A certificação do modelo de maturidade em segurança cibernética (CMMC): o que você precisa saber

Uma grande mudança está por vir, assim como aconteceu com o FedRAMP em 2022. O Departamento de Defesa dos EUA (DoD) exigirá em breve que as empresas que licitam contratos atendam aos requisitos da Certificação do Modelo de Maturidade de Segurança Cibernética (CMMC). Espera-se que o CMMC se torne lei nos próximos 12 meses.

O DoD desenvolveu o CMMC para estabelecer um padrão unificado de segurança cibernética para a sua base industrial de defesa (DIB), que inclui mais de 300.000 empresas da cadeia de abastecimento e 77.000 subcontratados.

A conformidade com o CMMC pode ser uma batalha difícil para muitas empresas, especialmente de nível médio a pequenos empreiteiros que talvez não tenham os recursos e a experiência para lidar com suas complexidades e requisitos. As principais questões são se eles estão em conformidade e se criaram um plano para se tornarem compatíveis. Muitos não o fizeram.

Estes empreiteiros encontram-se muitas vezes numa posição vulnerável, pois podem ter dificuldade em alocar o tempo e os fundos necessários para alcançar a conformidade com o CMMC, o que normalmente demora cerca de 18 a 24 meses e aproximadamente $2M realizar. Sem orientação e apoio adequados, estas organizações correm o risco de ficar para trás e perder a capacidade de competir por contratos do DoD no futuro.

Prepare-se para conformidade com o CMMC

Para estarem prontos para o CMMC, os contratantes devem começar a determinar o nível de CMMC exigido, com base no tipo de informação que manuseiam rotineiramente. Em seguida, devem realizar uma análise de lacunas para identificar áreas onde as suas práticas de segurança cibernética ficam aquém do nível exigido de CMMC.

Com base nas conclusões, os contratantes devem desenvolver e implementar um plano para colmatar as lacunas identificadas e melhorar as suas posturas de segurança cibernética. Envolver-se com uma Organização de Avaliação Terceirizada do CMMC (C3PAO) para agendar uma avaliação do CMMC também é uma etapa crucial.

Finalmente, os contratantes devem manter e melhorar continuamente as suas práticas de segurança cibernética para garantir a conformidade contínua com os requisitos do CMMC.

Entenda os níveis de certificação CMMC

O CMMC possui três níveis de certificação, cada um com requisitos crescentes de segurança cibernética. Mais uma vez, o nível de CMMC exigido para um contratante depende da sensibilidade das informações do DoD que cada um trata, sendo necessários níveis de certificação mais elevados para informações cada vez mais sensíveis.

Nível 1: Fundacional. (17 práticas) Uma organização deve demonstrar práticas básicas de higiene cibernética, como garantir que os funcionários alterem as senhas regularmente para proteger as informações do contrato federal (FCI). FCI é “informação, não destinada à divulgação pública, que é fornecida ou gerada para o Governo sob um contrato para desenvolver ou entregar um produto ou serviço ao Governo”.

Uma organização deve demonstrar práticas básicas de higiene cibernética, como garantir que os funcionários alterem as senhas regularmente para proteger as Informações do Contrato Federal (FCI). FCI é “informação, não destinada à divulgação pública, que é fornecida ou gerada para o Governo sob um contrato para desenvolver ou entregar um produto ou serviço ao Governo”.

Nível 2: Avançado. (110 práticas) Uma organização deve ter um plano de gestão institucionalizado para implementar boas práticas de higiene cibernética para proteger o CUI, incluindo todos os requisitos e processos de segurança NIST 800-171 r2.

Uma organização deve ter um plano de gestão institucionalizado para implementar boas práticas de higiene cibernética para proteger o CUI, incluindo todos os requisitos e processos de segurança NIST 800-171 r2.

Nível 3: Especialista. (Mais de 110 práticas) Uma organização deve ter processos padronizados e otimizados em vigor e práticas adicionais aprimoradas que detectem e respondam às mudanças de táticas, técnicas e procedimentos (TTPs) de ameaças persistentes avançadas (APTs). Um APT é um adversário que possui níveis sofisticados de conhecimento cibernético e recursos significativos para conduzir ataques de múltiplos vetores. Os recursos incluem recursos para monitorar, verificar e processar análise forense de dados.

Uma organização deve ter processos padronizados e otimizados e práticas adicionais aprimoradas que detectem e respondam às mudanças de táticas, técnicas e procedimentos (TTPs) de ameaças persistentes avançadas (APTs). Um APT é um adversário que possui níveis sofisticados de conhecimento cibernético e recursos significativos para conduzir ataques de múltiplos vetores. Os recursos incluem recursos para monitorar, verificar e processar análise forense de dados.

Comece agora, para começar a colher frutos em breve

Sim, alcançar a conformidade com o CMMC é um desafio e requer esforço, recursos e comprometimento significativos dos contratantes para atender aos rigorosos requisitos de segurança cibernética estabelecidos pelo DoD.

No entanto, você tem muitas opções:

• Faça parceria com provedores de serviços de segurança cibernética experientes
• Invista em programas de treinamento e conscientização da equipe
• Implementar ferramentas e tecnologias robustas de segurança cibernética
• Monitore e avalie regularmente sua postura de segurança cibernética

Tenha sucesso na era dos padrões de segurança cibernética

A introdução do CMMC marca uma mudança significativa para os contratantes do DoD. Embora o caminho para a conformidade possa ser desafiador, é necessário proteger informações confidenciais de defesa. Ao compreender os requisitos, preparar-se diligentemente e procurar o apoio certo, os empreiteiros podem navegar com sucesso nesta nova era de padrões de segurança cibernética e continuar a competir por contratos do DoD.

É uma jornada na qual podemos ajudá-lo. Com o nosso apoio, você não só poderá enfrentar e superar os desafios colocados pelo CMMC, como também abrir as portas para novas oportunidades para sua organização.

Pronto para começar? Contate-nos hoje em:

• Soluções governamentais da Rackspace Technology

Russell.Rodd@Rackspace.com

Para obter mais informações sobre as ofertas governamentais da Rackspace Technology, visite:

Soluções governamentais em nuvem | Experiência incomparável & Experiência (rackspace.com)

Join the Conversation: Find Solve on Twitter and LinkedIn, or follow along via RSS.

Stay on top of what's next in technology

Learn about tech trends, innovations and how technologists are working today.