Requisitos de certificación del Departamento de Defensa para contratistas, civiles y personal de TI y seguridad: Guía completa de cumplimiento para 2025

El Departamento de Defensa (DoD) continúa reforzando los requisitos de cualificación del personal para garantizar que quienes apoyan, gestionan, protegen u operan los sistemas de información del Departamento de Defensa posean los conocimientos, las habilidades y las certificaciones necesarias. Ya sea un contratista de defensa, un empleado civil o un profesional de TI/ciberseguridad, el cumplimiento de la norma DoD 8140 y los requisitos de la norma 8570 heredada sigue siendo obligatorio para los puestos designados en el ámbito cibernético.

Esta guía ofrece una descripción general completa y formal de los requisitos de certificación del DoD, las categorías de personal aplicables, los estándares de acreditación y las expectativas de cumplimiento para las organizaciones y personas que operan en el entorno de información del Departamento de Defensa.

1. Descripción general de los requisitos DoD 8140/8570 para el personal cibernético

La Directiva DoD 8140 (anteriormente 8570) establece los estándares básicos de cualificación y certificación para el personal cibernético del DoD. Define:

• Certificaciones requeridas para categorías laborales específicas
• Expectativas de competencia para el personal en roles de ciberseguridad
• Plazos de capacitación y cualificación del personal
• Obligaciones de cumplimiento para los componentes del Departamento de Defensa (DoD) y los contratistas de defensa

El DoD 8140 proporciona la autoridad general, mientras que los DoD 8140.01, DoD 8140.02 y DoD 8140.03 definen con más detalle el marco, los procesos y el Programa de Cualificación y Gestión del Personal Cibernético (CWQMP).

Bajo este marco, todo el personal con acceso privilegiado o responsabilidades en ciberseguridad debe obtener y mantener una certificación aprobada, acorde con su categoría y nivel de rol.

2. Aplicabilidad: ¿Quién debe estar certificado por el DoD?

Los requisitos de certificación del DoD se aplican ampliamente en todo el ecosistema de defensa, incluyendo:

2.1 Contratistas

Las personas empleadas por empresas del sector privado que apoyan las operaciones del DoD, prestan servicios de TI, administran sistemas o acceden a redes gubernamentales deben cumplir con los requisitos de certificación de acuerdo con las obligaciones contractuales. Esto aplica a:

• Contratistas principales
• Subcontratistas
• Proveedores de servicios gestionados (MSP)
• Integradores de sistemas
• Proveedores de servicios de ciberseguridad que dan soporte a los sistemas del Departamento de Defensa

Los contratistas están sujetos a los mismos plazos de certificación y estándares de cumplimiento que el personal gubernamental.

2.2 Personal civil del Departamento de Defensa

Los empleados civiles que trabajan en puestos relacionados con ciberseguridad, TI, aseguramiento de la información, ingeniería o seguridad deben obtener y mantener la certificación básica correspondiente a su función laboral.

Esto incluye al personal de:

• DISA
• USCYBERCOM
• Oficinas del CIO del Departamento de Defensa
• Departamentos militares
• Agencias de defensa y actividades de campo

2.3 Personal de TI y Ciberseguridad

Todo contratista individual, civil o militar, que desempeñe funciones de administración de sistemas, gestión de redes, monitoreo de ciberseguridad, ingeniería o aseguramiento de la información debe estar certificado.

Esto aplica a quienes tienen:

• Acceso privilegiado
• Autoridad para modificar sistemas
• Responsabilidad de los controles de ciberseguridad
• Funciones que apoyan las operaciones de defensa en profundidad

3. Categorías y niveles de certificación del personal cibernético del Departamento de Defensa (DoD)

El DoD 8140 establece varias categorías de personal, cada una con sus correspondientes requisitos de certificación.

3.1 Técnico de Seguridad de la Información (IAT)

El personal de IAT proporciona soporte técnico en ciberseguridad y TI. Sus responsabilidades incluyen la defensa de la red, el mantenimiento del sistema y la configuración de la seguridad.

Los niveles incluyen:

• IAT Nivel I — Principiante
• IAT Nivel II — Intermedio
• IAT Nivel III — Técnico Superior

Las certificaciones aprobadas incluyen: A+, Network+, CCNA, Security+, CySA+, CASP+, CISSP, entre otras.

3.2 Gestión de la Seguridad de la Información (IAM)

El personal de IAM supervisa, gestiona y lidera los programas de ciberseguridad.

Los niveles incluyen:

• IAM Nivel I — Gestión básica
• IAM Nivel II — Gestión media
• IAM Nivel III — Alta dirección

Las certificaciones aprobadas incluyen: CAP, CISM, CISSP, GSLC y credenciales de gestión relacionadas.

3.3 Arquitectura e Ingeniería de Sistemas de Seguridad de la Información (IASAE)

El personal de IASAE diseña, diseña y construye sistemas seguros para las redes del Departamento de Defensa (DoD).

Las funciones incluyen:

• Ingeniero de Seguridad de Sistemas
• Arquitecto de Ciberseguridad
• Personal de Ingeniería Avanzada

Las certificaciones aprobadas incluyen: CISSP-ISSAP, CISSP-ISSEP, CSSLP.

3.4 Proveedor de Servicios de Ciberseguridad (CSSP)

El personal de CSSP apoya la ciberdefensa, las operaciones del SOC, la respuesta a incidentes y el análisis de vulnerabilidades.

Los puestos de CSSP incluyen:

• Analista
• Soporte de Infraestructura
• Responsable de Respuesta a Incidentes
• Auditor
• Gerente

Las certificaciones aprobadas incluyen: CEH, CySA+, GCIH, GCFA, CFR y otras según la especialidad.

4. Requisitos de Certificación Base por Tipo de Personal

Si bien el marco de certificación se basa en roles, afecta a los grupos de personal de manera diferente.

4.1 Requisitos para Contratistas

Los contratistas deben:

• Contar con una certificación aprobada antes de desempeñar funciones cibernéticas.
• Mantener la certificación vigente durante todo el período de ejecución.
• Asegurarse de que la documentación de cumplimiento se presente al oficial de contratación cuando sea necesario.
• Alinear las asignaciones de personal con la categoría correspondiente de IAT, IAM, IASAE o CSSP.

El incumplimiento puede resultar en:

• Descalificación del cumplimiento del contrato
• Hallazgos de incumplimiento
• Remoción del personal
• Posible pérdida de la elegibilidad para el contrato

4.2 Requisitos para civiles

Los civiles deben:

• Obtener la certificación requerida dentro del plazo definido por la política del componente del Departamento de Defensa (normalmente dentro de los 6 meses posteriores a la asignación).
• Mantener Unidades de Educación Continua (CEU) o Educación Profesional Continua (CPE).
• Participar en la capacitación continua del personal según lo definido por el Departamento de Defensa 8140.03.
• Alinear las descripciones de los puestos con los códigos de rol del DCWF.

También se espera que los civiles cumplan con los objetivos de competencia y mantenimiento basados en el rol.

4.3 Requisitos para el personal de TI y ciberseguridad

El personal con acceso privilegiado debe:

• Contar con una certificación IAT, IAM o CSSP aprobada antes de obtener privilegios elevados.
• Mantener la competencia en las habilidades mediante programas de capacitación y CE aprobados. - Completar la capacitación anual en ciberseguridad conforme a los estándares del Departamento de Defensa.
• Cumplir con los requisitos adicionales a nivel de componente (p. ej., DISA, NMCI de la Armada, Ciberseguridad del Ejército).

5. Plazos de certificación y expectativas de cumplimiento

5.1 Certificación inicial

El personal debe obtener la certificación requerida:

• Antes de asumir un rol en ciberseguridad (contratistas)
• En un plazo de 6 meses (civiles)
• En un plazo de 12 meses para puestos específicos (según la política del componente)

5.2 Renovación y educación continua

La mayoría de las certificaciones requieren renovación cada 2 o 3 años, incluyendo:

• CompTIA (programa de CE)
• ISC2 (requisitos de CPE)
• EC-Council (requisitos de ECE)
• GIAC (ciclo de renovación)

La falta de renovación implica la pérdida automática del cumplimiento con el Departamento de Defensa.

5.3 Documentación y seguimiento

El personal debe asegurarse de que su certificación quede registrada en:

• Sistemas de gestión de personal cibernético del Departamento de Defensa
• Bases de datos de capacitación a nivel de componente
• Informes de cumplimiento del personal contratista

Las organizaciones deben mantener registros auditables que demuestren el estado de la certificación.

6. Organismos de certificación aprobados

El Departamento de Defensa solo acepta certificaciones de organizaciones aprobadas, incluyendo:

• CompTIA
• ISC2
• ISACA
• EC-Council
• GIAC/SANS
• Cisco
• Oracle
• Red Hat
• Otras incluidas en las tablas de referencia del DoD 8140

Solo las certificaciones que figuran en la matriz oficial de certificación de referencia aprobada del DoD 8140/8570 son válidas.

7. Impacto del Cumplimiento de la Certificación del Departamento de Defensa

7.1 Para Personas

El cumplimiento brinda acceso a:

• Puestos gubernamentales
• Funciones de contratista
• Responsabilidades cibernéticas avanzadas
• Mayor movilidad profesional y oportunidades de ascenso

El personal certificado es reconocido por su competencia demostrada en sus funciones asignadas.

7.2 Para Organizaciones

Las organizaciones se benefician a través de:

• Elegibilidad para contratos
• Mejora de la postura de ciberseguridad
• Reducción del riesgo laboral
• Preparación para auditorías
• Cumplimiento de los mandatos DFARS, NIST SP 800-171, RMF y Confianza Cero

El incumplimiento puede descalificar a los contratistas y limitar las capacidades operativas.

8. Resumen

Los requisitos de certificación del Departamento de Defensa son la piedra angular de las iniciativas de preparación en ciberseguridad del Departamento. Los contratistas, civiles y personal de TI/seguridad deben cumplir con los estándares básicos DoD 8140 para garantizar que el personal esté capacitado, calificado y equipado para defender los sistemas del Departamento de Defensa contra las amenazas en constante evolución.

Al alinear al personal con la categoría IAT, IAM, IASAE o CSSP adecuada y mantener las certificaciones aprobadas, las organizaciones contribuyen a un entorno de información del Departamento de Defensa seguro y resiliente. El cumplimiento no es solo un requisito contractual, sino una prioridad operativa crucial para todas las entidades que apoyan las misiones del Departamento de Defensa.