El proceso de evaluación de CMMC varía según el nivel de certificación requerido. Las evaluaciones de Nivel 1 y Nivel 2 no crítico son menos rigurosas que las evaluaciones de Nivel 2 crítico. Las evaluaciones de Nivel 3 son las más rigurosas y son realizadas por representantes del gobierno.
Aquí hay un resumen del proceso de evaluación para cada nivel de CMMC.
Evaluaciones CMMC
En cuanto a la obtención de la certificación CMMC 2.0, es importante comprender los diferentes tipos de evaluaciones para navegar con éxito por el proceso. Cada tipo de evaluación corresponde al nivel de certificación objetivo de su organización y varía en cuanto a rigurosidad y supervisión.
Ya sea que se esté preparando para una autoevaluación, una evaluación de terceros o una evaluación realizada por el gobierno, conocer lo que puede esperar le puede ayudar a prepararse mejor y garantizar que sus prácticas de ciberseguridad cumplan con los estándares requeridos.
En esta sección, examinaremos los diferentes tipos de evaluaciones CMMC, sus contenidos y cómo se integran en su estrategia general de cumplimiento.
Autoevaluación
Frecuencia: Anual
Aplica a: Nivel 1 y algunos contratistas de Nivel 2 que manejan información controlada no crítica para la seguridad nacional
Lo que incluye: Las organizaciones que buscan una certificación de Nivel 1 o Nivel 2 no crítico pueden realizar autoevaluaciones. Este proceso requiere una revisión interna de sus prácticas de ciberseguridad para asegurar que cumplen con los controles y procesos requeridos definidos en el marco CMMC.
Un equipo de autoevaluación debe tener el conocimiento y la experiencia necesarios en relación con los requisitos del nivel 1 de CMMC y el perfil de seguridad de su organización para realizar esta evaluación. Pueden utilizar las herramientas de autoevaluación proporcionadas por el Director de Información del DoD, incluidas las pautas para el alcance y la autoevaluación, para orientar su evaluación. Durante su evaluación, el equipo revisará el plan de seguridad del sistema (SSP), que describe los controles y prácticas de seguridad específicos implementados por la organización, y documentará si cada requisito del nivel 1 se ha implementado completamente, parcialmente o no se ha implementado. Las necesidades críticas deben abordarse de inmediato antes de proceder. Todos los demás requisitos que no se hayan implementado completamente deben documentarse en un plan de acciones y hitos (POA&M). Este documento detallará los pasos específicos, responsabilidades y plazos para llevar a cabo las acciones correctivas.
Una vez que se complete la autoevaluación, un alto ejecutivo debe emitir una carta de confirmación para certificar que la autoevaluación se realizó de manera exhaustiva y que la organización cumple con los requisitos del nivel 1 de CMMC.
La organización debe enviar la autoevaluación y la carta de confirmación al Sistema de Riesgo de Desempeño del Proveedor (SPRS). Esto dará como resultado una puntuación entre 110 y -203 basada en los resultados de la evaluación, lo que ayuda al DoD a evaluar riesgos y adjudicar contratos.
Cómo prepararse: Las autoevaluaciones requieren precisión y transparencia. Debe documentar sus prácticas, realizar auditorías internas y hacer que un alto ejecutivo de la empresa confirme la conformidad cada año y envíe su puntuación SPRS al DoD.
Evaluaciones por terceros
Frecuencia: Cada tres años
Aplicable a: Contratistas de nivel 2 que manejan información CUI crítica relevante para la seguridad nacional
Qué significa esto: Para certificaciones críticas de nivel 2, las organizaciones deben someterse cada tres años a una evaluación por parte de una organización de terceros certificada (C3PAO). Las organizaciones deben seleccionar un C3PAO de la lista de organizaciones de evaluación aprobadas del Cyber-AB.
Estas evaluaciones son más exhaustivas que las autoevaluaciones e incluyen una revisión detallada de sus prácticas y documentación de ciberseguridad, incluido un SSP y un POA&M, así como otros documentos importantes como un plan de mitigación de riesgos, un plan de intervención y reporte, un plan de monitoreo continuo, una política de control de acceso, un plan de gestión de configuraciones, una matriz de separación de funciones y mucho más.
Después de esta auditoría, el C3PAO puede presentar un informe con comentarios preliminares para destacar problemas o preocupaciones identificadas durante la evaluación. Si ciertos requisitos del nivel 2 solo se implementaron parcialmente o no se implementaron, este informe incluirá recomendaciones de acciones correctivas. El C3PAO recopilará la información de la evaluación electrónicamente en el Servicio de Soporte de Misión de Aseguramiento Empresarial de CMMC (eMASS), que transmitirá electrónicamente los resultados de la evaluación al SPRS. Luego, el C3PAO enviará el informe final junto con la puntuación SPRS al Cyber-AB para su revisión y decisión final de certificación.
Si la organización se considera conforme, recibirá la certificación CMMC para el nivel evaluado, que tiene una validez de tres años. Durante estos tres años, las organizaciones deben continuar monitoreando y mejorando sus prácticas de ciberseguridad, manteniendo su POA&M.
Además, un representante de alto nivel de la organización debe confirmar el cumplimiento continuo de los requisitos de seguridad indicados después de cada evaluación de terceros y anualmente. Las confirmaciones se registran electrónicamente en el SPRS.
Cómo prepararse: La preparación para una evaluación de terceros requiere auditorías internas exhaustivas, la recopilación de las pruebas necesarias y la garantía de que sus prácticas de ciberseguridad estén completamente documentadas y sean conformes con los requisitos del nivel 2 de CMMC 2.0.
Evaluación dirigida por el gobierno
Frecuencia: Cada tres años
Aplicable para: Contratistas de nivel 3
Nota: Por favor, tenga en cuenta que el DoD aún está en proceso de desarrollar los requisitos para las evaluaciones gubernamentales, y estos deben publicarse con la decisión final. La información a continuación proviene de la regulación propuesta presentada por el DoD para comentarios en diciembre de 2023.
Esto significa: Las organizaciones que buscan la certificación de nivel 3, que implica la gestión de la información más sensible del DoD, serán sometidas a evaluaciones lideradas por funcionarios del gobierno. Estas evaluaciones son las más rigurosas y requieren documentación e implementación exhaustiva de medidas avanzadas de ciberseguridad.
Las organizaciones que buscan este nivel de certificación deben coordinarse con el DIBCAC del Departamento de Defensa para una evaluación dirigida por el estado. Este proceso generalmente comienza con una reunión inicial para discutir el alcance, el calendario y el curso del proceso.
Al igual que el C3PAO, los auditores del gobierno revisarán los principales documentos, como el SSP y el POA&M. También realizarán evaluaciones in situ, incluidas entrevistas y pruebas técnicas, y revisarán pruebas como registros y configuraciones para verificar la efectividad de los controles.
Al igual que un C3PAO, los auditores del gobierno pueden proporcionar un informe preliminar para abordar las deficiencias antes de que el informe final se presente al Cyber-AB para la certificación, que es válida por tres años. Para mantener la conformidad, las organizaciones deben monitorear continuamente sus sistemas, actualizar su POA&M y mantener sus políticas actualizadas.
El auditor del DoD ingresará la información de la evaluación electrónicamente en el eMASS, que transmitirá electrónicamente los resultados de la evaluación al SPRS. Un funcionario principal de la organización debe confirmar el cumplimiento continuo de los requisitos de seguridad indicados después de cada evaluación del DoD y anualmente. Las confirmaciones se ingresarán electrónicamente en el SPRS.
Cómo prepararse: La preparación para una evaluación dirigida por el estado es intensa. Su organización debe demostrar una fuerte postura de ciberseguridad, respaldada por documentación completa, capacidades avanzadas de detección y respuesta a amenazas y un historial de cumplimiento de estándares de seguridad rigurosos.
Preguntas frecuentes
¿Qué es una evaluación CMMC?
Una evaluación CMMC es una evaluación formal de las prácticas de ciberseguridad de una organización para determinar si cumplen con los requisitos de su nivel CMMC establecido.
¿Qué tipo de evaluación CMMC necesito?
El tipo de evaluación CMMC que necesita depende del nivel de certificación requerido:
- Nivel CMMC 1: Requiere una autoevaluación anual por parte de la organización. Esto afecta a las empresas que gestionan información de contratos federales (FCI).
- Nivel CMMC 2: Para las organizaciones que procesan información controlada no clasificada (CUI), se requiere una evaluación por parte de un tercero (C3PAO), a menos que el contrato permita una autoevaluación bajo ciertas condiciones.
- Nivel CMMC 3 (en la fase final): Requiere evaluaciones realizadas por el gobierno para contratos de alto perfil con requisitos de seguridad más estrictos.
Debe verificar el tipo de evaluación consultando su contrato del DoD o contactando a un agente de contratos.
¿Pueden los contratistas autoevaluarse en el Nivel 2 de CMMC?
En el Nivel 2 de CMMC, los contratistas pueden autoevaluarse en ciertos casos. Según la versión 2.0 del CMMC, la opción de autoevaluación está disponible para adquisiciones no prioritarias, lo que significa que las organizaciones que trabajan con CUI en contratos de bajo riesgo pueden realizar autoevaluaciones anuales. Sin embargo, para adquisiciones prioritarias o contratos que el DoD considere de alto riesgo, se requiere una evaluación por parte de terceros (C3PAO). El contrato del DoD o la autoridad especifica si se aplica una autoevaluación o una evaluación por parte de terceros.
