Sector público 
A medida que las agencias federales enfrentan amenazas cibernéticas cada vez más sofisticadas, proteger los sistemas de alto impacto y los datos confidenciales no clasificados se
El Departamento de Defensa de los EE. UU. (DoD) presentó su programa de Certificación del Modelo de Madurez de Ciberseguridad (CMMC) a principios de 2020 para fortalecer la ciberseguridad en toda la Base Industrial de Defensa (DIB) y garantizar que los contratistas que manejan Información Controlada No Clasificada (CUI) cumplan con los estrictos estándares de ciberseguridad definidos por el Instituto Nacional de Estándares y Tecnología (NIST).
El 10 de noviembre de 2025, la regla de adquisición final del Departamento de Defensa para el programa CMMC entró en vigor oficialmente, lo que significa que los contratos del Departamento de Defensa comenzarán a incluir requisitos obligatorios de CMMC que se implementarán gradualmente en los próximos años.
CMMC tiene tres niveles y los requisitos varían según el nivel. El nivel 1 de CMMC tiene 15 controles y es necesario para contratos con solo información de contrato federal (FCI) pero sin CUI. El contratista debe realizar una autoevaluación; no se requiere una evaluación de terceros. El nivel 2 de CMMC tiene 110 controles y se alinea con los controles NIST SP 800-171. Es necesario para contratos con CUI. Muchos contratos requerirán una certificación CMMC Nivel 2 a través de una evaluación de terceros realizada por una Organización Evaluadora de Terceros CMMC (C3PAO). Por último, el nivel 3 de CMMC requiere 24 controles de seguridad mejorados adicionales y todos los contratos requerirán una evaluación de terceros.
La nueva cronología del CMMC
El Departamento de Defensa planea implementar el CMMC en los próximos años. Esto es lo que significa cada fase para los contratistas que manejan CUI y el cronograma actual:
- La fase 1 ya ha comenzado, y los contratistas que manejan CUI deben autoevaluar que cumplen con el Nivel 2 de CMMC para calificar para los contratos del Departamento de Defensa. El Departamento de Defensa también puede requerir auditorías de terceros para el Nivel 2 en algunos casos.
- La fase 2 comenzará en noviembre de 2026, y los contratos de nivel 2 requerirán una certificación de terceros en lugar de una simple autoevaluación.
- La fase 3 comenzará en noviembre de 2027 y se requerirán certificaciones de terceros de nivel 3 de la CMMC para todos los nuevos contratos, salvo que se produzca algún retraso. El Departamento de Defensa puede retrasar los requisitos de Nivel 3 de CMMC hasta los períodos de opción para algunos contratos.
- La fase 4 es la última fase y comienza en noviembre de 2028. Los requisitos de CMMC se aplicarán a todos los contratos aplicables.
Lo que esto significa ahora para los contratistas
Si su organización maneja CUI o FCI, las futuras solicitudes incluirán requisitos de CMMC. Para prepararse, céntrese en estos pasos:
- Verificar el cumplimiento de la nube: CMMC requiere FedRAMP Moderate (o un equivalente) para cualquier servicio en la nube que almacene o procese CUI. Las organizaciones que utilizan proveedores de servicios en la nube deben evaluar cada uno de sus contratos de servicios en la nube y verificar que el proveedor tenga la certificación FedRAMP Moderate.
- Defina su entorno CUI: mapee dónde reside CUI e identifique los sistemas, redes, aplicaciones y usuarios que interactúan con él.
- Revise los 110 controles de Nivel 2: identifique las brechas, observe qué categorías necesitan apoyo adicional y priorice la remediación. Algunas de las categorías de Nivel 2 incluyen Control de Acceso (AC), Concientización y Capacitación, Auditoría y Responsabilidad (AU) y Gestión de Configuración (CM).
- Documente todo: mantenga registros claros de las políticas de acceso, auditorías y configuraciones. Ya sea que esté realizando una autoevaluación o preparándose para una evaluación de terceros, tener una documentación clara reducirá la cantidad de tiempo que lleva lograr el cumplimiento total de CMMC.
Por qué es importante la gestión del acceso privilegiado y cómo Keeper puede ayudar
Las soluciones de Gestión de acceso privilegiado (PAM) administran y protegen las cuentas que tienen permisos para acceder a sistemas y datos altamente confidenciales, lo que reduce el riesgo de ataques cibernéticos. Una solución PAM puede ayudar a las organizaciones a cumplir con muchos de los controles CMMC, particularmente aquellos relacionados con el control de acceso (AC), la identificación y autenticación (IA) y la protección del sistema y las comunicaciones (SC).
Hoy en día, un equipo de seguridad típico a menudo carece de visibilidad total de la solidez de las contraseñas de la organización. Keeper Security Government Cloud (KSGC) cierra esa brecha al brindar visibilidad sobre la reutilización de contraseñas y las credenciales comprometidas, y al permitir que las organizaciones establezcan y monitoreen políticas de contraseñas. KSGC también monitorea y alerta a los administradores sobre las debilidades, lo que permite una gestión proactiva de riesgos antes de que ocurran incidentes cibernéticos.
KSGC is FedRAMP High Authorized, making it a strong fit for DoD contractors needing to protect sensitive information. Keeper helps businesses comply with these evolving CMMC controls by addressing key password security and access management requirements, reducing the burden of demonstrating compliance with CMMC controls.
Para ayudar a las organizaciones a comprender dónde encaja Keeper dentro del marco CMMC, Keeper trabajó recientemente con un experto externo en CMMC para mapear las capacidades de Keeper a controles CMMC específicos. Ese experto, Jacob Hill, es el director ejecutivo de TEKFused, una empresa que ofrece certificaciones de Gobernanza, Riesgo y Cumplimiento (GRC). Hill tiene más de 17 años de experiencia, una maestría en ciberseguridad de WGU y varias certificaciones, entre ellas CMMC Certified Assessor, CMMC Provisional Instructor, CISSP-ISSEP y CySA+. También ha publicado CVEs y su investigación de seguridad ha sido presentada por Brian Krebs e Infosecurity Magazine.
*Descargo de responsabilidad: al hacer clic en el botón de arriba se descargará un archivo a su computadora.
Al combinar prácticas intencionales de ciberseguridad, políticas sólidas de gestión de acceso y plataformas como KSGC, los contratistas pueden acelerar la preparación, mantenerse a la vanguardia de los requisitos de cumplimiento y estar listos para los contratos del Departamento de Defensa. Solicite una demostración hoy para obtener más información.
