A conformidade com a CMMC explicada: o que é a Certificação do Modelo de Maturidade de Cibersegurança?

Views: 583
0 0
Read Time:6 Minute, 34 Second

Com um risco crescente de ameaça à segurança cibernética que não parece estar diminuindo, o Departamento de Defesa (DoD) tomou medidas proativas na criação da Certificação de Modelo de Maturidade de Cibersegurança (CMMC). O CMMC em breve será um requisito para quaisquer contratantes de defesa ou outros fornecedores que estejam, ou desejam estar, trabalhando com o DoD .

O que é conformidade cmmc?

O objetivo principal da Certificação do Modelo de Maturidade de Cibersegurança é proteger o que é chamado de CuI (Controlled Unclassified Information, Informações Não Classificadas Controladas) em toda a cadeia de suprimentos do DoD. A definição do DoD de CUI refere-se a quaisquer informações ou dados criados ou possuídos pelo governo ou outra entidade em nome do governo. A interpretação dos dados é ampla aqui — e pode levar em conta informações financeiras, legais, de inteligência, infraestrutura, controles de exportação ou outras informações e dados.

A estrutura do CMMS incorpora os processos, práticas e abordagens com o objetivo de padronizar a avaliação das capacidades de um fornecedor de DoD.

Os requisitos para a certificação CMMC, divididos em práticas e processos, dependem do nível de certificação. Cada nível de certificação baseia-se nos requisitos dos níveis abaixo dele; por exemplo, uma certificação nível 3 incluiria requisitos para os níveis 1 e 2.

Aqui está uma breve descrição de cada nível de certificação:

Nível 1 demonstra “Higiene Cibernética Básica” – Os contratantes do DoD que desejam passar por uma auditoria neste nível devem implementar 17 controles de NIST 800-171 rev1.

Nível 2 demonstra “Higiene Cibernética Intermediária” – Aqui, os contratantes do DoD devem implementar outros 48 controles do NIST 800-171 rev1 mais sete novos controles “Outros”.

Nível 3 demonstra “Boa Higiene Cibernética” – Para alcançar a certificação nível 3, os 45 controles finais do NIST 800-171 Rev1 mais 13 novos controles “Outros” devem ser implementados

Nível 4 demonstra cibersegurança “proativa” – Além dos controles nos níveis 1 a 3, mais 11 controles do NIST 800-171 Rev2 mais 15 novos controles “Outros” devem ser implementados

Nível 5 demonstra cibersegurança “Avançada / Progressiva” – Para alcançar este nível mais alto, os contratantes do DoD devem implementar os quatro controles finais no NIST 800-171 Rev2 mais 11 novos controles “Outros”

Para atingir cada nível de certificação, os contratantes e fornecedores devem atender aos requisitos para práticas e processos associados a esse nível em 43 diferentes capacidades, abrangendo 17 domínios de capacidade.

Os domínios de capacidade são os seguintes:

  • Controle de Acesso (AC)
  • Resposta a Incidentes (IR)
  • Gerenciamento de Riscos (RM)
  • Gestão de Ativos (AM)
  • Manutenção (MA)
  • Avaliação de Segurança (CA)
  • Conscientização e Treinamento (AT)
  • Proteção de mídia (MP)
  • Consciência Situacional (SA)
  • Auditoria e Prestação de Contas (UA)
  • Segurança de Pessoal (PS)
  • Proteção de sistemas e comunicações (SC)
  • Gerenciamento de configuração (CM)
  • Proteção Física (PE)
  • Integridade do sistema e da informação (SI)
  • Identificação e Autenticação (IA)
  • Recuperação (RE)

Quem o CMMC afeta diretamente?

Qualquer contratante ou fornecedor que faça negócios com o DoD é afetado e, eventualmente, será obrigado a obter uma certificação CMMC. A definição de contratante ou fornecedor inclui todos os fornecedores em todos os níveis da cadeia de suprimentos, pequenas empresas, fornecedores estrangeiros e empreiteiros de itens comerciais.

O processo de certificação é realizado pelo CmMC -AB (CmMC-AB), que coordena diretamente com o DoD. Juntos, eles desenvolveram procedimentos para credenciar organizações independentes de avaliação de terceiros (CP3AOs) e assessores que avaliarão e certificarão os níveis de CMMC.

Sob a nova orientação, todos os contratos recém-concedidos a qualquer fornecedor ou subcontratado DIB terão que demonstrar a conformidade com a CMMC. Essencialmente, isso se aplica a qualquer organização que lida com CUI.

As únicas empresas isentas da certificação CMMC são aquelas que produzem exclusivamente produtos CotS (Commercial-Off-The-Shelf).

Que medidas devem tomar as empresas que trabalham com o DoD?

É importante esclarecer que, embora a exigência da CMMC comece em 2020/2021, todos os fornecedores de DoD têm tempo suficiente para obter a certificação — até 2025, na verdade.

Este buffer é valioso, pois o caminho para a certificação CMMC não é fácil, rápido ou barato. Primeiro, o período de espera entre aplicação e certificação é de pelo menos seis meses. Além disso, as estimativas para o custo médio contínuo da conformidade cmmc é de aproximadamente US $ 3.000 por funcionário por ano. Os custos iniciais de implementação podem variar de US$ 500 a US$ 1.000 por funcionário.

A Certificação do Modelo de Maturidade de Cibersegurança afirma que os contratantes podem optar por “alcançar um nível específico para toda a sua rede corporativa ou para determinados segmentos onde as informações a serem protegidas são manuseadas e armazenadas”. No entanto, as solicitações do DoD especificarão em que nível de maturidade o fornecedor precisa estar para responder ao pedido de proposta. Portanto, é essencial realizar uma avaliação do negócio e também determinar o que (ou se) CUI faz parte da equação.

Entendendo os requisitos do CMMC

O passo mais iminente dos contratantes do DoD é aprender os requisitos técnicos do CMMC e se preparar para a certificação e, mais importante, agilidade de cibersegurança a longo prazo. Detalhes sobre o processo de avaliações do CMMC e como ele pode ser desafiado são esperados em breve.

Os contratantes do DoD com uma vantagem na avaliação de seus procedimentos, práticas e eventuais lacunas estão em ótima posição para atender aos requisitos do contrato da CMMC.

Uma vez que eles entendam os requisitos, os contratantes devem iniciar sua jornada documentando claramente todas as práticas e procedimentos que já atendem às diretrizes da CMMC. Outro bom passo é planejar e implementar procedimentos e práticas adicionais para obter o mais alto nível de certificação possível.

Uma nota final e importante: ao contrário do NIST 800-171, para o qual uma autoavaliação foi suficiente, o CMMC requer uma auditoria por uma organização de avaliação de terceiros da CMMC (C3PAO). Dito isto, todas as organizações que planejaram ou estão operando sob os padrões NIST estão em uma posição mais forte para a certificação.

Existem empresas de segurança especializadas em preparação para CMMC?

Muitos empreiteiros ou fornecedores do DoD podem não ter os recursos internos e a equipe de TI necessários para atender aos níveis de segurança cibernética da CMMC. Aqueles que têm os recursos podem olhar para o Manual de Autoavaliação da NIST – 162, criado especificamente para empreiteiros do DoD dos EUA que fornecem produtos e serviços para o DoD.

No entanto, o manual abrange apenas o NIST SP 800-171 Rev. 1, que, com base nos níveis de certificação, só é válido até cmmc nível 3.

Os contratantes doD sem a expertise para atender aos requisitos do NIST podem terceirizar os requisitos para um consultor cmmc de terceiros que ofereça serviços de conformidade cmmc. Nos EUA, existem muitos provedores de serviços de segurança gerenciados qualificados e experientes (MSSP) especializados em serviços de conformidade e segurança cibernética monitorada para os contratantes do DoD. Os MSSPs qualificados podem realizar a avaliação inicial e ajudar a empresa a alcançar os requisitos necessários para a aprovação de uma Auditoria CMMC.

O CMMC-AB possui um Marketplace onde as empresas do ecossistema CMMC serão listadas. As Organizações de Provedores Registrados (RPO), que podem ajudar as organizações a se prepararem para a certificação pelo C3PAO, fornecendo serviços de consultoria, serão incluídas no mercado.

Para muitos contratados do DoD, o caminho mais econômico para atender aos requisitos de segurança cibernética da CMMC é terceirizar a tarefa para um Provedor de Serviços de Segurança Gerenciado (MSSP) especializado em CONSULTORIA CMMC. Os contratantes do DoD são, em última análise, responsáveis por garantir que os requisitos de segurança cibernética da CMMC sejam atendidos, por isso a escolha de um MSSP confiável é essencial.

Na maioria dos casos, especialmente para aqueles contratados que não possuem recursos internos, terceirizar esse trabalho de cibersegurança para um provedor qualificado deve economizar muito tempo e dinheiro.

FONTE: AT&T

POSTS RELACIONADOS