O DoD está implementando o programa de Certificação do Modelo de Maturidade de Segurança Cibernética 2.0 (CMMC) para salvaguardar a segurança cibernética em toda a Base Industrial de Defesa (DIB) do governo, o setor responsável por sistemas, subsistemas e componentes ou peças de armas militares.
Anunciado em novembro de 2021, é esperado que os requisitos do CMMC 2.0 sejam incluídos em todos os novos contratos até outubro de 2025. Este post procura se aprofundar no conceito do modelo de maturidade no contexto da segurança cibernética, nos principais números do DIB, na anatomia dos níveis CMMC e em como a Varonis pode ajudar as organizações a alcançar a conformidade.
O que é um modelo de maturidade?
Os modelos de maturidade são uma coleção de melhores práticas que progridem numa escala desde níveis mais baixos de adoção ou “maturidade” até níveis mais elevados de aptidão e certificação.
Certificar-se em um novo modelo de maturidade significa que uma empresa ou organização se comprometeu a melhorar seus processos e práticas para um alto nível de desempenho sustentado.
O que é CMMC?
A Certificação do Modelo de Maturidade em Segurança Cibernética é um programa iniciado pelo Departamento de Defesa dos Estados Unidos (DoD) para medir e padronizar as capacidades, prontidão e sofisticação de seus contratantes de defesa na área de segurança cibernética. O CMMC 2.0 é uma atualização simplificada CMMC 2020 original.
Em alto nível, esta estrutura é uma coleção de processos e informações de padrões de segurança cibernética existentes, como NIST, FAR e DFARS¹ — projetados para proteger a segurança do DIB.
No nível tático, o objetivo do programa é melhorar a segurança das informações contratuais federais (FCI) e das informações não classificadas controladas (CUI).
A quem se aplica o CMMC?
A certificação é aplicável tanto a contratantes “principais” que se envolvem diretamente com o DoD, quanto a subcontratados para garantir o cumprimento e execução de contratos. Embora algum nível de certificação seja um requisito para todos os contratos a partir de 2025, o DoD indicou que pretende emitir oportunidades de contrato em todos os níveis do modelo de maturidade, o que significará que um certo número de solicitações emitidas exigirão apenas um baixo nível de certificação e outros devem contar com níveis mais elevados.
Fatos rápidos do DIB
- Impacto anual do crime cibernético de US$ 10,5 trilhões
- Valor anual do contrato DOD de US$ 705 bilhões
- Mais de 100 mil empresas no DIB
- 23% da alocação orçamentária para pequenas empresas
Por que o CMMC é importante?
Estima-se que o cibercrime drene anualmente 10,5 trilhões de dólares do PIB global. Depender da vasta rede de empreiteiros para executar a missão do DoD significa que Departamento de Defesa confia a cada empreiteiro dados críticos que aumentam o risco global do DIB. Assim, o DoD compreende o fardo e a proporção descomunal de risco que o crime cibernético impõe à sua base de subcontratantes, muitos dos quais são pequenas empresas e carecem dos recursos dos seu homólogos maiores e de primeira linha.
É neste contexto que o DoD lançou o CMCC, para supervisionar a adoção das melhores práticas em segurança cibernética com uma estratégia de “defesa em profundidade” em toda a sua base global de prestadores de serviços.
Principais conclusões do CMMC 2.0
A certificação necessária:
- Aplica-se a empreiteiros e subcontratados principais do DoD
- Aplica-se a novos contratos limitados a partir de 2023 e a todos os contratos a partir de 2025
- Abrange níveis avançados de processos e práticas de segurança cibernética, resultando em um “nível” de certificação
- Garante que os empreiteiros comecem com o nível 1 e sejam certificados em cada nível até o topo (nível 3)
- Demonstra a necessidade de uma ferramenta poderosa (como a plataforma Varonis) para facilitar todos os níveis de conformidade com o CMMC
Estrutura CMMC
O objetivo do CMMC é garantir a proteção de dois tipos de informações contra divulgação ou uso não autorizado:
- CUI, que exige controles de salvaguarda ou disseminação de acordo e consistente com as leis, regulamentos e políticas governamentais aplicáveis, mas não é classificado sob a Ordem Executiva 13526 ou a Lei de Energia Atômica, conforme alteração
- FCI (não destinado à divulgação pública) fornecido ou gerado para o governo sob um contrato para desenvolver ou entregar um produto ou serviço ao governo, mas não incluindo informações fornecidas ao público
Níveis de certificação CMMC 2.0 (resumo)
O CMCC 2.0 reduziu o número de níveis de certificação de cinco (no CMMC 1.0) para três. Os três níveis do CMCC 2.0 são: Nível 1 (Fundacional). Nível 2 (Avançado) e Nível 3 (Especialista). Os requisitos de avaliação variam de acordo com o nível de certificação necessário.
CMMC 1.0
| Nível | Modelo | Avaliação | |
|
Nível 5 Avançado |
171 práticas | 4 processos | Terceiros |
|
Nível 4 Proativo |
156 práticas | 4 processos | Nenhum |
|
Nível 3 Bom |
130 práticas | 3 processos | Terceiros |
|
Nível 2 Intermediário |
72 práticas | 2 processos de maturidade | Nenhum |
|
Nível 1 Básico |
17 práticas | Terceiros |
CMMC 2.0
| Nível | Modelo | Avaliação |
|
Nível 3 Expert |
+ de 110 práticas baseadas no NIST SP 800-172 | Avaliação trienal realizada pelo governo |
|
Nível 2 Avançado |
110 práticas baseadas no NIST SP 800-171 | Avaliação trienal realizada por terceiros para informações críticas de segurança nacional; Autoavaliação anual para programas selecionados |
|
Nível 1 Fundacional |
17 práticas | Autoavaliação anual |
O nível 1 exige que as organizações executem práticas básicas de segurança cibernética, permitindo a certificação neste nível através de uma autoavaliação anual.
O nível 2 exige que as organizações documentem seus processos para orientar os esforços para alcançar a maturidade nível 2 do CMMC. A documentação também deve permitir que os usuários repitam esses processos.
Os requisitos de avaliação para a conformidade com o nível 2 dependem de os dados CUI tratados serem críticos ou não críticos para a segurança nacional. As organizações com aquisições priorizadas que lidam com dados críticos devem passar por uma avaliação realizada por terceiros (3PAOs) a cada três anos.
O modelo CMMC de nível 3 reduz a vulnerabilidade de um sistema a ameaças persistentes avançadas, exigindo que a organização estabeleça, mantenha e forneça recursos para um plano de gestão das atividades necessárias para implementar as práticas de segurança cibernética.
O CMMC 2.O nível 3 aplica-se a empresas que lidam com programas CUI para o DOD com a mais alta prioridade. Até a publicação, o DOD não havia divulgado os requisitos de segurança específicos.
Componentes da estrutura CMMC 2.0
Como parte dos esforços para simplificar o CMMC e mantê-lo alinhado com o NIST 800-171 e 800-172, a certificação tem apenas três partes: níveis (explicados acima), domínios e práticas.
Níveis
À medida que os empreiteiros avançam nas suas avaliações em cada um destes componentes, é alcançada uma certificação global em um determinado nível.
O nível 1 é alcançado ao completar 17 práticas nos domínios CMMC.
O nível 2 é alcançado completando 110 práticas dos17 domínios, sendo isso verificado por uma organização de avaliação terceirizada.
O nível 3 ainda não foi formalizado, mas provavelmente irá incluir todas as práticas de cada domínio e verificação por uma organização terceirizada.
Domínios
Existem 17 domínios no modelo CMMC. Cada um cobre uma área individual de funções essenciais de segurança cibernética extraídas de padrões existentes, incluindo a Publicação 200 dos Padrões Federais de Processamento de Informações (FIPS) e NIST 800-171. Cada domínio aparece em um ou mais níveis do modelo.
Práticas
Existem 113 práticas que abrangem os 17 domínios. Pense nas práticas como tarefas ou esforços individuais exigidos por cada categoria.
Como se tornar certificado
O DoD criou o CMMC Accreditation Body, organização independente e sem fins lucrativos para credenciar organizações de avaliação terceirizada (3PAOs) e avaliadores individuais. Detalhes serão divulgados sobre a mecânica de certificação, mas o DoD planeja estabelecer um mercado para que as 3PAOs sejam avaliadas e contratadas por empreiteiros que buscam a certificação.
Como a Varonis garante a certificação CMMC
Começar com o CMMC pode parecer uma tarefa difícil, e a realidade é que a certificação é um programa extenso para ser administrado por uma pessoa ou mesmo uma equipe interna. No entanto, a certificação será um requisito inegociável para fornecedores de serviço do DoD daqui para frente, e a Varonis pode ajudar esses empreiteiros a cumprir os requisitos.
O melhor lugar para começar a operacionalizar a certificação é com domínios. Lembre-se, estes são centros de excelência com tarefas e gestão que devem ser executadas e continuamente otimizadas para que as organizações alcancem e avancem nos seus níveis de certificação. Não se esqueça que o objetivo principal do CMMC é a proteção do CUI e do FCI.
A Varonis Data Security Platform pode facilitar, executar a automatizar muitas das 113 práticas necessárias e seus processos relacionados dentro do modelo CMMC.
| Domínio | Prática CMMC 2.0 | Produto(s) Varonis |
| AC – Controle de Acesso |
|
Varonis Data Security Platform |
| AT – Conscientização e Treinamento |
|
Serviços profissionais |
| AU – Auditoria e Prestação de Contas |
|
Varonis Data Security Platform |
| CM – Gerenciamento de Configuração |
|
Varonis Data Security Platform |
| IA – Identificação e Autenticação |
|
Varonis Data Security Platform |
| RI – Resposta a incidentes |
|
Varonis Data Security Platform |
| MA – Manutenção |
|
Varonis Data Security Platform |
| MP – Proteção de mídia |
|
Varonis Data Security Platform |
| PS – Segurança de pessoal |
|
Varonis Data Security Platform |
| PE – Proteção física |
|
Varonis Data Security Platform |
| RA – Avaliação de risco |
|
Varonis Data Security Platform
Serviços profissionais |
| CA – Avaliação de segurança |
|
Varonis Data Security Platform
Serviços profissionais |
| SC – Proteção de sistemas e comunicações |
|
Varonis Data Security Platform |
| SI – Integridade de sistemas e informações |
|
Varonis Data Security Platform |
O CMMC impacta cada uma das mais de 300 mil empresas da base industrial de defesa dos Estados Unidos. As empresas que já estão familiarizadas e aderem ao NIST, FAR e DFARS provavelmente terão uma vantagem de serem pioneiras no avanço através do CMMC, mas a Varonis pode acelerar a certificação de qualquer empresa com uma plataforma poderosa de conformidade e segurança.
Entre em contato com a Varonis para uma avaliação de riscos de dados gratuita e aprimore seu CMMC.
Recursos adicionais:
O que devo fazer agora?
Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:
Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.
Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.
Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.
