O que é o CMMC?
CMMC, ou Certificação do Modelo de Maturidade em Cibersegurança, é uma estrutura de segurança cibernética que Departamento de Defesa dos Estados Unidos (DoD) criado para proteger os dados armazenados pela Base Industrial de Defesa (DIB).
Em termos gerais, o DIB é composto por contratantes e subcontratantes que trabalham com o Departamento de Defesa — e, portanto, lidam com questões altamente informações sensíveis.
CMMC 1.0
Em 2019, o DoD anunciou a criação de um modelo de avaliação e certificação de segurança cibernética. O objetivo original do CMMC era garantir que os fornecedores e contratados do DoD protegessem e mantivessem adequadamente suas redes. informações não classificadas controladas (CIU) e informações de contratos federais (FCI).
CMMC 2.0
Em novembro de 2021 — pouco mais de dois anos após o DoD anunciar a primeira fase do CMMC — a agência americana revelou planos para um programa CMMC 2.0 fortalecido e aprimorado. A Fase 2 mantém o objetivo original de proteger UCI sensíveis, minimizando também as barreiras existentes à conformidade.
Fase 2.0 da Certificação do Modelo de Maturidade em Cibersegurança:
- Simplifica os requisitos para empresas menores
- Simplifica e esclarece os padrões para requisitos regulatórios, de políticas e de contratos
- Exige padrões de segurança cibernética mais rigorosos e avaliações de terceiros para projetos de maior prioridade
- Aumenta a supervisão do DoD sobre os padrões éticos
- barreiras à conformidade e maximiza a facilidade de execução
- Incentiva uma cultura colaborativa de segurança cibernética
Os aprimoramentos da versão 2.0 visam fortalecer a segurança cibernética das empresas DIB, facilitando mais colaboração com o DoB e capacitando os contratados a realizar autoavaliações e relatar sua conformidade.
Autoridades do Pentágono indicam que o Escritório de Administração e Orçamento (OMB) provavelmente aprovará os regulamentos da CMMC como uma "regra proposta" em 2023, e que haverá um período de comentários de até um ano antes que as regras finais entrem em vigor. Isso daria às empresas mais tempo para entender e se preparar para a complexa regulamentação prevista. No entanto, isso também significa que os requisitos da CMMC não devem aparecer nos contratos antes de 2024. De acordo com o agenda unificada do outono de 2022, os regulamentos do CMMC estão atualmente no estágio de “regra proposta”, e um aviso de regulamentação proposta está previsto para ser publicado em maio de 2023, embora essas projeções estejam sujeitas a alterações.
Qual é o propósito do CMMC?
As ameaças cibernéticas contra a base industrial de defesa estão aumentando — e essas ameaças não só estão se tornando mais frequentes, como também mais complexas. Para proteger as empresas na DIB desses ataques crescentes, o DoD precisa de salvaguardas e padrões de TI fortes e abrangentes.
O CMMC avalia os programas de segurança dos fornecedores e garante que eles tenham sistemas suficientes para proteger qualquer CUI que resida em suas redes.
Ele foi projetado para reduzir vulnerabilidades na cadeia de suprimentos, proteger as informações do DoD contra violações e melhorar as práticas gerais de segurança cibernética.
O que é a estrutura CMMC?
O CMMC original — ou versão 1.0 — organizou os processos de segurança em cinco níveis de maturidade que incluíam:
Nível 1: Básico
Salvaguardas FCI online — 17 práticas
Nível 2: Intermediário
Um nível de transição — 72 práticas
Nível 3: Bom
Protege o CUI além do FCI — 130 práticas
Nível 4: Proativo
Protege o CUI e reduz o risco de ameaças persistentes avançadas (APTs) — 156 práticas
Nível 5: Avançado
Programa cibernético progressivo — 171 práticas
Cada nível de maturidade foi criado com base no anterior, exigindo que a empresa domine todas as práticas de um nível antes de passar para o próximo.
O CMMC 2.0 simplificado reduz o número de níveis de maturidade de cinco para três, elimina 20 requisitos de segurança, alinha-se mais estreitamente com os controles de segurança do NIST SP 800-171 e permite que algumas organizações autoavaliem seus programas em vez de se submeterem a revisões de terceiros. Os novos níveis simplificados do CMMC 2.0 são:
Nível 1: Fundamental
Requer autoavaliações anuais — 17 práticas
Nível 2: Avançado
Exige autoavaliações anuais para organizações selecionadas — ou avaliações de terceiros para informações críticas de segurança nacional; Alinha-se com as políticas NIST SP 800-171 — 110 práticas
Nível 3: Especialista
Requer avaliações lideradas pelo governo; Alinha-se com as políticas NIST SP 800-172 — mais de 110 práticas
Requisitos do CMMC
Há uma série de requisitos que as organizações devem atender para obter a certificação do CMMC, incluindo:
- identificar e documentar todos os sistemas e ativos, incluindo dados, que são relevantes para a proteção de Informações Não Classificadas Controladas (CUI)
- estabelecer e manter um Plano de Segurança do Sistema (SSP) que descreva como ele atende aos requisitos de segurança descritos na estrutura CMMC
- práticas e procedimentos de implementação e documentação para gerenciar o acesso ao CUI, incluindo autenticação, autorização e auditoria
- desenvolver e manter um plano de resposta a incidentes que descreva os procedimentos para responder e relatar incidentes de segurança
- procedimentos para monitorar, avaliar e testar regularmente seus controles de segurança para garantir que sejam eficazes
- demonstrar conformidade com o nível apropriado de certificação CMMC por meio de uma avaliação formal por uma Organização Avaliadora Terceirizada CMMC (C3PAO)
Quem deve obedecer ao CMMC?
O Departamento de Defesa trabalha com mais de 30.000 contratados e subcontratados. Isso pode incluir empresas de tecnologia, finanças, manufatura, design e desenvolvimento, pesquisa, provedores de serviços em nuvem e muito mais. Na versão 1.0, todos eles precisavam ser certificados.
A Fase 2.0, no entanto, divide os requisitos de certificação por nível. As empresas de Nível 1 que protegem FCIs que não são críticas para a segurança nacional não precisarão se submeter a avaliações governamentais ou de terceiros e pode contar com a autocertificação.
Os contratantes de defesa de nível 2 que lidam com CUI sensíveis para fins de segurança nacional precisarão de certificação, enquanto as empresas que lidam com projetos não priorizados podem não precisar.
Como obter a certificação CMMC?
Embora alguns detalhes da certificação ainda estejam em desenvolvimento, o Órgão de Acreditação — ou CMMC-AB — é responsável por fornecer acreditação às organizações terceirizadas que certificam os contratados do DoD.
Esses avaliadores, conhecidos como Organizações de Avaliação de Terceiros do CMMC — ou C3PAOs — serão autorizados a conduzir avaliações de redes de segurança de contratantes e fornecer as certificações apropriadas para cada organização.
Tipos de avaliação CMMC
Autoavaliações: são uma opção em que a empresa realiza a avaliação. Esse tipo de avaliação geralmente é usado para níveis mais baixos de certificação CMMC e pode ajudar a empresa a identificar vulnerabilidades em segurança cibernética. No entanto, é importante observar que as autoavaliações nem sempre são aceitas para todos os níveis de certificação e podem exigir verificação por terceiros para garantir a precisão e a validade dos resultados.
Avaliações de terceiros: Este tipo de avaliação é realizado por uma organização externa autorizada pelo Órgão de Acreditação do CMMC. O objetivo desta avaliação é avaliar a adesão da empresa às práticas e requisitos específicos descritos no CMMC e fornecer uma avaliação independente da segurança cibernética da empresa. A avaliação de terceiros é um componente crítico para a obtenção da certificação CMMC e é necessária para garantir que as empresas tenham implementado controles de segurança cibernética eficazes.
Avaliações governamentais: Esta avaliação é conduzida pelo governo dos EUA e avalia a adesão da empresa às práticas e requisitos específicos descritos no CMMC, bem como a quaisquer requisitos de segurança adicionais especificados pela agência governamental. As avaliações governamentais são frequentemente realizadas em conjunto com avaliações de terceiros para verificar os resultados ou avaliar medidas de segurança adicionais. O principal objetivo de uma avaliação governamental é garantir que a empresa implementou controles e medidas de segurança cibernética eficazes para proteger informações confidenciais.
O que significa conformidade com o CMMC?
As empresas que contratam o Departamento de Defesa dos EUA devem manter seguros os dados altamente sensíveis aos quais têm acesso. Se você deseja contratar o DoD, deve estar bem familiarizado com as políticas, práticas e padrões da regulamentação — e, se lidar com certos tipos de dados, também precisará de certificação de terceiros ou governamental.
Aderir à Publicação Especial 800-171 do Instituto Nacional de Padrões e Tecnologia — ou estrutura NIST SP 800-171 — é metade da batalha, já que os novos aprimoramentos aderem muito ao conjunto de diretrizes de segurança do NIST.
As empresas que desejam trabalhar com o DoD ou fazer licitações para contratos governamentais precisam ter certeza de que possuem práticas de segurança eficazes em vigor. Soluções de segurança avançadas baseadas em ML da BigID ajudar organizações a proteger todos os seus dados confidenciais em toda a organização, em grande escala. Veja como:
- Você não pode proteger o que você não sabe que tem: Descubra todos os seus dados sensíveis, regulamentados e de alto risco, em qualquer lugar — incluindo CUI e FCI
- Classifique e catalogue mais tipos de dados, em escala, usando técnicas de NPL e ML
- Identifique usuários de alto risco de dados confidenciais — e limite o acesso aos arquivos a usuários autorizados
- Remediar, reter ou descartar dados confidenciais
- Reduza proativamente o risco em seus dados mais sensíveis com pontuação de risco
- Determine com precisão os usuários afetados após uma violação de dados e simplifique a resposta a incidentes
- Alinhe suas práticas de proteção de dados com Padrões de conformidade do NIST
Configurar um Demonstração do BigID para ver como podemos ajudá-lo proteger informações de segurança nacional altamente sensíveis.
Autor
