el contrato del Departamento de Defensa.

  • ¿Cuándo implementará el Departamento de Defensa el requisito de la CMMC?

    El DoD introducirá gradualmente los requisitos del CMMC sobre las solicitudes de propuestas (RFP) y los contratos del DoD a partir de abril de 2021 y la implementación completa se prevé para el 2026. El DoD identificó 15 adquisiciones iniciales, conocidas como Pilotos, para participar en el lanzamiento de la CMMC. En los próximos cinco años los requisitos de la CMMC se incluirán en los nuevos contratos del DoD a un ritmo cada vez más acelerado y casi todos los nuevos contratos del DoD incluirán los requisitos de la CMMC antes de 2026.

  • ¿En este momento hay miembros de la cadena de suministro del Departamento de Defensa que utilicen AWS?

    Una amplia gama de organizaciones, programas y contratistas de toda la cadena de suministro del DoD utilizan AWS para transformar sus negocios y operaciones. Aprovechan AWS para crear entornos en la nube seguros para procesar, mantener y almacenar datos del Gobierno Federal de los Estados Unidos conforme al Suplemento del Reglamento Federal de Adquisiciones de Defensa (DFARS), la Guía de Requisitos de Seguridad de Informática en la Nube del Departamento de Defensa (SRG), el Programa de Administración de Autorizaciones y Riesgos Federales (FedRAMP) y otros programas de conformidad federal.

    Puede consultar los casos prácticos para aprender cómo AWS ayuda al DoD, incluida la Agencia de Logística de Defensa de los Estados Unidos, la Fuerza Aérea de los Estados Unidos , laArmada de los Estados Unidos y el Mando de Operaciones Especiales de los Estados Unidos, así como a contratistas del DoD, como Lockheed Martin, Raytheon y GDIT. Para obtener más información sobre cómo AWS cumple con los requisitos de alta seguridad del DoD, consulte la página web Informática en la nube para el sector de defensa.

  • ¿Cómo afecta a mi organización la nueva “regla provisional” del Departamento de Defensa?

    El 29 de septiembre de 2020, el Departamento de Defensa publicó una “regla provisional” que estableció tres nuevos requisitos DFARS, vigentes desde el 30 de noviembre de 2020 y amplió el requisito 252.204-7012 del DFARS, Safeguarding Covered Defense Information and Cyber Incident Reporting (Protección de la información de defensa cubierta e informes de incidentes cibernéticos). La “regla provisional” se amplió sobre la regla inicial y estableció tres nuevos requisitos al (1) exigir una autoevaluación (DFARS 252.204-7019) cada tres años, (2) informar los resultados de la autoevaluación al sistema de riesgos de rendimiento de proveedores del Departamento de Defensa (SPRS) (DFARS 252.204-7020) y (3) solicitar a los oficiales de adquisición del DoD que incluyan la regla 252.204-7021 del DFARS, requisitos de CMMC en futuras adquisiciones del DoD.

  • ¿Cómo puede mi organización obtener la certificación?

    El Departamento de Defensa creó la Junta de Asesores de la CMMC (CMMC-AB) para que se desempeñe como una organización independiente responsable de administrar el proceso de certificación de CMMC para C3PAO, los asesores y las entidades DIB. Los asesores de las C3PAO evaluarán las organizaciones mediante el uso de niveles de CMMC como criterio. La Agencia de Administración de Contratos de Defensa (DCMA) anunció su intención de certificar las C3PAO con el certificado de nivel 3 de CMMC a partir de marzo de 2021. La CMMC-AB tiene un Marketplace CMMC que identifica a las C3PAO en https://cmmcab.org/marketplace/.

  • ¿AWS cuenta con la certificación CMMC?

    AWS completó una evaluación NIST SP 800-171 mediante una organización evaluadora externa independiente (3PAO) e implementó los 110 controles de SP 800-171. AWS contrató una C3PAO para realizar una evaluación CMMC y espera que esta obtenga la “certificación” de la DCMA.

  • ¿Los servicios de la nube necesitan la certificación CMMC?

    No. CMMC es una certificación que mide los procesos y capacidades de ciberseguridad del contratista DIB al compararlos con los requisitos para obtener un nivel CMMC específico.

  • ¿AWS proporciona la reciprocidad de CMMC con otros programas de conformidad?

    No. La OUSD (A&S) no definió como otros programas de conformidad, como FedRAMP, la Administración de Seguridad de la Información ISO 27001 o las evaluaciones del centro de evaluación de seguridad cibernética de la base industrial de defensa (DIBCAC) asignarán niveles CMMC en la “regla interina” del DoD o la versión 1.02 de CMMC. La OUSD (A&S) anunció su intención de conceder reciprocidad a otros programas de conformidad en la versión 2.0 de la CMMC.

  • ¿AWS proporciona soluciones y documentación de conformidad para ayudar a obtener la certificación CMMC?

    AWS colabora con el DoD y la CMMC-AB en los requisitos de CMMC y desarrolla soluciones para ayudar a los clientes a acelerar la implementación y certificación. El 22 de diciembre de 2020, AWS lanzó el Marco de conformidad para cargas de trabajo federales y del DoD en AWS GovCloud (US) a fin de ayudar a los clientes a implementar la infraestructura básica de AWS para admitir un entorno automatizado, seguro, escalable y de cuentas múltiples en función de las prácticas recomendadas en las regiones de AWS GovCloud (US). La solución está diseñada para cumplir con los requisitos prescritos por el Departamento de Defensa para la CMMC, así como con las cargas de trabajo de los niveles de impacto 4 y 5 de la Cloud Computing Security Requirements Guide (Guía de requisitos de seguridad para la informática en la nube) del Departamento de Defensa. 

    Para más información sobre la documentación de conformidad de AWS con la CMMC y cómo acceder a ella, contacte con su administrador de cuentas de AWS o Contáctenos.

  • ¿Los servicios profesionales de AWS respaldan a los clientes para cumplir con los requisitos de conformidad de CMMC?

    Sí. Los consultores de servicios profesionales de AWS están capacitados en el Marco de conformidad para las cargas de trabajo del DoD y federales en AWS GovCloud (US) de AWS y pueden admitir las implementaciones de los clientes que abordan los desafíos de conformidad de la CMMC.

  • ¿Qué regiones de AWS debo utilizar para implementar nuestro entorno en la nube de CMMC?

    AWS ofrece a los clientes la flexibilidad de implementar y certificar las soluciones de CMMC de AWS en las regiones estándar y restringidas (US East/West, AWS GovCloud [US], etc.) en función de los requisitos de los programas y contratos del DoD.

Si tiene preguntas acerca de la conformidad con CMMC o DoD, contacte con el director de cuenta de AWS o envíe el formulario de contacto de conformidad de AWS para comunicarse con el equipo de la cuenta.

compliance-contactus-icon
¿Tiene preguntas? ¿Necesita ponerse en contacto con un representante empresarial de AWS?
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »