Líder en el Cuadrante Mágico de Gartner® de 2025 para plataformas de protección de Endpoints.Líder en el Cuadrante Mágico™ de GartnerLeer el informe
¿Sufre una brecha de seguridad?Blog
ComenzarContacto
Header Navigation - ES
  • Plataforma
    Resumen de la plataforma
    • Singularity Platform
      Bienvenido a la Seguridad Empresarial Integrada
    • IA para la seguridad
      A la vanguardia en soluciones de seguridad impulsadas por IA
    • Protección de la IA
      Acelere la adopción de IA con herramientas, aplicaciones y agentes de IA seguros.
    • Cómo funciona
      La Diferencia de Singularity XDR
    • Marketplace de Singularity
      Integraciones con un solo clic para liberar la potencia de XDR
    • Precios y Paquetes
      Comparaciones y orientaciones de un vistazo
    Data & AI
    • Purple AI
      Acelerar las operaciones de seguridad con IA generativa
    • Singularity Hyperautomation
      Automatice fácilmente los procesos de seguridad
    • AI-SIEM
      AI SIEM para el SOC autónomo
    • AI Data Pipelines
      Canalización de datos de seguridad para AI SIEM y optimización de datos
    • Singularity Data Lake
      Potenciada por la IA, unificada por el lago de datos
    • Singularity Data Lake for Log Analytics
      Ingesta de datos sin fisuras desde entornos locales, en la nube o híbridos
    Endpoint Security
    • Singularity Endpoint
      Prevención, detección y respuesta autónomas
    • Singularity XDR
      Protección, detección y respuesta nativas y abiertas
    • Singularity RemoteOps Forensics
      Orquestación forense a escala
    • Singularity Threat Intelligence
      Información completa sobre el adversario
    • Singularity Vulnerability Management
      Detección de activos no autorizados
    • Singularity Identity
      Detección de amenazas y respuesta para la identidad
    Cloud Security
    • Singularity Cloud Security
      Bloquee los ataques con un CNAPP basado en IA
    • Singularity Cloud Native Security
      Asegurar la nube y los recursos de desarrollo
    • Singularity Cloud Workload Security
      Plataforma de protección de la carga de trabajo en la nube en tiempo real
    • Singularity Cloud Data Security
      Detección de amenazas mediante inteligencia artificial
    • Singularity Cloud Security Posture Management
      Detectar y corregir errores de configuración en la nube
    Protección de la IA
    • Prompt Security
      Proteger las herramientas de IA en toda la empresa
  • ¿Por qué SentinelOne?
    ¿Por qué SentinelOne?
    • ¿Por qué SentinelOne?
      Ciberseguridad pensada para el futuro
    • Nuestros clientes
      La confianza de las principales empresas del mundo
    • Reconocimiento industrial
      Probado y demostrado por los expertos
    • Quiénes somos
      Líder del sector en ciberseguridad autónoma
    Comparar SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trend Micro
    • Trellix
    • Wiz
    Industria
    • Energía
    • Administración Pública
    • Finanzas
    • Sanidad
    • Educación
    • Educación K-12
    • Fabricación
    • Comercio
    • Sector público estatal y local
  • Servicios
    Servicios gestionados
    • Visión General de Servicios Gestionados
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Experiencia de clase mundial e Inteligencia de Amenazas.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, preparación ante brechas & evaluaciones de compromiso.
    Asistencia y despliegue
    • Gestión técnica de cuentas
      Customer success con servicio personalizado
    • SentinelOne GO
      Asesoramiento guiado sobre incorporación y despliegue
    • SentinelOne University
      Formación en directo y a la carta
    • Panorama de los servicios
      Soluciones integrales para operaciones de seguridad sin interrupciones
    • SentinelOne Community
      Inicio de sesión en la comunidad
  • Partners
    Nuestra red
    • Socios MSSP
      Triunfe más rápido con SentinelOne
    • Marketplace de Singularity
      Extender la potencia de la tecnología S1
    • Socios de ciberriesgo
      Incorporar equipos de respuesta y asesoramiento profesional
    • Alianzas tecnológicas
      Soluciones integradas a escala empresarial
    • SentinelOne para AWS
      Alojado en regiones de AWS en todo el mundo
    • Socios de canal
      Aportar juntos las soluciones adecuadas
    • SentinelOne for Google Cloud
      Seguridad unificada y autónoma que brinda a los defensores una ventaja a escala global.
    Descripción general del programa →
  • Recursos
    Centro de recursos
    • Datasheets
    • eBooks
    • Videos
    • Libros blancos
    • Events
    Ver todos los recursos→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identity
    • Cloud
    • macOS
    • Blog de SentinelOne
    Blog→
    Recursos tecnológicos
    • SentinelLABS
    • Glosario de ransomware
    • Ciberseguridad 101
  • Quiénes somos
    Acerca SentinelOne
    • Acerca SentinelOne
      El líder de la industria en ciberseguridad
    • SentinelLABS
      Investigación de amenazas para el cazador de amenazas moderno
    • Carreras
      Las últimas oportunidades de trabajo
    • Prensa y noticias
      Anuncios de la empresa
    • Blog de ciberseguridad
      Las últimas amenazas a la ciberseguridad, noticias y más
    • FAQ
      Obtenga respuestas a las preguntas más frecuentes
    • DataSet
      La Plataforma de datos en vivo
    • S Foundation
      Asegurar un futuro más seguro para todos
    • S Ventures
      Invertir en la próxima generación de seguridad y datos
ComenzarContacto
Background image for ¿Qué es el cumplimiento CMMC? Definición, niveles y requisitos
Cybersecurity 101/Ciberseguridad/Cumplimiento CMMC

¿Qué es el cumplimiento CMMC? Definición, niveles y requisitos

El cumplimiento CMMC es el marco de certificación del DoD para proteger CUI y FCI a través de tres niveles de madurez. Conozca los 14 dominios de prácticas y el cronograma de implementación.

CS-101_Cybersecurity.svg
Tabla de contenidos
¿Qué es CMMC?
FCI vs. CUI: Lo que protege su nivel de certificación
A quién aplica el cumplimiento con CMMC
Cómo funciona el cumplimiento con CMMC: Regulaciones y consecuencias
El marco regulatorio
Vías de evaluación
Consecuencias del incumplimiento
Comprendiendo los niveles de madurez de CMMC 2.0
Nivel 1: Fundacional
Nivel 2: Avanzado
Nivel 3: Experto
Cronograma de implementación de CMMC
Requisitos de cumplimiento con CMMC: Los 14 dominios de práctica
Qué hace difícil el cumplimiento con CMMC
Errores comunes en la implementación del cumplimiento con CMMC
Mejores prácticas para el cumplimiento con CMMC
Puntos clave

Entradas relacionadas

  • Requisitos de seguridad del GDPR: Lista de verificación y guía de cumplimiento
  • ¿Qué es la estrategia de respaldo 3-2-1? Ejemplos y mejores prácticas
  • ¿Qué es el Modelo Purdue? Definición, niveles y mejores prácticas
  • ¿Qué es Secure Web Gateway (SWG)? Defensa de red explicada
Autor: SentinelOne | Revisor: Arijeet Ghatak
Actualizado: May 26, 2026

¿Qué es CMMC?

La Certificación del Modelo de Madurez en Ciberseguridad (CMMC) es el marco del Departamento de Defensa para verificar que los contratistas realmente protegen la información sensible. A nivel de programa, la Regla Final del Programa CMMC establece el propósito de CMMC: salvaguardar la Información Controlada No Clasificada (CUI) y la Información de Contrato Federal (FCI) que usted procesa, almacena o transmite durante la ejecución de contratos del DoD. Según DFARS 204.7500, CMMC es "un marco para evaluar las protecciones de seguridad de la información de un contratista" que prescribe políticas y procedimientos para incluir requisitos de nivel de certificación en los contratos del DoD. CMMC 2.0 simplificó el modelo original de cinco niveles en tres niveles, y la Regla Final documenta esa estructura actualizada.

Antes de CMMC, los contratistas auto-certificaban el cumplimiento con NIST SP 800-171 con una verificación externa limitada. Si usted presentaba un puntaje inflado en el Supplier Performance Risk System (SPRS) y una auditoría encontraba un puntaje real profundamente negativo, podría desencadenar un problema bajo la Ley de Reclamaciones Falsas, no solo un fallo de cumplimiento. Esa es la razón operativa por la que existe CMMC: el DoD ya no confía en la auto-certificación cuando está involucrada la CUI.

Los incidentes en la cadena de suministro dejaron más claros los riesgos. En 2022, atacantes golpearon a Viasat con un ataque destructivo de wiper contra su red satelital KA-SAT, interrumpiendo las comunicaciones de decenas de miles de clientes en Europa y Ucrania, según el informe de SentinelLabs. En 2020, el compromiso de la cadena de suministro de SolarWinds alcanzó hasta 18,000 clientes, según la alerta de CISA. Cuando su entorno interactúa con programas del DoD, CMMC le exige demostrar que puede proteger la CUI, no solo afirmar que lo hace.

FCI vs. CUI: Lo que protege su nivel de certificación

El cumplimiento con CMMC conecta la documentación de controles con pruebas verificables de que funcionan en su entorno. CMMC aplica un modelo de certificación de aprobado/reprobado. Usted debe demostrar la operación de los controles mediante evidencia verificable, o no recibe la certificación. Dos categorías de información determinan sus requisitos:

  • Información de Contrato Federal (FCI): El Gobierno proporciona o genera esta información para su trabajo contractual, y no está destinada a ser divulgada públicamente. Usted la protege con salvaguardas básicas según FAR 52.204-21.
  • Información Controlada No Clasificada (CUI): Las leyes o políticas gubernamentales requieren la protección de esta información. Usted la protege alineándose con NIST SP 800-171.

Esa distinción determina cómo delimita los sistemas, elige un nivel objetivo y construye su plan de evidencia. El ISOO de los Archivos Nacionales aclara la jerarquía en la guía ISOO: "Toda la CUI en posesión de un contratista del Gobierno es FCI, pero no toda la FCI es CUI." Si clasifica sus datos correctamente, puede delimitar correctamente, y la delimitación es donde comienzan la mayoría de los resultados de CMMC.

A continuación, confirme si CMMC aplica a sus contratos y su rol en la cadena de suministro.

A quién aplica el cumplimiento con CMMC

CMMC aplica si usted es un contratista o subcontratista en la Base Industrial de Defensa y maneja FCI o CUI durante la ejecución de contratos del DoD. El nivel requerido depende de la sensibilidad de la información que maneja y de dónde fluye esa información.

  • Nivel 1 (Fundacional): Usted maneja solo FCI, sin CUI involucrada. Esto suele corresponder a funciones de soporte básico donde la CUI nunca ingresa a sus sistemas.
  • Nivel 2 (Avanzado): Usted maneja CUI como datos técnicos, especificaciones de ingeniería, información sensible de adquisiciones o documentos de diseño. Verá este nivel cuando la CUI fluya a través de la cadena de suministro, cuando ejecute programas de I+D con resultados marcados como CUI, o cuando brinde servicios de TI que mantengan sistemas que contienen CUI.
  • Nivel 3 (Experto): Usted gestiona CUI dentro de los programas de máxima prioridad del DoD, donde un compromiso crearía una ventaja significativa para un adversario o donde el impacto en la misión y la agregación aumentan su perfil de riesgo.

Los niveles de CMMC son acumulativos: cuando apunta a un nivel superior, también cumple con los requisitos de los niveles inferiores, y la Regla Final del Programa CMMC define esa estructura.

Una vez que conoce su nivel, puede mapearlo a las cláusulas, evaluaciones y consecuencias que determinan la elegibilidad.

Cómo funciona el cumplimiento con CMMC: Regulaciones y consecuencias

CMMC es vinculante a través del lenguaje contractual, no por adopción voluntaria. Dos regulaciones federales le otorgan fuerza legal, y no cumplirlas tiene consecuencias que van más allá de una auditoría fallida. Comprender la estructura regulatoria, su vía de evaluación y el costo real de no cumplir es la base para delimitar correctamente su trabajo de preparación.

El marco regulatorio

Dos cláusulas de DFARS incorporan CMMC en sus contratos.

  • La cláusula DFARS 252.204-7021 requiere que usted "tenga y mantenga durante la vigencia del contrato un estado CMMC actual en el siguiente nivel CMMC, o superior."
  • La disposición DFARS 252.204-7025 requiere que publique los resultados de la evaluación en SPRS antes de la adjudicación e identifique los sistemas que procesarán FCI o CUI.

Estas cláusulas son las que convierten a CMMC de una guía en un criterio de acceso contractual.

Vías de evaluación

Las vías de evaluación varían según el nivel y la licitación. También debe proporcionar una afirmación anual de cumplimiento continuo, y la oficina del programa del DoD determina si su contrato de Nivel 2 requiere autoevaluación o certificación por C3PAO.

Dos detalles operativos suelen determinar lo que sucede en la práctica:

  • El Nivel 2 requiere 110 requisitos de NIST SP 800-171, según lo definido en NIST SP 800-171.
  • Bajo la vía condicional, el Nivel 2 permite Planes de Acción y Hitos (POA&Ms) limitados cuando cumple con el umbral mínimo de implementación del programa, y las definiciones de DFARS 204.7501 documentan los términos de estado CMMC.

Cuando se permiten POA&Ms, aún tiene un plazo estricto. El estado condicional es limitado en el tiempo, según las mismas definiciones de DFARS 204.7501.

Consecuencias del incumplimiento

No mantener el estado CMMC requerido conlleva consecuencias en tres dimensiones: elegibilidad contractual, exposición legal y continuidad operativa.

  • La inelegibilidad contractual es estructural, no discrecional. Si no posee el estado CMMC requerido, no puede ganar una adjudicación ni continuar la ejecución donde el contrato exige ese estado.
  • La exposición a la Ley de Reclamaciones Falsas se convierte en su mayor riesgo legal cuando representa cumplimiento para elegibilidad, adjudicación o pago pero no puede respaldarlo con evidencia.
  • La terminación del contrato y otros remedios pueden seguir si su estado condicional expira y aún no puede mantener el estado necesario para continuar la ejecución.

Las consecuencias regulatorias son intencionalmente severas. El DoD diseñó CMMC para que la auto-certificación inexacta sea lo suficientemente costosa como para que los contratistas traten la recolección de evidencia como un requisito operativo continuo, no como una carrera previa a la evaluación.

Ahora que comprende la mecánica, puede traducir su nivel requerido en las expectativas de madurez que los evaluadores validarán.

Comprendiendo los niveles de madurez de CMMC 2.0

Su nivel requerido se determina por el tipo de información que maneja y los programas que apoya. Cada nivel se construye sobre el anterior, por lo que una certificación superior implica que también ha cumplido todo lo exigido en los niveles inferiores. Esto es lo que exige cada nivel en la práctica.

Nivel 1: Fundacional

Si solo maneja FCI, el Nivel 1 se alinea con la protección básica de FAR 52.204-21. Las 17 prácticas de este nivel cubren la higiene básica: limitar el acceso al sistema a usuarios autorizados, filtrar a las personas antes del acceso, mantener la seguridad física en espacios relevantes para la CUI y asegurar que los sistemas puedan ser auditados y recuperados. Usted completa una autoevaluación anual y no puede usar POA&Ms en este nivel. La autoevaluación es firmada por un alto directivo de la empresa, lo que crea responsabilidad directa por la representación.

Nivel 2: Avanzado

Si maneja CUI, el Nivel 2 se mapea directamente a NIST SP 800-171 Rev. 2 y requiere evidencia de que los 110 controles están implementados y operando en 14 dominios de práctica. Dependiendo de su licitación, puede cumplir esto mediante autoevaluación o evaluación de terceros por C3PAO; la oficina del programa del DoD determina qué vía aplica. El Nivel 2 también requiere mantener un Plan de Seguridad del Sistema (SSP) que documente cómo se implementa cada control en su entorno.

Nivel 3: Experto

Si apoya programas de máxima prioridad, el Nivel 3 apunta a la defensa contra amenazas persistentes avanzadas y se basa en el Nivel 2 con requisitos mejorados tomados de un subconjunto de NIST SP 800-172. Los evaluadores gubernamentales de la Defense Contract Management Agency realizan directamente las evaluaciones de Nivel 3. Este nivel está reservado para contratistas que trabajan con CUI en programas donde el acceso de un adversario crearía un riesgo significativo para la seguridad nacional.

Una vez que conoce su nivel, necesita saber cuándo aplica a sus contratos.

Cronograma de implementación de CMMC

La Regla Final del Programa CMMC entró en vigor el 16 de diciembre de 2024 y utiliza un despliegue en cuatro fases para incorporar los requisitos en los contratos del DoD durante tres años. No hay un solo cambio que active todos los contratos a la vez: el DoD introduce el lenguaje de CMMC por tipo de licitación y nivel.

  • Fase 1 (Vigente desde el 16 de diciembre de 2024): El DoD puede incluir requisitos de autoevaluación de Nivel 1 o Nivel 2 en las licitaciones. Si su contrato ya incluye lenguaje de CMMC, debe completar su autoevaluación, publicar los resultados en SPRS y proporcionar una afirmación anual antes de la adjudicación o como condición contractual. Esta fase ya está activa.
  • Fase 2 (Aproximadamente desde diciembre de 2025): El DoD puede requerir evaluaciones de terceros por C3PAO de Nivel 2 en las licitaciones. Los contratos que antes permitían autoevaluación pueden pasar a requerir certificación independiente. Confirme la vía de evaluación de su contrato a medida que las licitaciones de la Fase 2 lleguen al mercado, ya que los tiempos de programación de C3PAO pueden reducir su ventana.
  • Fase 3 (Aproximadamente desde diciembre de 2026): El DoD puede incluir requisitos de Nivel 3. Si apoya programas de alta prioridad, comience a prepararse para el Nivel 3 ahora. La programación de evaluadores gubernamentales a través de DCMA opera con largos plazos de anticipación.
  • Fase 4 (Aproximadamente desde diciembre de 2027): Implementación total. El DoD puede aplicar requisitos de CMMC en todos los contratos aplicables. Ninguna licitación que involucre CUI estará exenta.

La implicación práctica: si su contrato incluye lenguaje de CMMC, su cronograma ya está activo. Si no lo incluye, consulte con su oficial de contratos y contratista principal antes de su próximo año de opción o licitación. Las incorporaciones por fases pueden afectar contratos en ejecución, no solo nuevas adjudicaciones.

Con el cronograma claro, puede mapear su nivel requerido a los controles específicos que los evaluadores validarán.

Requisitos de cumplimiento con CMMC: Los 14 dominios de práctica

Para el Nivel 2, los 110 requisitos de NIST SP 800-171 se distribuyen en 14 dominios de práctica. Los evaluadores examinarán, entrevistarán y probarán controles en cada uno. Comprender lo que exige cada dominio le ayuda a delimitar la evidencia correctamente antes de comenzar el trabajo de preparación.

Identidad, acceso y personal

  • Control de Acceso: Limite el acceso al sistema a usuarios y procesos autorizados. Los artefactos requeridos incluyen cuentas de usuario documentadas, asignaciones de roles, controles de sesión y prácticas de control de acceso para acceso remoto.
  • Identificación y Autenticación: Verifique la identidad antes de conceder acceso. Autenticación multifactor, políticas de contraseñas y controles de cuentas privilegiadas son puntos comunes de evaluación.
  • Seguridad de Personal: Filtre a las personas antes de conceder acceso a sistemas con CUI y gestione los riesgos de seguridad durante y después del empleo. Las listas de verificación de terminación y los procesos de verificación de antecedentes se incluyen aquí.

Registro, monitoreo e integridad

  • Auditoría y Responsabilidad: Registre la actividad de los usuarios y eventos del sistema, proteja esos registros y reténgalos para su revisión. Su configuración de retención de registros SIEM y la política de retención son artefactos centrales.
  • Integridad del Sistema y la Información: Aborde fallas del sistema, proteja contra código malicioso y monitoree alertas de seguridad. La configuración de protección de endpoints y los registros de gestión de parches son solicitudes comunes de evidencia.

Configuración y mantenimiento

  • Gestión de Configuración: Establezca y haga cumplir configuraciones seguras para sistemas que manejan CUI. Los lineamientos base, registros de control de cambios e inventario de software cumplen este dominio.
  • Mantenimiento: Controle las actividades de mantenimiento en sistemas que procesan CUI, especialmente sesiones remotas. Registre toda la actividad de mantenimiento y restrinja quién puede realizarla.

Protección de datos y física

  • Protección de Medios: Controle cómo se almacena, transporta y destruye la CUI en medios físicos y digitales. Se requieren políticas para la sanitización, eliminación y uso de medios removibles.
  • Protección Física: Limite el acceso físico a sistemas y entornos donde se procesa la CUI. Los registros de visitantes, registros de acceso con credencial y políticas de seguridad física cumplen este dominio.

Riesgo, evaluación y capacitación

  • Evaluación de Riesgos: Evalúe periódicamente el riesgo operativo derivado del uso de sistemas con CUI. Se espera un proceso de evaluación de riesgos documentado con resultados y seguimiento de remediación.
  • Evaluación de Seguridad: Evalúe sus controles periódicamente, mantenga planes de acción y monitoree la seguridad de forma continua. Su SSP y el proceso de POA&M respaldan directamente este dominio.
  • Concienciación y Capacitación: Capacite al personal sobre responsabilidades de seguridad y riesgos específicos de su rol. Los evaluadores esperan registros de capacitación, seguimiento de finalización y evidencia de contenido basado en roles.

Comunicaciones y respuesta a incidentes

  • Protección de Sistemas y Comunicaciones: Monitoree, controle y proteja los datos transmitidos a través de sus sistemas. Segmentación de red, cifrado en tránsito y controles de protección perimetral son artefactos clave.
  • Respuesta a Incidentes: Construya, pruebe y documente su capacidad para detectar, contener y recuperarse de incidentes. Los evaluadores quieren un plan documentado, evidencia de pruebas y registros posteriores a la acción. Su documentación de planificación de respuesta a incidentes y artefactos de pruebas son un enfoque principal de evaluación en este dominio.

Con los requisitos de dominio mapeados, puede planificar los puntos de fricción que más comúnmente dificultan la preparación.

Qué hace difícil el cumplimiento con CMMC

El modelo basado en evidencia de CMMC es sencillo en principio pero exigente en la práctica. La mayoría de los equipos que tienen dificultades con la preparación no fallan por brechas técnicas exóticas; fallan por barreras estructurales que requieren inversión y coordinación sostenidas para superarlas. Estos son los cuatro puntos de fricción que aparecen con mayor frecuencia.

  • Carga de costos (especialmente para pequeñas empresas). Si está en una etapa temprana de madurez en seguridad, puede necesitar cambios en herramientas, documentación y flujos de trabajo de evidencia sostenidos que requieren una inversión significativa.
  • Operacionalización de la evidencia. Si no puede producir registros, tickets, configuraciones y pruebas de controles consistentes a lo largo del tiempo, tendrá dificultades para aprobar.
  • Dependencias de proveedores de nube. Si sus proveedores de nube manejan CUI, su estado de autorización y el límite de responsabilidad compartida pueden bloquear su certificación.
  • Complejidad en la delimitación. Una delimitación excesiva incluye sistemas innecesarios en la evaluación; una delimitación insuficiente omite flujos reales de CUI.

Ninguna de estas barreras es insuperable, pero todas requieren tiempo de planificación que no puede recuperar si comienza tarde. Iniciar su evaluación de brechas y SSP temprano es la forma más confiable de evitar que los desafíos estructurales se conviertan en riesgos de elegibilidad.

Errores comunes en la implementación del cumplimiento con CMMC

La mayoría de los fallos provienen de una coordinación débil o documentación obsoleta, no solo de brechas en los controles. Estos son los errores que con mayor frecuencia dificultan las evaluaciones:

  • La trampa de "solo políticas". Si muestra políticas sin artefactos que prueben la operación de los controles, no cumplirá con una evaluación basada en evidencia.
  • Recolección de evidencia a último minuto. Si corre por capturas de pantalla justo antes de la evaluación, demuestra inmadurez y debilita la confianza en su SSP.
  • Tratar los POA&Ms como un plan. Si trata los POA&Ms como su estrategia, corre el riesgo de perder el estado condicional en lugar de cerrar brechas reales de control.
  • Usar el mismo C3PAO para preparación y certificación. Si contrata un C3PAO para apoyo en la preparación, no puede usar la misma organización para la evaluación de certificación.

El hilo común en todos estos casos es el tiempo. Los equipos que tratan la preparación para CMMC como un programa operativo permanente y no como un esfuerzo previo a la evaluación evitan todos los puntos de esta lista. Las mejores prácticas a continuación muestran cómo estructurar ese programa fase por fase.

Mejores prácticas para el cumplimiento con CMMC

La preparación para CMMC no es un proyecto con una meta final: es un programa operativo que se ejecuta de forma continua. Las cinco fases a continuación le ofrecen una forma estructurada de construir ese programa, desde la evaluación inicial de brechas hasta la capacitación del personal que determina si su equipo aprueba la parte de entrevistas de una evaluación.

  • Fase 1: Evalúe su postura actual. Realice una evaluación de brechas contra NIST SP 800-171 y revise cada contrato y licitación para confirmar el nivel de CMMC que necesita. Si utiliza servicios en la nube, valide el estado de autorización y las responsabilidades compartidas desde el principio. Inicie su SSP desde el comienzo, no como un entregable posterior a la evaluación.
  • Fase 2: Construya un equipo de preparación multifuncional. Necesita liderazgo para afirmaciones y recursos, TI para la implementación técnica y responsables de cumplimiento para la documentación y flujos de evidencia. Asigne responsables nombrados a cada dominio de control y haga que la rendición de cuentas sea recurrente, no ad hoc.
  • Fase 3: Implemente la recolección continua de evidencia. Trate su SSP como un documento vivo, no como un entregable previo a la auditoría. Construya flujos de retención para los artefactos que esperan los evaluadores y confirme cómo su configuración de retención de registros SIEM respalda su historia de evidencia.
  • Fase 4: Delimite con precisión. Documente los flujos y límites de la CUI con exactitud. Una delimitación precisa reduce costos y enfoca sus controles donde más importan.
  • Fase 5: Capacite al personal en los controles documentados. Los evaluadores examinarán, entrevistarán y probarán. Su personal debe poder explicar cómo operan los controles en la práctica, especialmente en torno al acceso de menor privilegio y la gestión de incidentes, porque la documentación por sí sola no aprueba la parte de entrevistas.

Una vez que tenga disciplina de procesos, puede mapear herramientas a las expectativas de evidencia sin intentar encubrir brechas.

Ciberseguridad impulsada por la IA

Mejore su postura de seguridad con detección en tiempo real, respuesta a velocidad de máquina y visibilidad total de todo su entorno digital.

Demostración

Puntos clave

Si maneja FCI o CUI del DoD, CMMC es el marco vinculante para verificar su postura de ciberseguridad mediante certificación basada en evidencia, no auto-certificación. 

Tendrá éxito cuando construya una recolección continua de evidencia, delimite con precisión, gestione la preparación como un programa multifuncional y utilice herramientas que produzcan los artefactos operativos que exigen las evaluaciones de CMMC.

Preguntas frecuentes

El cumplimiento con CMMC significa que un contratista o subcontratista del DoD ha cumplido con los requisitos de ciberseguridad vinculados a su nivel específico de certificación, ya sea mediante autoevaluación o certificación de terceros, y mantiene ese estado durante la vigencia de su contrato. 

El cumplimiento no es un evento único: requiere una afirmación anual, recopilación continua de evidencia y un Plan de Seguridad del Sistema actualizado. Si su estado de CMMC caduca o no puede ser verificado, no es elegible para obtener o continuar la ejecución de contratos del DoD que involucren FCI o CUI.

Si su entorno evaluado solo maneja FCI, el Nivel 1 se centra en la protección básica alineada con FAR 52.204-21, y normalmente se cumple mediante una autoevaluación anual respaldada por artefactos sencillos como listas de cuentas, registros de capacitación y configuraciones. 

Si el CUI entra en el alcance, el Nivel 2 requiere que implemente los 110 requisitos de NIST SP 800-171, mantenga un SSP y produzca evidencia objetiva de que los controles funcionan. Su contrato determina si la evaluación es propia o de un tercero.

No debe tratar los POA&Ms como su estrategia. Cuando el programa permite POA&Ms, solo puede utilizarlos bajo condiciones específicas y, por lo general, solo para brechas limitadas después de cumplir con el umbral mínimo de implementación del programa. 

Aún debe documentar cada brecha en su SSP, mostrar un plan de remediación financiado y con plazos definidos, y mantener artefactos de seguimiento como tickets, cambios de configuración y resultados de validación. Si no cumple con el plazo condicional, puede perder el estado y la elegibilidad.

Si su proveedor de nube procesa, almacena o transmite CUI para su trabajo contractual, puede encontrar un obstáculo importante durante la preparación. Necesita que la postura de autorización del proveedor esté alineada con las expectativas del DoD y un modelo claro de responsabilidad compartida para controles como registros, revisiones de acceso y gestión de incidentes. 

Si el proveedor no puede cumplir con esas expectativas, puede ser necesario rediseñar el alcance o migrar las cargas de trabajo.

Cuando firma una afirmación anual, asocia su nombre a una declaración de cumplimiento que puede estar vinculada a la elegibilidad, adjudicación o pago del contrato. Si su organización no puede respaldar esa declaración con evidencia, puede generar exposición bajo la Ley de Reclamos Falsos. 

Se protege manteniendo su SSP actualizado, la evidencia al día y asegurando que la dirección revise el alcance y el riesgo antes de firmar.

Debe esperar que los requisitos de protección de CUI sigan estandarizándose en el trabajo federal, incluso cuando el lenguaje contractual difiera según la agencia. Si operacionaliza controles alineados con NIST SP 800-171 ahora, reduce el retrabajo después porque ya ejecuta los procesos que los auditores buscan: manejo de datos acotado, gobernanza de acceso, retención de registros y respuesta a incidentes repetible. 

CMMC formaliza esos requisitos para el DoD, pero la disciplina de control se transfiere bien a otros programas federales.

Descubre más sobre Ciberseguridad

¿Qué es la inyección de comandos del sistema operativo? Explotación, impacto y defensaCiberseguridad

¿Qué es la inyección de comandos del sistema operativo? Explotación, impacto y defensa

La inyección de comandos del sistema operativo (CWE-78) permite a los atacantes ejecutar comandos arbitrarios mediante entradas no saneadas. Conozca técnicas de explotación, CVE reales y defensas.

Seguir leyendo
Estadísticas de malwareCiberseguridad

Estadísticas de malware

Conozca las estadísticas más recientes de malware para 2026 en los ámbitos de la nube y la ciberseguridad. Vea a qué se enfrentan las organizaciones, prepárese para sus próximas inversiones y más.

Seguir leyendo
Estadísticas de filtraciones de datosCiberseguridad

Estadísticas de filtraciones de datos

Consulta las últimas estadísticas de filtraciones de datos en 2026 para ver a qué se enfrentan las empresas. Descubre cómo los actores de amenazas provocan filtraciones de datos, a quiénes están atacando y más detalles.

Seguir leyendo
Estadísticas de ataques DDoSCiberseguridad

Estadísticas de ataques DDoS

Los ataques DDoS son cada vez más frecuentes, breves y difíciles de ignorar. Nuestra publicación sobre estadísticas de ataques DDoS le muestra quiénes están siendo atacados actualmente, cómo se desarrollan las campañas y más.

Seguir leyendo
Experimente la plataforma de ciberseguridad más avanzada

Experimente la plataforma de ciberseguridad más avanzada

Vea cómo la plataforma de ciberseguridad más inteligente y autónoma del mundo puede proteger su organización hoy y en el futuro.

Demostración
  • Comenzar
  • Solicitar una demo
  • Recorrido por el producto
  • Por qué SentinelOne
  • Precios y Paquetes
  • FAQ
  • Contacto
  • Contacto
  • Soporte
  • SentinelOne Status
  • Idioma
  • Plataforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servicios
  • Wayfinder TDR
  • SentinelOne GO
  • Gestión técnica de cuentas
  • Servicios de apoyo
  • Industria
  • Energía
  • Administración Pública
  • Finanzas
  • Sanidad
  • Educación
  • Educación K-12
  • Fabricación
  • Comercio
  • Sector público estatal y local
  • Cybersecurity for SMB
  • Recursos
  • Blog
  • Labs
  • Videos
  • Recorrido por el producto
  • Events
  • Cybersecurity 101
  • eBooks
  • Libros blancos
  • Prensa
  • News
  • Glosario de Ransomware
  • Empresa
  • Quiénes somos
  • Nuestros clientes
  • Carreras
  • Partners
  • Legal & Compliance
  • Declaración de seguridad
  • S Foundation
  • S Ventures

©2026 SentinelOne, Todos los derechos reservados.

Confidencialidad Condiciones de uso

Español