hero-two-bg

Certificación de Madurez de Ciberseguridad

La Certificación de Madurez de Ciberseguridad (CMMC) es un marco introducido por el Departamento de Defensa de los Estados Unidos (DoD). Es un estándar unificado para implementar la ciberseguridad en toda la Base Industrial de Defensa (DIB), que está compuesta por más de 300,000 empresas en la cadena de suministro del DoD.

Solicite una demostración de Secureframe Custom Frameworksangle-right

Definición y propósito

El propósito del CMMC es mejorar la protección de la Información No Clasificada Controlada (CUI) que existe dentro de la cadena de suministro de la industria de defensa. El CMMC sirve para evaluar y mejorar la postura de ciberseguridad de los contratistas de defensa, centrándose específicamente en proteger la información sensible de defensa que reside en los sistemas de información de los contratistas.

Órgano rector

El CMMC fue desarrollado por el Departamento de Defensa de los EE.UU., en colaboración con la industria y la academia.

Última actualización

El CMMC 2.0 fue anunciado en noviembre de 2021. Una implementación gradual del CMMC 2.0 comenzó en 2023 con la finalización planificada para octubre de 2025.

Aplicable a

El CMMC se aplica a todos los proveedores en todos los niveles dentro de la Base Industrial de Defensa, incluidas las pequeñas empresas, los contratistas de artículos comerciales y los proveedores extranjeros. Cualquier empresa que haga negocios con el DoD, ya sea directamente o como subcontratista, debe cumplir con el nivel relevante de certificación CMMC.

Controles y requisitos

El CMMC 2.0 está simplificado en comparación con su predecesor y se enfoca en tres niveles de madurez de ciberseguridad:

  • Nivel 1 (Fundacional): Consiste en prácticas básicas de higiene cibernética que corresponden a los requisitos básicos de protección de la Información de Contrato Federal (FCI).
  • Nivel 2 (Avanzado): Incluye un conjunto de prácticas que se alinean con el estándar NIST SP 800-171, protegiendo la CUI.
  • Nivel 3 (Experto): Incluye prácticas avanzadas/progresivas para proteger la CUI y reducir el riesgo de Amenazas Persistentes Avanzadas (APTs).

Cada nivel tiene un conjunto de prácticas y procesos, y los niveles superiores abarcan todos los requisitos de los inferiores.

Consulte el sitio web oficial de CMMC 2.0 para obtener detalles sobre controles y requisitos.

Tipo, frecuencia y duración de la auditoría

Las evaluaciones de CMMC son realizadas por Organizaciones de Evaluación de Terceros de CMMC (C3PAO) y evaluadores individuales acreditados por el Cuerpo de Acreditación de CMMC (CMMC-AB). La certificación es válida por tres años, después de los cuales se requiere una nueva evaluación.

La duración de la evaluación dependerá del tamaño y la complejidad de la red y los sistemas de información de la organización, así como del nivel de CMMC para el cual están siendo evaluados.

Cumple con las normativas utilizando los marcos de trabajo personalizados de Secureframe

Solicita una demoangle-right
cta-bg