Certificación del Modelo de Madurez en Ciberseguridad (CMMC) y CUI

¿Qué es? ¿Qué es CUI? ¿Cómo puedes cumplir con la normativa?

Solicita una demo Mira una demo

Certificación del Modelo de Madurez en Ciberseguridad (CMMC) y CUI

¿Qué es el Programa de Certificación del Modelo de Madurez en Ciberseguridad?

El CMMC establece mecanismos de evaluación para verificar el cumplimiento por parte de los contratistas de defensa de los requisitos de seguridad del Departamento de Defensa (DoD) para la protección de información sensible.

Cualquier proveedor directo del DoD que maneje Información Federal de Contratos (FCI) o Información No Clasificada Controlada (CUI) deberá alcanzar uno de los 3 niveles CMMC, según lo especificado en su contrato, para ser elegible para realizar trabajos relacionados con la defensa.

¿Qué es FCI o CUI?

FCI - se refiere a información que no está destinada a su publicación pública y que es proporcionada o generada para el gobierno bajo un contrato para desarrollar o entregar un producto o servicio al gobierno. Ejemplos incluyen detalles o disposiciones contractuales, datos de desempeño de contratistas, informes o entregables desarrollados bajo contratos federales, gestión de proyectos o información financiera relevante para el contrato

CUI - La información protegida por CUI no está clasificada pero requiere control para evitar la divulgación de información no clasificada que, si está asociada públicamente con misiones de defensa o agregada con otras fuentes de información, a menudo revelará información explotable a los adversarios o violará los requisitos legales.

CUI requiere marcas que alerten a los destinatarios de que puede ser necesario un manejo especial para cumplir con la ley, regulación o política gubernamental general.

Los 3 niveles de CMMC 2.0

CMMC 2.0 tiene tres niveles. El nivel que debes cumplir estará detallado en tu contrato con el Gobierno Federal. El nivel en que se te evaluará corresponde al tipo de información que tu organización manejará:

Nivel 1 - Fundamento - Solo FCI (Autoevaluación)

Este nivel es para organizaciones que solo gestionan la FCI y se basa en los 17 controles que se encuentran en la FAR 52.204-21 "Protección Básica de la Información del Contratista Cubierto", que se centra en proteger la FCI. Las empresas y organizaciones dentro de este nivel deben realizar una autoevaluación anual para demostrar que cumplen con el cumplimiento y así obtener su certificación.

Nivel 2 - Avanzado - CUI (Evaluado por terceros)

Los requisitos de Nivel 2 están completamente alineados con los requisitos del NIST SP 800-171. En cuanto a la certificación, las organizaciones dentro de este nivel se dividen en dos grupos:

CUI con adquisiciones prioritarias: Las organizaciones que tengan CUI con adquisiciones prioritarias, es decir, información considerada crítica para la seguridad nacional, deberán someterse a evaluaciones de terceros para su certificación cada 3 años.

CUI con adquisiciones no priorizadas: CUI sin adquisiciones priorizadas, es decir, información que no es crítica para la seguridad nacional, puede realizar una autoevaluación anual para su certificación siguiendo el mismo proceso que las organizaciones de Nivel 1.

Nivel 3 - Experto - CUI Crítico (Evaluado por el DoD)

Oficialmente, en el momento de escribir esto (septiembre de 2024), el Nivel 3 sigue listado como un D&D por determinar, ya que la elaboración de normas sigue en curso. Sin embargo, sabemos que el Nivel 3 utilizará los requisitos del NIST SP 800-171 y un subconjunto de los requisitos del NIST SP 800-172. Las organizaciones de Nivel 3 siempre estarán sujetas a una evaluación gubernamental para su certificación cada 3 años.

CMMC 2

Cumplimiento y Fortra Data Classification Suite CUI (DCS)

Los niveles 2 y 3 contienen reglas para identificar y controlar el CUI (como el AC. L2.3.1.1), y existen normas sobre qué marcas deben aparecer para permitir que se identifique y gestione adecuadamente.

Fortra Data Classification Suite cuenta con una plantilla CUI predefinida que permite a las organizaciones descargar y cargar CUI en cuestión de minutos a través de las herramientas principales de Microsoft Office, y todo lo que hace falta es instalar el agente DCS y formar a las personas clave que gestionan el contenido CUI.

Aquí se presentan aspectos clave de los estándares de marcación CUI:

1. Requisitos básicos de calificación CUI

  • Marcado en cabecera/pie de página: Cada página de un documento que contenga CUI debe estar marcada con el término "CONTROLLED" o "CUI" en el encabezado er y/o pie de página para indicar la presencia de CUI.
  • Marcado de porciones: Aunque opcionales, se recomienda que las marcas de porciones (por ejemplo, marcar párrafos o secciones específicas con "(CUI)") identifiquen partes concretas de un documento que contengan CUI.
  • Marcado en el banner: Es necesaria una indicación clara en la parte superior de la primera página o pantalla que diga "Información No Clasificada Controlada" o "CUI".
  • Marcas de descontrol: Cuando cambia el estado de CUI, el documento debe reflejarlo, por ejemplo añadiendo la frase "Descontrolado" junto con la fecha de descontrol.

2. Marcado de categoría

  • CUI puede encajar en diferentes categorías (por ejemplo, Privacidad (PII), Financiera, Aplicación de la Ley). Los estándares de marcado permiten incluir abreviaturas de categorías (por ejemplo, "CUI//PRIV") para especificar el tipo de CUI.
  • Los documentos CUI pueden incluir instrucciones más específicas de salvaguarda o difusión según corresponda (por ejemplo, "CUI//NOFORN" para restringir la difusión extranjera).

3. Instrucciones de manipulación

  • Los documentos también pueden incluir instrucciones como "CUI//SP-Control de Exportación" u otras normas específicas de salvaguarda para indicar requisitos especiales de protección bajo leyes o políticas concretas.

4. Descontrol de CUI

  • Cuando el CUI ya no se considera sensible y requiere descontrol, la fecha de descontrol debe indicarse claramente. Se puede trazar una línea a través de las marcas CUI, o añadir una nota que indique que la información ha sido descontrolada.

5. Marcado de transmisión y almacenamiento

  • Los archivos electrónicos que contienen CUI deben marcar de forma similar, con indicadores visibles en correos electrónicos, discos compartidos o almacenamiento en la nube.
  • Al transmitir CUI, los archivos físicos o digitales deben etiquetarse para asegurar que los destinatarios sean conscientes de sus responsabilidades en la protección de la información. Estas normas de marcado ayudan a garantizar un manejo y difusión adecuados, reduciendo el riesgo de divulgación no autorizada y promoviendo la uniformidad entre diferentes entidades gubernamentales y contratistas. Los estándares están guiados por el programa CUI de la Administración Nacional de Archivos y Registros (NARA).

Impulsa el componente CUI de tu certificación CMMC con Fortra

La clave para gestionar con éxito los datos de CUI es la aplicación electrónica. No puedes aplicar la aplicación a menos que haya la información adecuada en tu contenido no estructurado para que tus barreras electrónicas puedan leer y actuar (como un sistema de prevención de pérdida de datos, ABAC o un sistema de cifrado).

Los estándares CUI han cambiado y cambiarán, así que necesitas una herramienta flexible para adaptarse a esos cambios con un clic de ratón en lugar de esperar a que los proveedores realicen cambios para abordar los nuevos estándares. El DCS de Fortra ha demostrado en la base industrial de defensa (DIB) como la herramienta clave para ofrecer la flexibilidad que necesitan nuestros clientes DIB y la capacidad de realizar las auditorías necesarias para mantener tu certificación actualizada minimizando los gastos generales para que tu programa individual esté aprobado.

Descubre más sobre Fortra Data Classification Suite y nuestro camino rápido hacia el cumplimiento de CUI

Descubre cómo te facilitamos la aplicación precisa y segura de las marcas CUI para ayudarte a cumplir con normativas y requisitos, como el CMMC, para proteger adecuadamente la información gubernamental sensible.

Aprende más

¿Está certificado Fortra FedRAMP?

Ahora que el programa CMMC se ha finalizado, el programa ha señalado que las herramientas de soporte que permiten la certificación CMMC no están obligadas a estar certificadas por FedRAMP.  Nuestro producto de clasificación de datos funciona como una extensión de tus aplicaciones Office y se ejecutará en los dispositivos y endpoints de tu organización. Por lo tanto, no necesitamos estar certificados por FedRAMP para ayudarte con el cumplimiento de CMMC. Nuestra herramienta de administración puede alojarse localmente en un entorno en la nube que puede estar certificado por FedRAMP, o en las instalaciones según los requisitos de tu empresa.

Recursos

Más información sobre Fortra Data Classification

Descubre cómo la clasificación flexible de datos de Fortra puede ayudar a impulsar el cumplimiento de una variedad de normativas y requisitos.

Cumplimiento normativo

Si estás listo para una demostración, hablemos de cómo podemos ayudarte con tus necesidades específicas de cumplimiento.

SOLICITA UNA DEMO