¿Qué es el NIST 800-171?
El NIST 800-171 es un conjunto de requisitos de seguridad que cualquier organización, dentro o fuera de los Estados Unidos, debe cumplir cuando maneja información sensible no clasificada de un contrato del gobierno estadounidense. Indica, en términos prácticos, cómo proteger ese tipo de dato: quién puede acceder, cómo registrar su uso, cómo responder a un incidente. Es la base del programa CMMC y rige para toda la cadena de proveedores de defensa, incluidos los subcontratistas fuera de los EE. UU.
Cómo funciona el NIST 800-171
El NIST 800-171 no es una auditoría puntual; es un conjunto de requisitos organizados por tema, contra el cual la empresa se evalúa y comprueba el cumplimiento. Existe para proteger la llamada información no clasificada controlada (CUI): datos que no son secreto de Estado, pero que, si se filtran, exponen programas, proyectos y personas.
Mapee dónde vive el dato controlado
El primer paso es saber qué sistemas, correos y archivos guardan información de un contrato del gobierno. No se puede proteger lo que no se sabe dónde está.
Compárese con los requisitos
La empresa se evalúa contra los requisitos de seguridad del estándar, organizados por familia (control de acceso, respuesta a incidentes, protección de medios y otras), e identifica cada brecha.
Sume el puntaje y registre el plan
El resultado se convierte en un puntaje registrado en el sistema oficial del gobierno, y cada punto aún abierto entra en un plan de acción con plazo, el POA&M.
Compruebe y mantenga
La evidencia de que cada requisito está atendido tiene que existir y sostenerse en el tiempo, porque el estándar es la base de la evaluación CMMC, que pasa a exigir verificación por un tercero en los contratos de mayor sensibilidad.
Fuente: NIST SP 800-171 Rev. 3 (csrc.nist.gov) y la cláusula DFARS 252.204-7012 del Departamento de Defensa de los EE. UU.
Quién debe cumplir, y por qué toma por sorpresa
- No es solo quien tiene un contrato directo con el gobierno. La exigencia baja por toda la cadena: si su empresa provee a quien provee a defensa, el dato controlado llega hasta usted, y el requisito también.
- Alcance internacional. El estándar acompaña al dato, no a la frontera: un fabricante, una firma de ingeniería o una casa de software fuera de los EE. UU. que toque información de un contrato estadounidense entra en el alcance.
- El plazo ya venció en el papel. La cláusula que vuelve obligatorio el estándar rige desde 2017; muchas empresas descubren la exigencia solo cuando un cliente mayor pide el puntaje, y para entonces el reloj ya corre.
- El puntaje puede ser negativo. La cuenta empieza en 110 y descuenta por cada requisito no atendido, así que una primera autoevaluación honesta suele dar un número bajo cero, lo que alarma a quien creía estar 'casi ahí'.
Las familias de requisitos, en lenguaje de negocio
- Control de acceso e identidad Quién entra, con qué credencial y hasta dónde llega. Es la base: privilegio mínimo, autenticación fuerte y el registro de quién accedió a qué.
- Registro y respuesta Guardar rastros de auditoría y tener un plan para cuando algo sale mal. Sin registro, un incidente se vuelve un misterio sin pruebas.
- Protección del dato y del medio Cifrado, control de memorias USB y descarte seguro. El dato controlado tiene que quedar protegido en reposo, en tránsito y al final de su vida útil.
- Configuración y mantenimiento Mantener los sistemas actualizados, endurecidos y bajo cambio controlado. La Rev 3 reforzó la gestión de riesgo de la cadena de proveedores como una familia propia.
- Personas y continuidad Capacitar a quien opera y garantizar que la protección sobreviva a vacaciones, salidas e incidentes. La seguridad es una rutina, no un proyecto con fecha de fin.
Qué está en juego para el negocio
El NIST 800-171 dejó de ser 'papeleo de conformidad' y se volvió condición para vender. La cláusula DFARS que lo vuelve obligatorio rige desde 2017, y el CMMC, el programa que verifica ese cumplimiento, entró en vigor en noviembre de 2025: en muchos contratos, sin el puntaje registrado y el plan de acción, la empresa ni siquiera llega a la etapa de propuesta. La Rev 3 del estándar reorganizó los requisitos en 97 puntos y 17 familias (la Rev 2, con 110 requisitos en 14 familias, sigue siendo la base contractual durante la transición), lo que significa que la vara no es estática: quien trató el tema como 'ya lo resolví una vez' debe volver a evaluarse. Y el costo de equivocarse no es solo perder el contrato: una brecha de datos todavía cuesta, en promedio, $ 4,44 millones en el mundo (IBM, 2025), además del daño de exponer la información de un cliente del tamaño de un gobierno.
Cómo se prepara una empresa en la práctica
Cumplir el NIST 800-171 es un proyecto con comienzo, pero sin fin: la preparación transforma un requisito intimidante en una rutina manejable.
- Delimite el alcance primeroSepare los sistemas que tocan el dato controlado del resto del entorno. Reducir la frontera reduce el costo: no todo necesita entrar en el alcance del estándar.
- Haga la autoevaluación honestaUn puntaje real, aunque sea negativo, es más útil que un número inflado. Es lo que orienta dónde invertir primero y qué poner en el plan de acción.
- Priorice acceso y respuestaPrivilegio mínimo, autenticación fuerte y un plan de respuesta a incidentes resuelven buena parte de los requisitos y reducen el riesgo real, no solo la nota.
- Documente mientras avanzaLa evidencia tiene que existir en el momento en que se atiende el requisito. Reconstruir la prueba después es caro y frágil; registrarla al momento es barato.
- Trátelo como rutina continuaEl puntaje envejece, los sistemas cambian y la vara evoluciona de revisión en revisión. Revisar de forma periódica es lo que mantiene a la empresa elegible para el próximo contrato.
En la práctica
Si un cliente mayor pidiera hoy su puntaje en el sistema oficial, ¿tendría un número para dar, o descubriría la exigencia al momento de perder el negocio? La respuesta a esa pregunta suele separar a quien ya está en la cadena de quien va a quedar fuera de ella.
Cómo Zamak apoya el camino del NIST 800-171
Zamak Technologies apoya la preparación para el NIST 800-171 al lado de su equipo: delimita el alcance del dato controlado, corre la autoevaluación, organiza el plan de acción y mantiene la evidencia viva, usando una plataforma de conformidad como uno de los mapas de ruta. Vale una aclaración honesta: la gobernanza documenta y comprueba la conformidad; no reemplaza las defensas técnicas que protegen el dato, que siguen siendo una capa aparte. Un buen punto de partida es el autodiagnóstico de conformidad, y la preparación forma parte de la Gobernanza y Conformidad del Método Zamak.