Los contratistas de defensa que se preparan para CMMC Nivel 2 necesitan más que una plantilla. Esto es lo que los evaluadores esperan en su Plan de Seguridad del Sistema, POA&M y paquetes de evidencia.
CMMC Nivel 2 ya no es opcional para los contratistas del Departamento de Defensa de EE.UU. Si manejas CUI (Información No Clasificada Controlada) y careces de certificación Nivel 2 para tu próxima renovación de contrato, quedas fuera del programa.
Los requisitos documentales son conocidos. Los subcontratistas pequeños subestiman la profundidad de lo que los evaluadores quieren ver.
Los evaluadores dedican la mayor parte de su tiempo a revisar tres artefactos:
Tu SSP no es un documento estratégico de alto nivel. Es una descripción detallada de todo tu entorno: cada sistema, cada frontera, cada implementación de control. Mis SSPs incluyen:
Un POA&M no es una confesión de fallas. Es un documento vivo que demuestra que sabes dónde están tus brechas y que las estás cerrando. Cada ítem del POA&M necesita:
Para cada control en tu SSP, necesitas evidencia. No capturas de pantalla de hace seis meses: evidencia actual, anotada, que coincida exactamente con tus declaraciones de implementación.
Mapeo controles entre marcos para que no dupliques trabajo. Una sola política de control de acceso puede satisfacer múltiples prácticas CMMC si se escribe con la estructura correcta.
Los grandes primes tienen equipos enteros de cumplimiento. Tú me tienes a mí — y eso es más rápido. Trabajo directamente con tu líder de TI, documento tu entorno real y te preparo para la evaluación en 4–6 semanas.
Agenda una llamada de preparación CMMC y revisaré tu documentación actual contra los 110 controles — sin compromiso.