Insider Risk Management Data Protection

Cómo abordar la información no clasificada controlada (CUI) con su programa de riesgos internos

by Beth Miller

oct. 23, 2025

Key Points

El CMMC está diseñado para salvaguardar la Información No Clasificada Controlada (CUI), exigiendo a los contratistas de defensa y a sus subcontratistas que implementen fuertes controles de ciberseguridad.
Los programas de riesgos internos ayudan a detectar y prevenir el acceso no autorizado a la CUI, fomentando la concienciación sobre la seguridad y la detección proactiva de amenazas para cumplir los requisitos de la CMMC.
El cumplimiento de la CMMC requiere una evaluación, formación y supervisión continuas de todos los contratistas y subcontratistas para garantizar una protección CUI coherente.

En este artículo profundizamos en la información no clasificada controlada (CUI), uno de los principales tipos de datos que la CMMC está diseñada para proteger.

¿Qué es la información no clasificada controlada (CUI)?

La guía CMMC define la información no clasificada controlada (CUI, por sus siglas en inglés) como "información que requiere controles de salvaguarda o difusión de conformidad con las leyes, reglamentos y políticas de todo el gobierno y en consonancia con ellas, excluida la información clasificada en virtud de la Orden Ejecutiva 13526, Información clasificada de seguridad nacional, de 29 de diciembre de 2009, o cualquier orden predecesora o sucesora, o la Ley de Energía Atómica de 1954, en su versión modificada".

Es importante tener en cuenta que, aunque la CUI no está clasificada ni regulada a nivel federal, sigue considerándose sensible para los intereses gubernamentales y militares de Estados Unidos. Como tal, el CMMC exige que se establezcan controles sobre la CUI para su adecuada salvaguarda y difusión.

¿Cuáles son algunos ejemplos de CUI?

El CUI se divide en categorías. La CUI puede variar en cuanto a niveles de sensibilidad, pero todas requieren el mismo nivel de salvaguarda.

Ejemplos de CUI son:

Datos y análisis de defensa
Planes de infraestructuras críticas
Controles de importación y exportación
Actividades policiales y de inteligencia
Investigación financiada con fondos federales e información sobre proyectos

¿Existen otros tipos de información que deban ser protegidos por el CMMC?

Sí, la información sobre contratos federales (FCI) también está destinada a ser protegida por el CMMC. La guía CMMC define la FCI como "información proporcionada o generada para el Gobierno bajo contrato no destinada a la divulgación pública".

El nivel 1 del CMMC aborda los requisitos para proteger las ICC. Sin embargo, puede haber solapamientos entre lo que es CUI y FCI con información potencialmente clasificada como ambos tipos de información, lo que exige que los contratistas cumplan los requisitos de los niveles 2 y 3 del CMMC.

¿Cómo ayuda un programa de riesgos internos a salvaguardar la CUI?

La seguridad de la información sensible compartida con los contratistas o gestionada por ellos es un punto central de cualquier programa de riesgos internos. Con los requisitos CMMC, este enfoque se centra en la protección de la CUI y la FCI. El marco CMMC no aborda específicamente el riesgo de información privilegiada en un único ámbito. En su lugar, los requisitos y controles del programa de Riesgo de Información Privilegiada se extienden a través de múltiples dominios de la CMMC.

Un programa eficaz de riesgos internos ayuda a las organizaciones a detectar, responder y prevenir el acceso no autorizado o el intercambio de CUI, ya sea intencionado o accidental. Al integrar la concienciación sobre la seguridad entre empleados, subcontratistas y proveedores, las organizaciones pueden reducir la exposición a la pérdida de datos internos y mantener el cumplimiento de los requisitos de ciberseguridad de la base industrial de defensa (DIB).

Evaluaciones CUI y CMMC

Las evaluaciones CMMC son un proceso formal diseñado para verificar si una organización que maneja CUI o FCI ha implementado controles de ciberseguridad adecuados. Estas evaluaciones miden el cumplimiento de marcos como el NIST SP 800-171 y el DFARS 252.204-7012, que establecen los requisitos básicos para proteger la información controlada.

Durante una evaluación, los evaluadores externos revisan los sistemas, los procesos y la documentación de una organización, incluidas las políticas, la formación y las medidas de respuesta ante incidentes. A continuación, los resultados se cargan en el Sistema de Riesgo de Rendimiento del Proveedor (SPRS), donde las puntuaciones de cumplimiento ayudan a determinar la elegibilidad para futuras adjudicaciones de contratos dentro de la cadena de suministro de defensa.

Las organizaciones pueden encontrar orientación adicional a través de sitios web oficiales como:

El Cyber AB (organismo oficial de acreditación del CMMC)
La página web del CMMC del Departamento de Defensa (DoD)
El Registro CUI del NIST

Estos sitios proporcionan la información más actualizada sobre los hitos de la certificación, las actualizaciones de las políticas y las organizaciones de evaluación reconocidas.

Cómo ayudan los subcontratistas y los empleados a mantener el cumplimiento de la normativa

El cumplimiento del CMMC no se detiene en el nivel del contratista principal. Los subcontratistas que procesen o almacenen CUI también deben cumplir los mismos requisitos de protección y ciberseguridad. Garantizar que todos los eslabones de la cadena de suministro cumplen estas obligaciones es fundamental para lograr el pleno cumplimiento.

Esto requiere una formación continua de concienciación, supervisión y elaboración de informes para garantizar que todos los empleados y subcontratistas comprenden su papel en la salvaguarda de la CUI. Unos canales de comunicación claros y unas estructuras de rendición de cuentas refuerzan una cultura de protección que se ajusta a los principios del CMMC.

Un programa de Riesgo Interno puede apoyar aún más este objetivo promoviendo comportamientos responsables en el manejo de datos y permitiendo la detección temprana de posibles amenazas internas antes de que afecten al cumplimiento o a la elegibilidad de los contratos.

Lo esencial

La protección de la Información No Clasificada Controlada representa una responsabilidad fundamental para cada organización dentro de la base industrial de defensa. Aunque la CUI puede no llevar una designación clasificada, su sensibilidad para los intereses gubernamentales y militares de EE.UU. exige la misma salvaguarda rigurosa que otros tipos de datos más restringidos. Mediante la implementación de programas integrales de Riesgo Interno y el mantenimiento de sólidos marcos de ciberseguridad, las organizaciones garantizan que la CUI permanezca protegida en todos los puntos de contacto, desde la recepción inicial por parte del contratista, pasando por la manipulación por parte del subcontratista, hasta su eventual eliminación.

A medida que los requisitos CMMC sigan madurando, la atención a la protección de la CUI no hará sino intensificarse. Las organizaciones que destacan en la identificación, el seguimiento y la protección de la CUI en todas sus operaciones -y en toda su cadena de suministro- se posicionan como socios de confianza en el ecosistema de defensa. Esto significa ir más allá del cumplimiento básico para crear una cultura en la que cada empleado, contratista y sistema trate la CUI con la vigilancia que merece.

La plataforma de Human Risk Management de Mimecast ayuda a las organizaciones a mantener una visibilidad continua sobre la manipulación y el movimiento de CUI, lo que permite la detección proactiva de posibles riesgos de exposición antes de que comprometan su estado de cumplimiento de las CMMC. Al automatizar la supervisión de la CUI y proporcionar alertas en tiempo real sobre las infracciones de las políticas, puede demostrar a los asesores y socios gubernamentales que sus medidas de protección de la CUI superan los requisitos.

Dé el siguiente paso para salvaguardar su información no clasificada controlada. Solicite hoy mismouna demostración de la plataforma de gestión de Human Risk de Mimecast.