Líder en el Cuadrante Mágico de Gartner® de 2025 para plataformas de protección de Endpoints.Líder en el Cuadrante Mágico™ de GartnerLeer el informe
¿Sufre una brecha de seguridad?Blog
ComenzarContacto
Header Navigation - ES
  • Plataforma
    Resumen de la plataforma
    • Singularity Platform
      Bienvenido a la Seguridad Empresarial Integrada
    • IA para la seguridad
      A la vanguardia en soluciones de seguridad impulsadas por IA
    • Protección de la IA
      Acelere la adopción de IA con herramientas, aplicaciones y agentes de IA seguros.
    • Cómo funciona
      La Diferencia de Singularity XDR
    • Marketplace de Singularity
      Integraciones con un solo clic para liberar la potencia de XDR
    • Precios y Paquetes
      Comparaciones y orientaciones de un vistazo
    Data & AI
    • Purple AI
      Acelerar las operaciones de seguridad con IA generativa
    • Singularity Hyperautomation
      Automatice fácilmente los procesos de seguridad
    • AI-SIEM
      AI SIEM para el SOC autónomo
    • AI Data Pipelines
      Canalización de datos de seguridad para AI SIEM y optimización de datos
    • Singularity Data Lake
      Potenciada por la IA, unificada por el lago de datos
    • Singularity Data Lake for Log Analytics
      Ingesta de datos sin fisuras desde entornos locales, en la nube o híbridos
    Endpoint Security
    • Singularity Endpoint
      Prevención, detección y respuesta autónomas
    • Singularity XDR
      Protección, detección y respuesta nativas y abiertas
    • Singularity RemoteOps Forensics
      Orquestación forense a escala
    • Singularity Threat Intelligence
      Información completa sobre el adversario
    • Singularity Vulnerability Management
      Detección de activos no autorizados
    • Singularity Identity
      Detección de amenazas y respuesta para la identidad
    Cloud Security
    • Singularity Cloud Security
      Bloquee los ataques con un CNAPP basado en IA
    • Singularity Cloud Native Security
      Asegurar la nube y los recursos de desarrollo
    • Singularity Cloud Workload Security
      Plataforma de protección de la carga de trabajo en la nube en tiempo real
    • Singularity Cloud Data Security
      Detección de amenazas mediante inteligencia artificial
    • Singularity Cloud Security Posture Management
      Detectar y corregir errores de configuración en la nube
    Protección de la IA
    • Prompt Security
      Proteger las herramientas de IA en toda la empresa
  • ¿Por qué SentinelOne?
    ¿Por qué SentinelOne?
    • ¿Por qué SentinelOne?
      Ciberseguridad pensada para el futuro
    • Nuestros clientes
      La confianza de las principales empresas del mundo
    • Reconocimiento industrial
      Probado y demostrado por los expertos
    • Quiénes somos
      Líder del sector en ciberseguridad autónoma
    Comparar SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trend Micro
    • Trellix
    • Wiz
    Industria
    • Energía
    • Administración Pública
    • Finanzas
    • Sanidad
    • Educación
    • Educación K-12
    • Fabricación
    • Comercio
    • Sector público estatal y local
  • Servicios
    Servicios gestionados
    • Visión General de Servicios Gestionados
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Experiencia de clase mundial e Inteligencia de Amenazas.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, preparación ante brechas & evaluaciones de compromiso.
    Asistencia y despliegue
    • Gestión técnica de cuentas
      Customer success con servicio personalizado
    • SentinelOne GO
      Asesoramiento guiado sobre incorporación y despliegue
    • SentinelOne University
      Formación en directo y a la carta
    • Panorama de los servicios
      Soluciones integrales para operaciones de seguridad sin interrupciones
    • SentinelOne Community
      Inicio de sesión en la comunidad
  • Partners
    Nuestra red
    • Socios MSSP
      Triunfe más rápido con SentinelOne
    • Marketplace de Singularity
      Extender la potencia de la tecnología S1
    • Socios de ciberriesgo
      Incorporar equipos de respuesta y asesoramiento profesional
    • Alianzas tecnológicas
      Soluciones integradas a escala empresarial
    • SentinelOne para AWS
      Alojado en regiones de AWS en todo el mundo
    • Socios de canal
      Aportar juntos las soluciones adecuadas
    • SentinelOne for Google Cloud
      Seguridad unificada y autónoma que brinda a los defensores una ventaja a escala global.
    Descripción general del programa →
  • Recursos
    Centro de recursos
    • Datasheets
    • eBooks
    • Videos
    • Libros blancos
    • Events
    Ver todos los recursos→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identity
    • Cloud
    • macOS
    • Blog de SentinelOne
    Blog→
    Recursos tecnológicos
    • SentinelLABS
    • Glosario de ransomware
    • Ciberseguridad 101
  • Quiénes somos
    Acerca SentinelOne
    • Acerca SentinelOne
      El líder de la industria en ciberseguridad
    • SentinelLABS
      Investigación de amenazas para el cazador de amenazas moderno
    • Carreras
      Las últimas oportunidades de trabajo
    • Prensa y noticias
      Anuncios de la empresa
    • Blog de ciberseguridad
      Las últimas amenazas a la ciberseguridad, noticias y más
    • FAQ
      Obtenga respuestas a las preguntas más frecuentes
    • DataSet
      La Plataforma de datos en vivo
    • S Foundation
      Asegurar un futuro más seguro para todos
    • S Ventures
      Invertir en la próxima generación de seguridad y datos
ComenzarContacto
Background image for Lista de verificación CMMC: Guía de preparación para auditoría para contratistas del DoD
Cybersecurity 101/Ciberseguridad/Lista de verificación CMMC

Lista de verificación CMMC: Guía de preparación para auditoría para contratistas del DoD

CMMC 2.0 requiere la verificación independiente de los controles de ciberseguridad de los contratistas del DoD. Utilice esta lista de verificación CMMC para prepararse para la auditoría, desde la delimitación hasta la certificación.

CS-101_Cybersecurity.svg
Tabla de contenidos
¿Qué es CMMC (Cybersecurity Maturity Model Certification)?
¿Quién necesita una lista de verificación CMMC?
Cómo determinar su nivel CMMC requerido
Coincidencia del tipo de datos con el nivel de certificación
Comprender los niveles CMMC antes de usar una lista de verificación
Lista de verificación de preparación previa a la evaluación
Lista de verificación CMMC Nivel 1 (Controles Fundamentales)
Lista de verificación CMMC Nivel 2 (Controles Avanzados)
Lista de verificación CMMC Nivel 3 (Controles de nivel experto)
Lista de verificación de documentación y evidencia
Errores comunes en la implementación de la lista de verificación CMMC
Errores de delimitación que descarrilan las evaluaciones
Documentación que describe la intención, no la realidad
Mala gestión de POA&M
Costos de evaluación CMMC y expectativas de plazos
Rangos de plazos típicos
Consideraciones de costos
Mejores prácticas para usar una lista de verificación CMMC
Comience con el descubrimiento de CUI, no con la implementación de controles
Segmente su red antes de la evaluación
Construya evidencia durante meses, no días
Prepare a su personal para entrevistas
Haga cumplir los requisitos de transmisión a subcontratistas
Puntos clave

Entradas relacionadas

  • ¿Qué es el Reglamento DORA? Marco de resiliencia digital de la UE
  • ¿Qué es la fijación de sesión? Cómo los atacantes secuestran sesiones de usuario
  • Hacker Ético: Métodos, Herramientas y Guía de Carrera
  • ¿Qué son los ataques adversarios? Amenazas y defensas
Autor: SentinelOne | Revisor: Arijeet Ghatak
Actualizado: April 30, 2026

¿Qué es CMMC (Cybersecurity Maturity Model Certification)?

Un contratista del Departamento de Defensa pierde un contrato importante de defensa porque asumió que la autoafirmación de cumplimiento con NIST SP 800-171 era suficiente. A partir del 10 de noviembre de 2025, ya no lo es. El Cybersecurity Maturity Model Certification (CMMC) 2.0 es un marco de certificación de ciberseguridad del Departamento de Defensa que verifica la implementación de los requisitos federales de seguridad existentes por parte de los contratistas de defensa mediante una evaluación independiente. No crea nuevos requisitos de seguridad. Añade una verificación independiente a los controles ya exigidos bajo DFARS 7012 desde 2017.

El programa está codificado en 32 CFR 170 (Regla del Programa CMMC) y se aplica a través de 48 CFR 204 (Regla de Adquisición DFARS). Cyber AB actúa como organismo de acreditación para el ecosistema CMMC. Si maneja Federal Contract Information (FCI) o Controlled Unclassified Information (CUI) para el Departamento de Defensa, CMMC le aplica.

Según 48 CFR 204.7502, los oficiales de contratación no deben adjudicar contratos a oferentes sin el estado CMMC vigente en el nivel requerido. Su preparación con la lista de verificación CMMC comienza ahora, no cuando reciba una solicitud de propuesta.

Antes de CMMC, los contratistas autoevaluaban su implementación de NIST SP 800-171 y enviaban los resultados al Supplier Performance Risk System (SPRS). La autoafirmación creó una brecha de confianza en la base industrial de defensa (DIB), permitiendo que los contratistas afirmaran cumplimiento sin validación independiente.

CMMC cierra esta brecha al requerir evaluaciones de terceros o del gobierno según la sensibilidad de los datos que maneje. Cada control que declare en su System Security Plan (SSP) debe superar el examen, la entrevista y las pruebas técnicas prácticas realizadas por evaluadores capacitados. Sus herramientas de operaciones de seguridad, registros de auditoría, controles de acceso y procedimientos de respuesta a incidentes están dentro del alcance de la evaluación CMMC. El marco organiza estos requisitos en tres niveles de certificación, cada uno con su propio proceso de evaluación.

¿Quién necesita una lista de verificación CMMC?

No todas las organizaciones que interactúan con el Departamento de Defensa enfrentan requisitos CMMC idénticos, pero el alcance es más amplio de lo que muchos contratistas esperan. Cualquier empresa que almacene, procese o transmita FCI o CUI como parte de un contrato del Departamento de Defensa debe alcanzar el nivel de certificación CMMC apropiado antes de la adjudicación del contrato.

Los contratistas principales que tienen contratos del Departamento de Defensa que incluyen la cláusula DFARS 252.204-7021 deben demostrar el estado CMMC vigente en el nivel especificado en la solicitud. Este requisito se transmite a través de la cadena de suministro: los subcontratistas que manejan CUI en apoyo del desempeño del contrato deben cumplir de forma independiente con el nivel CMMC requerido, no simplemente depender de la certificación del contratista principal. Según un análisis de la cadena de suministro de NDIA, los requisitos de transmisión DFARS se aplican sin importar la posición en el nivel de la cadena de suministro.

Las organizaciones que deben mantener una lista de verificación CMMC incluyen fabricantes y proveedores de defensa que manejan CUI, proveedores de servicios de TI y proveedores de servicios gestionados con acceso a entornos CUI, instituciones de investigación bajo contratos financiados por el Departamento de Defensa, y empresas de servicios profesionales o de personal cuyos empleados acceden a sistemas CUI. Las pequeñas empresas no están exentas. Si su contrato involucra CUI, los requisitos de CMMC Nivel 2 aplican sin importar el tamaño o los ingresos de la empresa.

El umbral es sencillo: si su contrato actualmente incluye o incluirá DFARS 252.204-7021, necesita un proceso de cumplimiento estructurado. Una lista de verificación CMMC le permite rastrear la implementación de controles, documentar la recolección de evidencia e identificar brechas antes de que lo haga un evaluador C3PAO o DIBCAC.

Cómo determinar su nivel CMMC requerido

Su nivel CMMC requerido depende del tipo de información que maneje bajo un contrato del Departamento de Defensa. La determinación comienza con una pregunta: ¿su contrato involucra CUI?

Coincidencia del tipo de datos con el nivel de certificación

  • Solo FCI (Nivel 1): Su contrato involucra Federal Contract Information básica pero sin marcas de CUI. Implementa 17 prácticas de FAR 52.204-21 y se autoevalúa anualmente.
  • CUI (Nivel 2): Su contrato incluye datos marcados como Controlled Unclassified Information según el Registro CUI. Implementa las 110 prácticas de NIST SP 800-171 y se somete a una evaluación C3PAO o autoevaluación según el contrato.
  • CUI de alto valor (Nivel 3): Su contrato involucra CUI en programas críticos identificados por el Departamento de Defensa. Implementa 134 prácticas (110 de NIST SP 800-171 más 24 de NIST SP 800-172) y se somete a una evaluación gubernamental DIBCAC. El Nivel 3 requiere tener el estado vigente de Nivel 2 como requisito previo.

Si su contrato no especifica un nivel CMMC, revise las cláusulas DFARS en su solicitud. Según 32 CFR 170, el oficial de contratación determina el nivel requerido según la sensibilidad de la información involucrada. En caso de duda, contacte directamente a su oficial de contratación. Elegir el nivel incorrecto significa prepararse para la evaluación equivocada, lo que desperdicia tiempo y presupuesto. Una vez que conozca su nivel, la siguiente tabla muestra exactamente lo que requiere ese nivel.

Comprender los niveles CMMC antes de usar una lista de verificación

Antes de trabajar con cualquier lista de verificación CMMC, necesita una imagen clara de lo que requiere cada nivel de certificación. Los tres niveles difieren significativamente en el número de prácticas, el tipo de evaluación y la categoría de información que protegen.

CaracterísticaNivel 1: FundamentalNivel 2: AvanzadoNivel 3: Experto
ProtegeFederal Contract Information (FCI)Controlled Unclassified Information (CUI)CUI de alto valor
Cantidad de prácticas17 prácticas básicas de resguardo110 prácticas134 prácticas
Tipo de evaluaciónAutoevaluación anualEvaluación trienal C3PAO o autoevaluaciónEvaluación gubernamental trienal DIBCAC
¿Se permiten POA&M?NoSí, cierre requeridoSí, cierre requerido, requisitos críticos excluidos
Resultados ingresados enSPRSSPRSCMMC eMASS
Requisito previoNingunoNingunoEstado vigente de Nivel 2

La implementación de la Fase 1 comenzó el 10 de noviembre de 2025, enfocándose principalmente en los requisitos de Nivel 1 y Nivel 2. La Fase 2 inicia el 10 de noviembre de 2026, ampliando las evaluaciones obligatorias de Nivel 2 por parte de CMMC Third Party Assessment Organization (C3PAO). La implementación total en todos los contratos aplicables comienza después del 9 de noviembre de 2028.

Todas las evaluaciones de Nivel 2 por C3PAO siguen una estructura obligatoria de cuatro fases según el proceso CMMC:

  1. Planificar y preparar la preevaluación: Definir el alcance, proporcionar SSP y diagramas de red, y acordar el cronograma de evaluación.
  2. Evaluar conformidad con los requisitos de seguridad: Los evaluadores examinan documentación, entrevistan al personal y prueban los controles directamente.
  3. Completar e informar los resultados de la evaluación: C3PAO carga los resultados en el sistema de informes requerido.
  4. Emitir certificado y cerrar POA&M: Remediar los elementos abiertos dentro del período permitido o perder el estado CMMC condicional.

Los evaluadores utilizan tres métodos obligatorios extraídos de NIST 171A: examinar (revisión de documentación, configuraciones, registros), entrevistar (discusiones estructuradas con el personal) y probar (validación técnica práctica). No puede aprobar solo en papel.

CMMC utiliza actualmente NIST SP 800-171 Revisión 2. Según las preguntas frecuentes del CIO del Departamento de Defensa, el Departamento de Defensa ha emitido una desviación de clase a la cláusula DFARS 252.204-7012 para mantener la Rev 2 como estándar de evaluación hasta que la Rev 3 se incorpore mediante futuras regulaciones. Con este contexto establecido, las siguientes listas de verificación le brindan un camino estructurado para la preparación.

Lista de verificación de preparación previa a la evaluación

La preparación previa a la evaluación cubre el trabajo fundamental que debe completarse antes de poder delimitar con precisión el alcance, documentar o contratar un C3PAO. Las brechas identificadas aquí afectan cada elemento de su lista de verificación CMMC.

Delimitación de activos:

  • Inventario completo de hardware y software en las cinco categorías de activos CMMC (CUI Assets, Security Protection Assets, CRMA, Specialized Assets, Out-of-Scope)
  • Mapear todos los flujos de datos que muestran dónde ingresa, circula y sale el CUI de su entorno
  • Documentar todas las conexiones con proveedores de servicios en la nube y si procesan CUI o FCI
  • Identificar todas las conexiones externas, trabajadores remotos y puntos de acceso de proveedores
  • Verificar la separación técnica y física para los activos fuera de alcance
  • Documentar la justificación de gestión de riesgos de CRMA en el SSP para cada designación CRMA
  • Identificar todos los Security Protection Assets y sus funciones de seguridad

Preparación para la evaluación:

  • Análisis de brechas completo respecto a todas las prácticas de Nivel 2 utilizando la guía de evaluación del Departamento de Defensa
  • Evaluación simulada interna o revisión de preparación por una Registered Practitioner Organization (RPO)
  • Personal preparado para entrevistas con evaluadores (capaz de articular sus responsabilidades de seguridad)
  • Puntaje de autoevaluación enviado a SPRS
  • C3PAO seleccionado del mercado de Cyber AB y acuerdo de compromiso ejecutado

Completar la delimitación de activos antes de contratar un C3PAO no es opcional. Los evaluadores que descubran activos CUI no revelados durante la evaluación pueden ampliar el alcance, extender los plazos y convertir controles aprobados en hallazgos. Hacer esto correctamente desde el principio tiene más impacto en los resultados de la evaluación que cualquier otro paso en la preparación CMMC.

Lista de verificación CMMC Nivel 1 (Controles Fundamentales)

El Nivel 1 requiere 17 prácticas extraídas de FAR 52.204-21, organizadas en seis dominios de seguridad. Estos son requisitos básicos de resguardo para sistemas que manejan FCI. No se permiten POA&M en el Nivel 1: las 17 prácticas deben estar completamente implementadas antes de la autoevaluación.

Control de acceso:

  • Limitar el acceso al sistema a usuarios, procesos y dispositivos autorizados
  • Restringir el acceso a los tipos de transacciones y funciones que los usuarios autorizados pueden ejecutar
  • Verificar y controlar las conexiones a sistemas de información externos
  • Controlar la información publicada o procesada en sistemas de acceso público

Identificación y autenticación:

  • Identificar a todos los usuarios, procesos que actúan en nombre de los usuarios y dispositivos
  • Autenticar las identidades de usuarios, procesos y dispositivos antes de permitir el acceso al sistema

Protección de medios:

  • Sanitizar o destruir los medios del sistema de información antes de su eliminación o reutilización

Protección física:

  • Limitar el acceso físico a los sistemas a personas autorizadas
  • Acompañar a los visitantes, monitorear la actividad de los visitantes y mantener registros de acceso físico
  • Proteger y monitorear las instalaciones físicas y la infraestructura de soporte

Protección de sistemas y comunicaciones:

  • Monitorear, controlar y proteger las comunicaciones en los límites externos y puntos clave internos
  • Implementar subredes para componentes de acceso público que estén separados de las redes internas

Integridad del sistema y la información:

  • Identificar y corregir fallas del sistema de información de manera oportuna
  • Proporcionar protección contra código malicioso en ubicaciones apropiadas del sistema
  • Actualizar los mecanismos de protección contra código malicioso cuando haya nuevas versiones disponibles
  • Realizar análisis periódicos del sistema y análisis en tiempo real de archivos provenientes de fuentes externas

El cumplimiento de Nivel 1 es alcanzable para la mayoría de los pequeños contratistas con una higiene básica de TI. Si se implementan las 17 prácticas, su lista de verificación CMMC en este nivel es sencilla de documentar y autoafirmar. La carga de preparación más significativa comienza en el Nivel 2, donde deben evaluarse 110 prácticas con evidencia documentada y operativa.

Lista de verificación CMMC Nivel 2 (Controles Avanzados)

El Nivel 2 corresponde a las 110 prácticas de NIST SP 800-171 Revisión 2 en 14 dominios de seguridad. Esta lista de verificación CMMC está organizada por familia de dominios. No se enumeran aquí los 110 ítems individuales; utilice la guía de evaluación del Departamento de Defensa para la lista completa de prácticas y objetivos de evaluación.

  • Control de acceso (AC): Implementar acceso de mínimo privilegio, gestionar cuentas privilegiadas, aplicar bloqueo de sesión tras inactividad, controlar el acceso remoto y el uso de sistemas externos, y prohibir el uso de almacenamiento portátil sin propietario identificable.
  • Auditoría y responsabilidad (AU): Crear y proteger registros de auditoría del sistema, revisar y analizar registros para detectar actividad no autorizada, retener registros de auditoría para respaldar investigaciones posteriores y proporcionar capacidad del sistema para auditar eventos definidos en el SSP.
  • Gestión de configuración (CM): Establecer y mantener configuraciones base, aplicar configuraciones de seguridad, rastrear y controlar cambios en los sistemas, analizar el impacto de seguridad de los cambios antes de su implementación.
  • Identificación y autenticación (IA): Aplicar autenticación multifactor para todo acceso a la red y cuentas privilegiadas, gestionar la fortaleza y ciclo de vida de los autenticadores y emplear autenticación resistente a la reproducción.
  • Respuesta a incidentes (IR): Establecer una capacidad operativa de gestión de incidentes que incluya preparación, detección, contención, recuperación y reporte de usuarios. Probar la capacidad de respuesta a incidentes y rastrear incidentes.
  • Mantenimiento (MA): Realizar mantenimiento en los sistemas, controlar las herramientas de mantenimiento, sanitizar equipos retirados para mantenimiento externo y requerir MFA para sesiones de mantenimiento remoto.
  • Protección de medios (MP): Proteger los medios del sistema que contienen CUI, limitar el acceso a CUI en medios a usuarios autorizados, sanitizar los medios antes de su eliminación o reutilización y controlar el acceso a medios con CUI durante el transporte.
  • Seguridad de personal (PS): Evaluar a las personas antes de autorizar el acceso a sistemas que contienen CUI y asegurar que el CUI esté protegido durante y después de acciones de personal como despidos y transferencias.
  • Evaluación de riesgos (RA): Evaluar periódicamente el riesgo para operaciones y activos, escanear en busca de vulnerabilidades en sistemas y aplicaciones, y remediar vulnerabilidades según las evaluaciones de riesgo.
  • Evaluación de seguridad (SA): Evaluar periódicamente los controles de seguridad, desarrollar e implementar planes de acción, monitorear los controles de seguridad del sistema de forma continua y producir un SSP actualizado que refleje el entorno operativo.
  • Protección de sistemas y comunicaciones (SC): Monitorear, controlar y proteger las comunicaciones en los límites, implementar diseños arquitectónicos y técnicas de desarrollo de software que promuevan la seguridad y cifrar el CUI en tránsito y en reposo.
  • Integridad del sistema y la información (SI): Identificar y abordar fallas, proporcionar protección contra código malicioso, monitorear sistemas para alertas de seguridad y actualizar las protecciones contra código malicioso cuando haya nuevas versiones disponibles.

Trabajar con la lista de verificación CMMC Nivel 2 requiere un esfuerzo sostenido durante meses, no semanas. Las organizaciones que no hayan implementado previamente NIST SP 800-171 deben comenzar la remediación de brechas mucho antes de contratar un C3PAO.

Lista de verificación CMMC Nivel 3 (Controles de nivel experto)

El Nivel 3 añade 24 prácticas de NIST SP 800-172 sobre el conjunto completo de prácticas de Nivel 2, para un total de 134 prácticas. Estos requisitos mejorados están dirigidos a organizaciones que protegen CUI de alto valor en programas críticos del Departamento de Defensa. Las evaluaciones son realizadas por el Defense Industrial Base Cybersecurity Assessment Center (DIBCAC), no por un C3PAO, y el estado vigente de Nivel 2 es un requisito previo.

Las 24 prácticas adicionales se centran en cinco áreas de control mejoradas:

  • Control de acceso mejorado: Emplear enfoques dinámicos de control de acceso que se coordinen con la estrategia de riesgos organizacional y respalden decisiones de acceso en tiempo real
  • Gestión avanzada de configuración: Establecer y mantener un sistema de gestión de configuración capaz de rastrear cambios con verificación de integridad
  • Respuesta a incidentes fortalecida: Establecer una capacidad de centro de operaciones de seguridad (SOC) y emplear mecanismos automatizados para apoyar la gestión de incidentes
  • Gestión de riesgos de la cadena de suministro: Evaluar el riesgo asociado con proveedores, desarrolladores y proveedores externos y abordar el riesgo mediante requisitos contractuales
  • Protección avanzada de sistemas y comunicaciones: Emplear capacidades arquitectónicas y configuraciones de sistemas que aprovechen interfaces gestionadas y empleen dispositivos y mecanismos de protección de límites

Las organizaciones de Nivel 3 también deben demostrar monitoreo persistente, capacidad de búsqueda de amenazas y coordinación con agencias federales de ciberseguridad. Debido a que DIBCAC realiza evaluaciones lideradas por el gobierno, los tiempos de programación son significativos y la coordinación temprana con las oficinas de programas del Departamento de Defensa es esencial antes de comenzar la preparación de la lista de verificación CMMC Nivel 3.

Lista de verificación de documentación y evidencia

Las brechas en documentación y evidencia son la razón más común por la que las evaluaciones CMMC se detienen o fallan. Su SSP es el artefacto central en cualquier lista de verificación CMMC, pero los evaluadores requieren un paquete de evidencia completo que abarque todos los dominios en alcance.

SSP y documentación:

  • Descripciones completas de todos los activos en alcance en las cinco categorías
  • Diagramas de red actualizados que muestren los flujos de datos CUI y los límites del sistema
  • Documentación de todos los controles de seguridad y su estado de implementación
  • Roles y responsabilidades para la implementación de controles de seguridad
  • Procedimientos de respuesta a incidentes y contactos
  • Todas las prácticas listadas como no POA&M completamente implementadas (AC.L2-3.1.20, AC.L2-3.1.22, CA.L2-3.12.4, PE.L2-3.10.3, PE.L2-3.10.4, PE.L2-3.10.5)

Recolección de evidencia:

  • Registros del sistema que demuestren monitoreo continuo (dominio AU)
  • Configuraciones de control de acceso y listas actualizadas de usuarios autorizados
  • Registros de autenticación multifactor en todos los sistemas en alcance
  • Registros de finalización de capacitación en concienciación de seguridad con fechas y contenido
  • Plan de respuesta a incidentes con registros documentados de ejercicios
  • Configuraciones base y registros de gestión de cambios
  • Resultados de evaluaciones de vulnerabilidades y seguimiento de remediación
  • Documentación y certificados de criptografía
  • Registros de acceso físico a áreas CUI
  • Registros de sanitización de medios
  • Documentación de manejo de CUI por terceros y proveedores de servicios en la nube

Mantenimiento posterior a la certificación:

  • Autoevaluación anual con atestación de un ejecutivo senior
  • Afimación anual enviada a SPRS
  • Monitoreo continuo y registro de auditoría mantenidos
  • SSP actualizado cuando cambie el entorno
  • Planificación de recertificación iniciada antes del vencimiento

Según el Cyber AB CAP, sin un SSP adecuadamente documentado, una evaluación no puede proceder y resulta en una evaluación fallida por defecto. Construya su repositorio de evidencia de la lista de verificación CMMC de forma continua durante la preparación, no en las semanas previas a la fecha de evaluación.

Errores comunes en la implementación de la lista de verificación CMMC

Muchos contratistas abordan CMMC con confianza en sus programas de seguridad existentes, solo para estancarse durante la preparación de la evaluación. Estos son los puntos de falla más frecuentes y cómo evitarlos.

Errores de delimitación que descarrilan las evaluaciones

Delimitar en exceso su entorno CUI aumenta el costo y la complejidad sin mejorar la seguridad. Si un sistema nunca procesa, almacena o transmite CUI, una designación CRMA adecuada y segregación técnica pueden reducir legítimamente el alcance de su evaluación. Sin embargo, según el proceso CMMC, las designaciones CRMA están "sujetas a la discreción del evaluador". Cada CRMA debe estar respaldada por una justificación documentada en su SSP.

Igualmente peligroso: delimitar de menos al excluir sistemas de respaldo que contienen CUI, servicios en la nube que procesan CUI o terminales de trabajadores remotos. Si el CUI puede atravesar un sistema, ese sistema está en alcance sin importar declaraciones informales.

Documentación que describe la intención, no la realidad

Según el Cyber AB CAP, sin un System Security Plan adecuadamente documentado, una evaluación no puede proceder y resulta en una evaluación fallida por defecto. Su SSP es el documento más crítico en CMMC y debe reflejar el estado operativo real, no una postura aspiracional.

Las brechas comunes de evidencia incluyen listas de control de acceso que omiten personal recientemente agregado, políticas sin respaldo de la alta dirección y atestaciones firmadas por empleados que no son el propietario, operador o supervisor adecuado.

Mala gestión de POA&M

Algunas prácticas no pueden incluirse en un Plan de Acción y Hitos (POA&M), incluyendo CA.L2-3.12.4 (System Security Plan), varias prácticas de protección física y prácticas específicas de control de acceso. Si ingresa a una evaluación C3PAO con brechas en estos controles, puede enfrentar una evaluación completamente nueva.

Si recibe un estado CMMC condicional con elementos POA&M abiertos, el plazo de cierre es absoluto. Según la guía CMMC del Departamento de Defensa, no cerrar los POA&M dentro del período documentado significa que su estado expira sin opción de extensión documentada.

En todos estos puntos de falla, el hilo común es el tiempo. Los plazos desde la brecha hasta la certificación CMMC pueden ser sustanciales, y los costos asociados con plazos incumplidos o evaluaciones repetidas son significativos. Comprender el presupuesto y los plazos realistas es el siguiente paso.

Costos de evaluación CMMC y expectativas de plazos

El presupuesto y el plazo son dos de las preocupaciones más comunes para los contratistas que inician la preparación CMMC. Ambos varían significativamente según el tamaño de su organización, la madurez de seguridad existente y el nivel de certificación que necesita.

Rangos de plazos típicos

Según la guía del CIO del Departamento de Defensa, no hay un período de preparación fijo, pero la experiencia de la industria proporciona puntos de referencia útiles:

  • Autoevaluación de Nivel 1: 1-3 meses para organizaciones con controles básicos ya implementados.
  • Nivel 2 con programa NIST SP 800-171 existente: 6-12 meses cubriendo remediación de brechas, recolección de evidencia y programación con C3PAO.
  • Nivel 2 comenzando desde cero: 12-18 meses o más, considerando implementación de controles, documentación, maduración de evidencia y disponibilidad de evaluadores.
  • Evaluación gubernamental de Nivel 3: El plazo depende de la programación DIBCAC y requiere primero el estado vigente de Nivel 2.

La disponibilidad de C3PAO añade tiempo a estos plazos. Según GAO-26-107955, la capacidad de los evaluadores es limitada, por lo que es importante la contratación temprana.

Consideraciones de costos

Los costos de evaluación dependen del tamaño de su entorno y la complejidad del alcance. Las categorías clave de costos incluyen honorarios de consultores y RPO para análisis de brechas y apoyo en remediación, honorarios de evaluación C3PAO (que varían según el tamaño y alcance de la organización), inversiones tecnológicas para controles aún no implementados y tiempo del personal interno para documentación y preparación de evidencia. 

Los subcontratistas más pequeños con un alcance CUI limitado gastarán menos que los contratistas principales grandes que gestionan entornos complejos y multisede. Considere estos costos en la planificación de su programa desde el principio para evitar sorpresas durante la respuesta a solicitudes. Con el presupuesto y el plazo considerados, las siguientes prácticas operativas le ayudarán a aprovechar ambos al máximo.

Mejores prácticas para usar una lista de verificación CMMC

Aprobar una evaluación CMMC requiere más que marcar casillas en una lista de verificación CMMC. Estas prácticas ayudan a los contratistas a construir la postura de cumplimiento CMMC sostenida que esperan los evaluadores.

Comience con el descubrimiento de CUI, no con la implementación de controles

Antes de desplegar un solo control de seguridad, identifique cada ubicación donde exista CUI. Las ubicaciones comunes incluyen:

  • Archivos de correo electrónico y plataformas de colaboración
  • Archivos de recursos humanos y documentación de proyectos
  • Documentos de proveedores y notas de reuniones
  • Unidades compartidas y almacenamiento en la nube

Mapee exactamente cómo ingresa el CUI a su entorno, por dónde circula, dónde se almacena y dónde sale. Este mapa de CUI impulsa su SSP y determina directamente el alcance de su evaluación. Si proveedores externos de servicios en la nube procesan CUI, deben cumplir con los requisitos de DFARS 252.204-7012(b)(2)(ii)(D).

Segmente su red antes de la evaluación

La segmentación adecuada es el principal mecanismo para reducir el alcance de su evaluación. Despliegue firewalls entre las redes internas y el internet. Utilice switches de enrutamiento para crear zonas que separen los entornos CUI de las redes empresariales generales y cifre todo el CUI que circule por internet. Las capacidades de aplicación de políticas y control de dispositivos de Singularity Platform pueden apoyar esta segmentación controlando el acceso de dispositivos periféricos a sistemas que manejan CUI.

Construya evidencia durante meses, no días

Establezca un repositorio estructurado de evidencia alineado con las familias de controles CMMC. Complételo de forma continua, no reactiva. La guía de evaluación de Nivel 2 requiere evidencia que demuestre que los controles operan de manera consistente en el tiempo, por lo que los registros de capacitación, muestras de registros de auditoría, resultados de escaneos de vulnerabilidades y documentación de ejercicios de respuesta a incidentes deben mostrar operación sostenida. Los evaluadores evalúan la madurez operativa, no solo la presencia técnica.

Prepare a su personal para entrevistas

El personal que no puede explicar sus responsabilidades de seguridad a los evaluadores es un punto de falla frecuentemente subestimado. Realice ensayos internos de entrevistas. Asegúrese de que cada persona en alcance pueda explicar qué hace, por qué lo hace y dónde está documentado.

Los evaluadores entrevistarán al personal en varios roles clave:

  • Destinatarios de capacitación en concienciación de seguridad
  • Administradores de capacitación en seguridad de la información
  • Miembros del equipo de respuesta a incidentes
  • Personal de monitoreo de auditoría y revisión de registros

La preparación en estos grupos genera confianza y reduce sorpresas durante la evaluación.

Haga cumplir los requisitos de transmisión a subcontratistas

Según un análisis de la cadena de suministro de NDIA, los requisitos de transmisión DFARS 252.204-7012 aplican "sin importar el nivel de posición en la cadena de suministro" para cualquier subcontratista que almacene, procese o genere CUI como parte del desempeño del contrato. Identifique todos los subcontratistas que manejarán CUI e incluya la transmisión de la cláusula CMMC en los acuerdos de subcontrato. Verifique que cada subcontratista tenga el estado CMMC apropiado en el nivel requerido. No transmita requisitos CMMC a subcontratistas que no manejarán CUI.

Aplicar estas prácticas de manera consistente construye la madurez operativa que buscan los evaluadores. Las herramientas de seguridad adecuadas pueden reducir aún más el esfuerzo manual necesario para mantener esa postura.

Ciberseguridad impulsada por la IA

Mejore su postura de seguridad con detección en tiempo real, respuesta a velocidad de máquina y visibilidad total de todo su entorno digital.

Demostración

Puntos clave

CMMC 2.0 es exigible ahora, con la Fase 1 activa desde el 10 de noviembre de 2025. Su lista de verificación CMMC debe cubrir delimitación de activos, documentación SSP, recolección de evidencia y mantenimiento continuo en las prácticas de Nivel 2. Los fallos más comunes son documentación que describe la intención en lugar de la realidad operativa, descubrimiento incompleto de CUI y recolección de evidencia reactiva. 

Comience la preparación para el cumplimiento CMMC mucho antes de necesitar la certificación, tenga en cuenta la capacidad limitada de C3PAO y construya una infraestructura de monitoreo que genere evidencia de certificación CMMC por diseño.

Preguntas frecuentes

Una lista de verificación CMMC es una herramienta estructurada que ayuda a los contratistas del DoD a realizar un seguimiento de la implementación y la recopilación de evidencias para cada práctica de ciberseguridad requerida bajo el marco de Certificación de Madurez de Ciberseguridad. Organiza las 17, 110 o 134 prácticas requeridas en cada nivel de CMMC en elementos accionables, abarcando el alcance de activos, documentación, implementación de controles y preparación para la evaluación. 

Utilizar una lista de verificación CMMC reduce el riesgo de omitir controles críticos o llegar a una evaluación de C3PAO sin la evidencia suficiente.

Una lista de verificación completa de CMMC abarca el inventario de activos y el alcance de CUI, los requisitos de documentación del Plan de Seguridad del Sistema (SSP), el estado de implementación de controles en todas las familias de prácticas aplicables de NIST SP 800-171, los requisitos de recopilación de evidencia por dominio (control de acceso, registros de auditoría, respuesta a incidentes, gestión de la configuración, entre otros), el seguimiento de POA&M para cualquier elemento pendiente y la preparación del personal para entrevistas con los evaluadores. 

En el Nivel 2, la lista de verificación se asigna a 110 prácticas en 14 dominios de seguridad. En el Nivel 3, se amplía a 134 prácticas que incorporan los requisitos de NIST SP 800-172.

Ninguna regulación exige que los contratistas utilicen un formato de lista de verificación específico. Sin embargo, el proceso de evaluación del DoD requiere que cada práctica dentro del alcance sea examinada, probada u observada por los evaluadores. Sin un enfoque sistemático de seguimiento, los contratistas suelen pasar por alto brechas de evidencia o documentar insuficientemente la implementación de controles. 

Según el Cyber AB CAP, una evaluación no puede proceder sin un SSP debidamente documentado, lo que hace que la preparación estructurada sea efectivamente obligatoria, incluso si el formato de la lista de verificación en sí no está prescrito.

El paquete principal de documentación para una evaluación CMMC Nivel 2 incluye: un Plan de Seguridad del Sistema que cubra todos los activos dentro del alcance, diagramas de red que muestren los flujos de datos CUI y los límites del sistema, listas de control de acceso y registros de autorización, registros de capacitación en concienciación sobre seguridad con fechas de finalización, documentación del plan de respuesta a incidentes y ejercicios, líneas base de configuración y registros de gestión de cambios, resultados de escaneos de vulnerabilidades y seguimiento de remediación, y cualquier elemento abierto de POA&M con fechas de hitos. 

Los evaluadores también realizarán entrevistas estructuradas al personal y pruebas técnicas prácticas, por lo que la documentación debe reflejar la realidad operativa, no el estado previsto.

Los plazos de preparación varían según los controles existentes, la madurez de la documentación y la cantidad de evidencia histórica que ya pueda presentar. Las organizaciones con programas de seguridad maduros y SSPs establecidos suelen avanzar más rápido, mientras que aquellas que comienzan desde cero deben esperar un proceso más largo. 

Todas las organizaciones deben considerar los períodos de recopilación de evidencia, revisiones internas de preparación y los tiempos de programación del C3PAO, que pueden añadir meses al cronograma general.

Su estado CMMC condicional puede expirar y es posible que deba someterse a una evaluación completamente nueva en lugar de simplemente reanudar donde lo dejó. Esto reinicia su cronograma e incrementa los costos. 

También puede descalificarlo de oportunidades contractuales activas que requieran un estado CMMC vigente. Planifique cuidadosamente los esfuerzos de remediación y asigne recursos para cerrar los elementos POA&M mucho antes de que se acerque la fecha límite.

Si un proveedor de servicios en la nube procesa, almacena o transmite CUI en su nombre, debe cumplir con los requisitos de seguridad establecidos en DFARS 252.204-7012(b)(2)(ii)(D). Esto normalmente significa autorización FedRAMP Moderate o equivalente. 

No documentar y validar el estado de cumplimiento de su proveedor de nube genera problemas de alcance durante la evaluación y puede resultar en hallazgos en contra de su organización, no solo del proveedor.

DFARS 252.204-7012 establece los requisitos fundamentales de ciberseguridad que los contratistas de defensa deben implementar, principalmente basados en NIST SP 800-171. CMMC añade una capa de verificación al requerir una evaluación independiente de esas implementaciones. 

Ambos trabajan en conjunto: DFARS define lo que debe hacer y CMMC confirma que realmente lo hizo. Antes de CMMC, los contratistas informaban el cumplimiento sin validación independiente.

Los subcontratistas que almacenan, procesan o generan CUI como parte del cumplimiento del contrato necesitan el estado CMMC apropiado al nivel especificado en el flujo contractual. 

Los contratistas principales son responsables de incluir cláusulas CMMC en los acuerdos de subcontrato y de verificar el estado del subcontratista. Los subcontratistas que solo manejan FCI o no interactúan con CUI no deben recibir requisitos CMMC innecesarios más allá de lo que exige el contrato.

Descubre más sobre Ciberseguridad

Ciberseguridad en el sector gubernamental: riesgos, mejores prácticas y marcos normativosCiberseguridad

Ciberseguridad en el sector gubernamental: riesgos, mejores prácticas y marcos normativos

Descubra qué riesgos y amenazas enfrentan las agencias y organismos gubernamentales en el ámbito de la ciberseguridad. También cubrimos las mejores prácticas para proteger los sistemas gubernamentales. Siga leyendo para obtener más información.

Seguir leyendo
¿Qué es la referencia directa insegura a objetos (IDOR)?Ciberseguridad

¿Qué es la referencia directa insegura a objetos (IDOR)?

La referencia directa insegura a objetos (IDOR) es una falla de control de acceso donde la ausencia de verificaciones de propiedad permite a los atacantes recuperar los datos de cualquier usuario al modificar un parámetro en la URL. Descubra cómo detectarla y prevenirla.

Seguir leyendo
Seguridad IT vs. OT: Diferencias clave y mejores prácticasCiberseguridad

Seguridad IT vs. OT: Diferencias clave y mejores prácticas

La seguridad IT vs. OT abarca dos dominios con perfiles de riesgo, mandatos de cumplimiento y prioridades operativas distintas. Conozca las diferencias clave y las mejores prácticas.

Seguir leyendo
¿Qué son las copias de seguridad air gapped? Ejemplos y mejores prácticasCiberseguridad

¿Qué son las copias de seguridad air gapped? Ejemplos y mejores prácticas

Las copias de seguridad air gapped mantienen al menos una copia de recuperación fuera del alcance de los atacantes. Descubra cómo funcionan, tipos, ejemplos y mejores prácticas para la recuperación ante ransomware.

Seguir leyendo
Experimente la plataforma de ciberseguridad más avanzada

Experimente la plataforma de ciberseguridad más avanzada

Vea cómo la plataforma de ciberseguridad más inteligente y autónoma del mundo puede proteger su organización hoy y en el futuro.

Demostración
  • Comenzar
  • Solicitar una demo
  • Recorrido por el producto
  • Por qué SentinelOne
  • Precios y Paquetes
  • FAQ
  • Contacto
  • Contacto
  • Soporte
  • SentinelOne Status
  • Idioma
  • Plataforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servicios
  • Wayfinder TDR
  • SentinelOne GO
  • Gestión técnica de cuentas
  • Servicios de apoyo
  • Industria
  • Energía
  • Administración Pública
  • Finanzas
  • Sanidad
  • Educación
  • Educación K-12
  • Fabricación
  • Comercio
  • Sector público estatal y local
  • Cybersecurity for SMB
  • Recursos
  • Blog
  • Labs
  • Videos
  • Recorrido por el producto
  • Events
  • Cybersecurity 101
  • eBooks
  • Libros blancos
  • Prensa
  • News
  • Glosario de Ransomware
  • Empresa
  • Quiénes somos
  • Nuestros clientes
  • Carreras
  • Partners
  • Legal & Compliance
  • Declaración de seguridad
  • S Foundation
  • S Ventures

©2026 SentinelOne, Todos los derechos reservados.

Confidencialidad Condiciones de uso

Español