// SERVICIOS DE CONSULTORÍA CMMC //

¿Cómo podemos ayudar a su organización con el cumplimiento de CMMC?


El enfoque de Empowered IT Solutions es apoyar a los contratistas y subcontratistas pequeños y medianos del Departamento de Defensa, con servicios de consultoría CMMC asequibles. Nuestros expertos en gestión de riesgo, cumplimiento y gobernanza de TI y certificados como CMMC profesionales lo guiarán para cumplir con los requisitos de certificación de CMMC.

Nuestro personal de profesionales certificados de CMMC (CCP) y practicantes registrados (RP) ayudarán a su equipo a través del proceso de CMMC para la certificación de CMMC por parte de una organización de evaluación de terceros certificada (C3PAO).

Servicios de CMMC

Empowered IT Solutions ha desarrollado un conjunto de servicios CMMC asequibles de diseño especial para los contratistas y subcontratistas pequeños y medianos del Departamento de Defensa, el conjunto de servicios CMMC incluye:

Servicios Flexibles y Asequibles para los Requisitos de CMMC

No importa qué nivel de soporte que necesite su organización, nos aseguraremos de que esté listo para la certificación CMMC. Nuestro equipo de profesionales certificados puede ayudarlo con un conjunto completo de servicios, que van desde la identificación de la confidencialidad de la información de CUI hasta el desarrollo del Análisis GAP y el plan de acciones y metas (POAM) y el plan de seguridad del sistema.

El modelo CMMC fue diseñado por la Oficina del Subsecretario de Defensa para Adquisición y Mantenimiento (OUSD A&S) en conjunto con la industria de seguridad de TI, para proteger la Información de Contratos Federales (FCI) y la Información Controlada No Clasificada (CUI) que comparten o crean los contratistas y subcontratista del Departamento de Defensa a través de programas de adquisición.

Si su empresa es parte de la cadena de suministro del Departamento de Defensa o planea serlo en un futuro cercano como contratista o subcontratista, debe tener la certificación CMMC.

Si su cadena de suministro tiene acceso a datos, sistemas o infraestructura de red de FCI o CUI, la responsabilidad de cumplir con los requisitos de CMMC también se extenderá a su cadena de suministro.

Lo primero que debe hacer como organización en busca de certificación (OSC) es averiguar qué tipo de información confidencial maneja, controla, almacena, transmite y elimina su empresa. Hay dos tipos de información confidencial, Información de Contrato Federal (FCI) e Información Controlada No Clasificada (CUI).

Los requisitos de CMMC de nivel 1 son para cualquier persona que reciba y maneje FCI, los requisitos básicos de seguridad para el nivel 1 se enumeran actualmente en el Reglamento Federal de Adquisiciones FAR 52.20421.

Los requisitos de CMMC de nivel 2 son para cualquier contratista o subcontratista que reciba y maneje CUI. Los requisitos de seguridad avanzados para el Nivel 2 son las 110 prácticas de NIST SP 800-171

Los requisitos de CMMC de nivel 3 son para cualquier contratista o subcontratista que reciba, genere y maneje información CUI confidencial crítica. El Departamento de Defensa estimó que tan solo 160 empresas entrarán en esta categoría. Los requisitos de seguridad mejorados para el Nivel 3 son las 110 prácticas de NIST SP 800-172 más 20 prácticas expertas adicionales.

El proceso para estar listo para una auditoría de CMMC puede demorar entre 6 y 14 meses, según la complejidad de su operación, el entorno de CUI y la gestión de manejo de CUI actual. Además, se requiere evaluar el nivel de seguridad para alinear los requisitos de seguridad y definir un Plan de Seguridad del Sistema personalizado. Por lo tanto, lo primero que debe hacer su empresa es comenzar lo antes posible y obtener el apoyo de un profesional certificado de CMMC (CCP) aprobado por el organismo de acreditación de CMMC.

Las principales actividades a realizar para estar listo para una Auditoría CMMC son las siguientes:

  • Definir el alcance de CMMC y el nivel de cumplimiento
  • Realizar una evaluación de control NIST SP 800 171
  • Efectuar una evaluación de riesgos de CMMC
  • Realizar un Análisis de Deficiencias y definir el Plan de Acción y Metas (POAM)
  • Desarrollar el Plan de Seguridad del Sistema
  • Documentar e implementar la corrección de los controles de seguridad basados ​​en el POAM
  • Supervisar el progreso de la eficacia de los controles de seguridad.
  • Preparar todos los documentos y sistemas para un C3PAO formal
  • Seleccione la empresa C3PAO para programar la Auditoría CMMC.