As 6 principais perguntas sobre o CMMC

O que os fabricantes precisam saber

A segurança cibernética não é um assunto novo na fabricação. No momento em que equipamentos conectados, softwares inovadores e sistemas robóticos avançados começaram a chegar ao chão de fábrica, a segurança cibernética fez parte da conversa. A segurança cibernética ganhou as manchetes junto com os artigos da Indústria 4.0, mas o burburinho de novas tecnologias chamativas dominou a conversa.

Os fabricantes tendem a colocar a segurança cibernética em segundo plano. Isso não será mais uma opção para muitos. O setor de manufatura tem sido classificado consistentemente entre os 5 setores mais vulneráveis ​​e direcionados a ataques cibernéticos. Os setores de Saúde, Serviços Financeiros e Agências Governamentais são mantidos em um padrão mais elevado quando se trata de conformidade de segurança e gerenciamento de risco. A indústria de manufatura ainda não foi mantida em um padrão mais elevado e, portanto, ainda mais vulnerável ao crime cibernético.

A Certificação do Modelo de Maturidade em Segurança Cibernética (CMMC) está afetando a indústria e abaixo estão as 6 perguntas críticas que os fabricantes precisam fazer.

O que é CMMC?

CMMC significa Cybersecurity Maturity Model Certification. Esta certificação tem uma abordagem única para garantir que a propriedade intelectual crítica permaneça segura. No início, o CMMC será exigido apenas para fabricantes e fornecedores que lidam com Informações Não Classificadas Controladas (CUI) para o Departamento de Defesa (DoD).

O Cybersecurity Maturity Model Certification (CMMC) é o método para certificar que os níveis apropriados de processos de segurança cibernética e proteções estão em vigor para os aproximadamente 300.000 contratados e subcontratados na cadeia de abastecimento do DoD. O processo CMMC agora exigirá uma Organização de Avaliação de Terceiros CMMC (C3PAO) para certificar que as empresas estão reclamando e que o CUI é seguro.

Existem 5 níveis de maturidade parte do CMMC que variam de “Higiene Básica de Segurança Cibernética” a “Avançado / Progressivo”. Conforme o nível de maturidade aumenta, também aumentam as regras e diretrizes que uma empresa deve seguir para se tornar certificada e permanecer em conformidade.

Por que o CMMC está sendo criado?

O Departamento de Defesa reconheceu os ataques cibernéticos como uma ameaça significativa, especialmente para os subcontratados de pequeno e médio porte que apoiam os primos maiores. Maus atores reconheceram que os primos estavam gastando mais recursos para prevenir ataques e que sua cadeia de suprimentos era um alvo mais fácil. Os requisitos de segurança cibernética 800-171 do Instituto Nacional de Padrões e Tecnologia (NIST) foram desenvolvidos para proteger informações confidenciais para contratados que trabalham com o Departamento de Defesa (DoD) para aderir ao Suplemento de Regulamentação de Aquisição Federal de Defesa (DFARS) 252.204 Cláusula -7012. Quando o DoD estimou que apenas uma pequena porcentagem da cadeia de suprimentos estava em conformidade com essas diretrizes, o Cybersecurity Maturity Model Certification (CMMC) foi criado.

Os ataques cibernéticos são uma ocorrência diária, infelizmente. “Com mais de 80 por cento das informações de defesa nacional vivendo em redes de parceiros, não é mais uma conversa sobre o que você está fazendo ou o que estou fazendo; é mais importante o que estamos fazendo como um coletivo para proteger a defesa nacional ”, disse Katie Arrington, assistente especial do Secretário Adjunto de Defesa para Aquisição de Cyber ​​e um dos principais proponentes por trás do CMMC.

Em dezembro de 2018, hackers chineses roubaram informações de empreiteiros da Marinha, que incluíam dados de manutenção de navios e planos de mísseis. Essas ações são uma ameaça direta à segurança nacional. Mesmo que um grande fornecedor do DoD, como a Lockheed Martin, tenha um programa de segurança cibernética de alto nível, todos os subcontratados e fornecedores da cadeia de suprimentos do DoD também devem se proteger ou se tornarão um ponto de entrada para os cibercriminosos. Apenas um elo fraco na cadeia de abastecimento do DoD pode colocar todo o país em risco.

Minha empresa precisa do CMMC?

Cada empresa deve investir no fortalecimento de sua segurança cibernética. De acordo com a Radware Survey, o custo estimado por ciberataque é de $ 4,6 milhões ¹ . 13% dos participantes da pesquisa sofreram um ataque cibernético que custou à sua empresa US $ 10 milhões ou mais, número que dobrou em apenas um ano entre 2018 e 2019. Os especialistas no assunto de segurança cibernética do Programa de Extensão de Manufatura de Nova Jersey (NJMEP) sugerem que todos os fabricantes beneficiar-se de alcançar o equivalente a “Higiene Cibernética Intermediária” ou Nível 2 do CMMC como uma prática recomendada. Para os contratados do DoD, o nível de maturidade dependerá de onde a empresa está inserida na cadeia de suprimentos do DoD.

A identificação de qual dos cinco níveis de maturidade CMMC um fornecedor, subcontratado ou fabricante do DoD deve obedecer será determinado pelo contratante principal do DoD ou pode ser descoberto por meio de uma análise de lacuna do CMMC. Todos os fornecedores, subcontratados ou fabricantes que fazem qualquer trabalho, não importa o quão mínimo, com o DoD precisarão de algum nível do CMMC, mas o nível de maturidade será diferente dependendo das informações que as empresas tratam e do trabalho que está sendo conduzido.

Se uma empresa de Base Industrial de Defesa (DIB) não possui Informações Não Classificadas Controladas (CUI), mas possui Informações de Contrato Federal (FCI), é necessário atender à cláusula FAR 52.204-21 e deve ser certificada no mínimo CMMC Nível 1.

Quando devo iniciar o processo de certificação?

Agora. Os fornecedores, subcontratados e fabricantes do DoD devem começar o processo de se tornar CMMC o mais rápido possível para evitar o risco de perder contratos essenciais do DoD. Do início ao fim, o processo pode levar mais de um ano. Em junho de 2020, CMMC começou a aparecer em RFIs. As empresas podem esperar que os RFPs mencionem o CMMC a partir de setembro de 2020 e as avaliações começarão no outono de 2020.

Agir agora e trabalhar com um consultor intimamente familiarizado com o CMMC e a estrutura de origem do CMMC, o NIST 8001-171, será vital. A certificação começa com uma avaliação para identificar onde, no nível de maturidade do CMMC, uma organização reside atualmente. A próxima etapa seria realizar uma análise de lacunas em profundidade e, em seguida, passar para a correção de serviço completo. Cada nível de maturidade CMMC exige uma quantidade diferente de tempo e esforço. No entanto, começar o mais rápido possível diminuirá a carga sobre a empresa, a liderança e a força de trabalho.

O que acontecerá se eu não me tornar certificado?

Para contratados, subcontratados, fornecedores ou fabricantes do DoD…

Alcançar o nível de maturidade CMMC necessário pode significar a diferença entre garantir o próximo contrato do DoD ou não. Os contratantes principais do DoD começarão a exigir que todos os subcontratados cumpram essas novas regras críticas. Qualquer fabricante que não seguir essas diretrizes e não atingir o nível adequado de maturidade do CMMC não poderá continuar conduzindo os negócios do DoD.

Para fabricantes não DoD…

A partir de agora, os contratados do DoD são os únicos em risco de perder o trabalho do DoD se não adquirirem o CMMC. No entanto, os fabricantes de pequeno e médio porte sempre correm o risco de um ataque cibernético paralisar completamente seus negócios, às vezes a ponto de nunca conseguirem se recuperar financeiramente. Esta certificação fornece aos fabricantes não DoD uma linha de base e melhores práticas de segurança cibernética fantásticas. Dependendo dos resultados de uma avaliação de segurança cibernética, uma empresa pode determinar qual nível de maturidade funcionaria melhor para ela.

Quem pode responder a todas as minhas outras perguntas sobre o CMMC?

Adquirir o CMMC pode ser um desafio, especialmente sem o suporte certo. A certificação ainda está em sua infância, o que cria um ambiente difícil para os fabricantes navegarem por conta própria. Explorar sites como acq.osd.mil/cmmc/faq.html ou trabalhar com consultores como NJMEP são as melhores maneiras de começar e ajudarão a transformar um processo assustador em um valor agregado simplificado para qualquer negócio.

Entender o CMMC, quais negócios serão impactados, quando agir e identificar o nível de maturidade necessário pode ser intimidante. Não vá sozinho. A segurança cibernética é essencial, mas pode ser complexa. Trabalhar com a equipe certa e ter acesso às informações certas será inestimável.

Tenha cuidado

Houve tantas perguntas em torno deste tópico e tantos desenvolvimentos enquanto ele estava sendo implementado. No início, havia muitas empresas que afirmavam poder ajudar e cobravam uma quantia significativa, mesmo quando a versão final das diretrizes ainda não havia sido decidida ou comunicada. Existem inúmeras empresas que vendem soluções ou serviços para ajudar e pode ser difícil determinar em quem confiar. Isso não é algo que pode ser simplesmente terceirizado para um provedor de serviços gerenciados (MSP) que afirma estar familiarizado com os requisitos.

1.https://www.radware.com/newsevents/pressreleases/c-suite-2019