Certificação do modelo de maturação da segurança cibernética 2.0 (CMMC 2.0)

O DoD está implementando o programa de Certificação do Modelo de Maturidade de Segurança Cibernética 2.0 (CMMC) para salvaguardar a segurança cibernética em toda a Base Industrial de Defesa (DIB) do governo, o setor responsável por sistemas, subsistemas e componentes ou peças de armas militares. 

Anunciado em novembro de 2021, é esperado que os requisitos do CMMC 2.0 sejam incluídos em todos os novos contratos até outubro de 2025. Este post procura se aprofundar no conceito do modelo de maturidade no contexto da segurança cibernética, nos principais números do DIB, na anatomia dos níveis CMMC e em como a Varonis pode ajudar as organizações a alcançar a conformidade. 

O que é um modelo de maturidade?

Os modelos de maturidade são uma coleção de melhores práticas que progridem numa escala desde níveis mais baixos de adoção ou “maturidade” até níveis mais elevados de aptidão e certificação. 

Certificar-se em um novo modelo de maturidade significa que uma empresa ou organização se comprometeu a melhorar seus processos e práticas para um alto nível de desempenho sustentado. 

O que é CMMC?

A Certificação do Modelo de Maturidade em Segurança Cibernética é um programa iniciado pelo Departamento de Defesa dos Estados Unidos (DoD) para medir e padronizar as capacidades, prontidão e sofisticação de seus contratantes de defesa na área de segurança cibernética. O CMMC 2.0 é uma atualização simplificada CMMC 2020 original. 

Em alto nível, esta estrutura é uma coleção de processos e informações de padrões de segurança cibernética existentes, como NIST, FAR e DFARS¹ — projetados para proteger a segurança do DIB. 

No nível tático, o objetivo do programa é melhorar a segurança das informações contratuais federais (FCI) e das informações não classificadas controladas (CUI). 

A quem se aplica o CMMC?

A certificação é aplicável tanto a contratantes “principais” que se envolvem diretamente com o DoD, quanto a subcontratados para garantir o cumprimento e execução de contratos. Embora algum nível de certificação seja um requisito para todos os contratos a partir de 2025, o DoD indicou que pretende emitir oportunidades de contrato em todos os níveis do modelo de maturidade, o que significará que um certo número de solicitações emitidas exigirão apenas um baixo nível de certificação e outros devem contar com níveis mais elevados. 

Fatos rápidos do DIB 

• Impacto anual do crime cibernético de US$ 10,5 trilhões 
• Valor anual do contrato DOD de US$ 705 bilhões 
• Mais de 100 mil empresas no DIB 
• 23% da alocação orçamentária para pequenas empresas 

Por que o CMMC é importante?

Estima-se que o cibercrime drene anualmente 10,5 trilhões de dólares do PIB global. Depender da vasta rede de empreiteiros para executar a missão do DoD significa que Departamento de Defesa confia a cada empreiteiro dados críticos que aumentam o risco global do DIB. Assim, o DoD compreende o fardo e a proporção descomunal de risco que o crime cibernético impõe à sua base de subcontratantes, muitos dos quais são pequenas empresas e carecem dos recursos dos seu homólogos maiores e de primeira linha. 

É neste contexto que o DoD lançou o CMCC, para supervisionar a adoção das melhores práticas em segurança cibernética com uma estratégia de “defesa em profundidade” em toda a sua base global de prestadores de serviços. 

Principais conclusões do CMMC 2.0

A certificação necessária: 

• Aplica-se a empreiteiros e subcontratados principais do DoD 
• Aplica-se a novos contratos limitados a partir de 2023 e a todos os contratos a partir de 2025 
• Abrange níveis avançados de processos e práticas de segurança cibernética, resultando em um “nível” de certificação 
• Garante que os empreiteiros comecem com o nível 1 e sejam certificados em cada nível até o topo (nível 3) 
• Demonstra a necessidade de uma ferramenta poderosa (como a plataforma Varonis) para facilitar todos os níveis de conformidade com o CMMC 

Estrutura CMMC

O objetivo do CMMC é garantir a proteção de dois tipos de informações contra divulgação ou uso não autorizado: 

1. CUI, que exige controles de salvaguarda ou disseminação de acordo e consistente com as leis, regulamentos e políticas governamentais aplicáveis, mas não é classificado sob a Ordem Executiva 13526 ou a Lei de Energia Atômica, conforme alteração 

1. FCI (não destinado à divulgação pública) fornecido ou gerado para o governo sob um contrato para desenvolver ou entregar um produto ou serviço ao governo, mas não incluindo informações fornecidas ao público 

Níveis de certificação CMMC 2.0 (resumo)

O CMCC 2.0 reduziu o número de níveis de certificação de cinco (no CMMC 1.0) para três. Os três níveis do CMCC 2.0 são: Nível 1 (Fundacional). Nível 2 (Avançado) e Nível 3 (Especialista). Os requisitos de avaliação variam de acordo com o nível de certificação necessário. 

CMMC 1.0 

CMMC 2.0 

O nível 1 exige que as organizações executem práticas básicas de segurança cibernética, permitindo a certificação neste nível através de uma autoavaliação anual. 

O nível 2 exige que as organizações documentem seus processos para orientar os esforços para alcançar a maturidade nível 2 do CMMC. A documentação também deve permitir que os usuários repitam esses processos. 

Os requisitos de avaliação para a conformidade com o nível 2 dependem de os dados CUI tratados serem críticos ou não críticos para a segurança nacional. As organizações com aquisições priorizadas que lidam com dados críticos devem passar por uma avaliação realizada por terceiros (3PAOs) a cada três anos. 

O modelo CMMC de nível 3 reduz a vulnerabilidade de um sistema a ameaças persistentes avançadas, exigindo que a organização estabeleça, mantenha e forneça recursos para um plano de gestão das atividades necessárias para implementar as práticas de segurança cibernética. 

O CMMC 2.O nível 3 aplica-se a empresas que lidam com programas CUI para o DOD com a mais alta prioridade. Até a publicação, o DOD não havia divulgado os requisitos de segurança específicos. 

Componentes da estrutura CMMC 2.0

Como parte dos esforços para simplificar o CMMC e mantê-lo alinhado com o NIST 800-171 e 800-172, a certificação tem apenas três partes: níveis (explicados acima), domínios e práticas. 

Níveis

À medida que os empreiteiros avançam nas suas avaliações em cada um destes componentes, é alcançada uma certificação global em um determinado nível. 

O nível 1 é alcançado ao completar 17 práticas nos domínios CMMC. 

O nível 2 é alcançado completando 110 práticas dos17 domínios, sendo isso verificado por uma organização de avaliação terceirizada. 

O nível 3 ainda não foi formalizado, mas provavelmente irá incluir todas as práticas de cada domínio e verificação por uma organização terceirizada. 

Domínios

Existem 17 domínios no modelo CMMC. Cada um cobre uma área individual de funções essenciais de segurança cibernética extraídas de padrões existentes, incluindo a Publicação 200 dos Padrões Federais de Processamento de Informações (FIPS) e NIST 800-171. Cada domínio aparece em um ou mais níveis do modelo. 

Práticas

Existem 113 práticas que abrangem os 17 domínios. Pense nas práticas como tarefas ou esforços individuais exigidos por cada categoria. 

Como se tornar certificado

O DoD criou o CMMC Accreditation Body, organização independente e sem fins lucrativos para credenciar organizações de avaliação terceirizada (3PAOs) e avaliadores individuais. Detalhes serão divulgados sobre a mecânica de certificação, mas o DoD planeja estabelecer um mercado para que as 3PAOs sejam avaliadas e contratadas por empreiteiros que buscam a certificação. 

Como a Varonis garante a certificação CMMC

Começar com o CMMC pode parecer uma tarefa difícil, e a realidade é que a certificação é um programa extenso para ser administrado por uma pessoa ou mesmo uma equipe interna. No entanto, a certificação será um requisito inegociável para fornecedores de serviço do DoD daqui para frente, e a Varonis pode ajudar esses empreiteiros a cumprir os requisitos. 

O melhor lugar para começar a operacionalizar a certificação é com domínios. Lembre-se, estes são centros de excelência com tarefas e gestão que devem ser executadas e continuamente otimizadas para que as organizações alcancem e avancem nos seus níveis de certificação. Não se esqueça que o objetivo principal do CMMC é a proteção do CUI e do FCI. 

A Varonis Data Security Platform pode facilitar, executar a automatizar muitas das 113 práticas necessárias e seus processos relacionados dentro do modelo CMMC. 

O CMMC impacta cada uma das mais de 300 mil empresas da base industrial de defesa dos Estados Unidos. As empresas que já estão familiarizadas e aderem ao NIST, FAR e DFARS provavelmente terão uma vantagem de serem pioneiras no avanço através do CMMC, mas a Varonis pode acelerar a certificação de qualquer empresa com uma plataforma poderosa de conformidade e segurança. 

Entre em contato com a Varonis para uma avaliação de riscos de dados gratuita e aprimore seu CMMC. 

Recursos adicionais: 

• CMMC — Certificação de modelo de maturidade em segurança cibernética 
• NIST — Instituto Nacional de Padrões e Tecnologia 
• FAR — Regulamento de Aquisição Federal 
• DFARS — Suplemento ao Regulamento de Aquisição Federal de Defesa