El modelo de confianza cero es un marco de ciberseguridad basado en el principio de "nunca confiar, siempre verificar", lo que significa que cada usuario, dispositivo
La Certificación del Modelo de Madurez de Ciberseguridad (CMMC) es un marco del Departamento de Defensa (DoD) creado para garantizar que las organizaciones que manejan información federal mantengan controles de ciberseguridad adecuados. Aunque la CMMC suele asociarse con agencias gubernamentales y contratistas de defensa, las universidades de investigación involucradas en proyectos financiados por el Departamento de Defensa también pueden necesitar proteger la Información no clasificada controlada (CUI), como datos de investigación y especificaciones técnicas. A medida que las universidades persiguen investigaciones financiadas por el gobierno y subvenciones federales, deben cumplir con los últimos requisitos para mantener la elegibilidad y proteger datos confidenciales. Las universidades de investigación pueden prepararse para el cumplimiento del nivel 2 de CMMC al identificar dónde reside la CUI, lo que mejora los controles de acceso e implementa las medidas de seguridad necesarias para proteger los datos confidenciales.
Siga leyendo para saber más sobre el nivel 2 de la CMMC, por qué es importante para las universidades de investigación y cómo Keeper apoya el cumplimiento del CMMC.
¿Qué es el nivel 2 de CMMC?
CMMC incluye varios niveles de certificación. Sin embargo, las instituciones involucradas en la investigación financiada por el Departamento de Defensa tienen más probabilidades de cumplir con los requisitos de nivel 2 de CMMC. La CMMC de nivel 2 se aplica a las organizaciones que almacenan, procesan o comparten CUI para garantizar que la información gubernamental sensible esté protegida contra posibles ciberamenazas y accesos no autorizados. El nivel 2 de la CMMC se alinea con los controles de seguridad descritos en la Publicación Especial 800-171 del Instituto Nacional de Estándares y Tecnología (NIST), un marco diseñado para ayudar a las organizaciones no federales a proteger la CUI. Sus 110 controles de seguridad abarcan una amplia gama de prácticas de ciberseguridad, entre las que se incluyen el control de acceso, la autenticación, la respuesta ante incidentes y la integridad de los datos.
Por qué el nivel 2 de CMMC es importante para las universidades de investigación
Las agencias gubernamentales están adoptando principios de seguridad de confianza cero a medida que las ciberamenazas dirigidas contra ellas continúan aumentando, pero los requisitos de CMMC no están reservados exclusivamente para contratistas de defensa tradicionales. Para las universidades de investigación, el nivel 2 de la CMMC es especialmente importante porque muchos proyectos de investigación financiados por el gobierno involucran datos confidenciales, hallazgos de investigación, resultados de pruebas y otras formas de CUI. Para alcanzar el nivel 2 del CMMC, las instituciones deben demostrar que cuentan con controles de seguridad adecuados para proteger la información controlada (CUI) a lo largo de todo su ciclo de vida.
La norma de aplicación que exige la CMMC en contratos del DoD (48 CFR) entró en vigor el 10 de noviembre de 2025, y los contratos del DoD ahora incluyen los requisitos de la CMMC en un cronograma escalonado. Durante la primera fase, la mayoría de los requisitos toman la forma de una autoevaluación de nivel 1 o nivel 2, aunque algunos contratos ya requieren la certificación de nivel 2 a través de una Organización de Evaluación de Terceros Certificados (C3PAO). A partir del 10 de noviembre de 2026, entran en vigor amplios requisitos de certificación C3PAO de nivel 2. Los requisitos específicos dependen de los detalles del contrato y de la información que se maneja. Las universidades de investigación involucradas en proyectos actuales o futuros financiados por el Departamento de Defensa deben evaluar su postura de seguridad ahora para prepararse.
Qué deberían hacer las universidades de investigación para el cumplimiento de la CMMC
La preparación para el cumplimiento del nivel 2 de la CMMC requiere que las universidades de investigación comprendan dónde existe CUI dentro de sus entornos, evalúen los controles de seguridad actuales y respalden los esfuerzos continuos de cumplimiento. Ser proactivo con respecto al cumplimiento del nivel 2 de la CMMC puede ayudar a las instituciones a identificar las brechas de seguridad de manera temprana y desarrollar una base más sólida para proteger los datos confidenciales.
Identificación de dónde reside CUI
Antes de implementar controles de seguridad, las universidades de investigación deben comprender dónde se almacena y procesa la información controlada no clasificada (CUI) en toda la organización. CUI puede existir en bases de datos de investigación, sistemas de laboratorio, plataformas en la nube y los dispositivos que utilizan los profesores e investigadores. Dado que las universidades suelen contar con varios departamentos y programas, puede resultar complicado mantener una visibilidad completa de la información confidencial. En muchos casos, CUI puede existir más allá de los entornos de investigación dedicados, como los mensajes de correo electrónico, unidades compartidas o dispositivos que sean propiedad de la facultad. Identificar estas fuentes de datos es un primer paso importante para determinar qué usuarios y sistemas deben estar sujetos a controles de seguridad adicionales.
Evaluación exhaustiva de brechas de seguridad
Una vez identificada la CUI, las universidades de investigación deberían evaluar cómo se comparan sus prácticas actuales de seguridad con los requisitos establecidos en el NIST SP 800-171. Esto debería incluir la revisión de los controles de acceso existentes, las capacidades de monitoreo, los planes de respuesta a incidentes y los procesos de auditoría. Las universidades también deberían realizar un inventario de las cuentas privilegiadas y revisar sus permisos para determinar si el acceso va más allá de lo necesario para los roles de los usuarios. Aunque muchas instituciones ya cuentan con medidas de seguridad, es posible que esos controles no se apliquen de manera uniforme en todos los departamentos y programas.
Implementación de entornos de investigación seguros
Los entornos de investigación se deben construir para limitar el acceso a CUI solo a usuarios y sistemas autorizados. Restringir el acceso reduce la exposición de datos y ayuda a prevenir la divulgación no autorizada de información confidencial. Las soluciones de administración de identidad y acceso (IAM) pueden ayudar a las universidades a aplicar el acceso con privilegios mínimos al garantizar que los usuarios tengan solo los permisos necesarios para realizar su trabajo. Las instituciones también deberían exigir la Autenticación multifactor (MFA) para todas las cuentas que accedan a sistemas que contengan CUI, incluidos los entornos de acceso remoto. Unos controles de identidad y acceso sólidos ayudan a minimizar las amenazas internas y cumplen con los requisitos del nivel 2 de la CMMC relacionados con la identificación y la autenticación.
Documentación SSP y POAM
El mantenimiento adecuado de los planes de seguridad del sistema (SSPs) y los planes de acción y hitos (POAMs) puede simplificar las evaluaciones futuras y demostrar el cumplimiento de los requisitos del nivel 2 de la CMMC. Un SSP documenta los controles de seguridad de una organización y define cómo se implementan y gestionan. Un POAM identifica las deficiencias de seguridad y las acciones necesarias para solucionarlas. Las universidades deben considerar esta documentación como un proceso continuo, en lugar de un ejercicio puntual, para garantizar que la información se mantenga precisa a medida que los sistemas y los entornos de investigación cambian con el tiempo.
Preparación para las auditorías de C3PAO
Es posible que las universidades de investigación que buscan la certificación CMMC de nivel 2 deban someterse a las evaluaciones que realiza C3PAO. La preparación para estas evaluaciones requiere no solo implementar controles de seguridad, sino también demostrar que dichos controles funcionan correctamente. Las instituciones deben conservar la documentación que respalde sus prácticas de seguridad, como los registros de auditoría detallados, registros de acceso, políticas de seguridad y registros de capacitación. Recopilar esta información con antelación puede ayudar a agilizar el proceso de evaluación y reducir la carga de la preparación de las revisiones formales.
Cómo Keeper® apoya la preparación para la CMMC 2.0
Las organizaciones que gestionan CUI necesitan controles de acceso sólidos, visibilidad total de la actividad de los usuarios y la capacidad de demostrar que los controles de seguridad funcionan con eficacia. Lograr el cumplimiento del nivel 2 de la CMMC requiere una combinación de personas, tecnología y procesos, y Keeper Security Government Cloud (KSGC) ayuda a las organizaciones a proteger la CUI y a mejorar varios controles de seguridad para respaldar los esfuerzos de preparación para la CMMC. Como plataforma certificada FedRAMP High, Keeper proporciona a las universidades de investigación las herramientas necesarias para proteger la información confidencial, controlar el acceso privilegiado y mantener una visibilidad lista para auditorías en todos los entornos.
KSGC ayuda a las universidades de investigación a prepararse para la CMMC 2.0 al permitirles realizar lo siguiente:
- Proteger las credenciales y los datos confidenciales en una arquitectura de conocimiento cero (SC.L2-3.13.11, SC.L2-3.13.16, IA.L2-3.5.10): proteja las contraseñas, las credenciales relacionadas con la investigación y la información confidencial en bóvedas encriptadas.
- Aplicar controles de acceso basados en roles (RBAC) (AC.L2-3.1.2, AC.L2-3.1.4, AC.L2-3.1.5): limite el acceso a los sistemas y a los datos en función de las responsabilidades de los usuarios, lo que reduce la exposición innecesaria de la información controlada (CUI).
- Reforzar la autenticación mediante la Autenticación multifactor (MFA) (IA.L2-3.5.3, IA.L2-3.5.4): mejore la seguridad de las cuentas al exigir factores de verificación adicionales a los usuarios que accedan a sistemas que contengan información confidencial.
- Supervisar y registrar sesiones con privilegios (AU.L2-3.3.1, AU.L2-3.3.2): obtenga visibilidad de la actividad con privilegios mediante las capacidades de monitoreo y grabación de sesiones que facilitan la rendición de cuentas y las investigaciones de seguridad.
- Generar informes listos para auditoría (AU.L2-3.3.6): realice un mantenimiento de los informes exhaustivos de conformidad que registren la actividad de los usuarios, el acceso y los controles de seguridad, lo que puede ayudar a agilizar la preparación de las auditorías.
- Implementar los principios de seguridad de confianza cero (SC.L2-3.13.1, SC.L2-3.13.6): verifique a todos los usuarios y dispositivos antes de otorgarles acceso, a la vez que elimina la confianza implícita en los entornos de investigación locales, híbridos y en la nube.
Preparación para el cumplimiento del Nivel 2 de CMMC con Keeper
A medida que las universidades de investigación continúan participando en proyectos financiados por el Departamento de Defensa (DoD), el cumplimiento de la CMMC es una parte cada vez más crucial para proteger la información confidencial y mantener la elegibilidad para oportunidades de investigación futuras. Dado que el nivel 2 de la CMMC se enfoca específicamente en proteger la CUI, las instituciones deben comenzar a evaluar su postura de seguridad lo antes posible en lugar de esperar hasta que el cumplimiento sea obligatorio. Solicite una demostración hoy mismo para descubrir cómo KSGC puede ayudar a su institución a fortalecer los controles de acceso, asegurar la CUI y apoyar la preparación para el nivel 2 de la CMMC.