O que você precisa saber sobre a certificação CMMC

Conforme a Certificação do Modelo de Maturidade em Segurança Cibernética (CMMC) se aproxima da implementação completa, as organizações afetadas estão correndo para garantir que serão aprovadas no processo de certificação.

O objetivo é simples:as organizações devem atender aos padrões mínimos de segurança cibernética e, ao fazê-lo, fazem sua parte para melhorar a segurança nacional. As apostas são extraordinariamente altas para as estimadas 300.000 organizações de base industrial de defesa (DIB) que em breve precisarão ser certificadas em um dos cinco níveis do CMMC para serem elegíveis a receber um contrato federal. Em poucas palavras:sem certificação, sem contrato. Do ponto de vista do Governo dos Estados Unidos e do Departamento de Defesa, as apostas sempre foram altas, uma vez que o DIB desempenha um papel tão crítico na defesa de nossa nação. A única maneira de garantir a proteção de nossos dados e a integridade da cadeia de abastecimento é manter a indústria em um padrão mais elevado.

Como chegamos aqui?

A atividade adversária de atores estatais e não estatais continua a aumentar, e os custos econômicos são surpreendentes - US $ 5 trilhões em todo o mundo - segundo algumas estimativas. Outras estimativas mostram que o custo para a economia dos EUA foi algo entre US $ 57 bilhões e US $ 109 bilhões em 2016. No entanto, a necessidade do CMMC não é apenas sobre interesses econômicos, é sobre a defesa coletiva de nós mesmos. Grandes e pequenas empresas contribuem para o sucesso do guerreiro americano e todas terão o mesmo nível de responsabilidade com o CMMC.

No espaço federal, basta uma rápida olhada em um determinado caça a jato para conectar os pontos de como é importante proteger as organizações que, em última análise, protegem e defendem nosso país. No espaço comercial, a violação do Target mostrou como os parceiros de negócios podem ser o elo mais fraco que, em última análise, facilita um ataque. Ao manter o DIB mais responsável, ajudamos a cumprir não apenas um novo requisito de negócios, mas também atenderemos a um imperativo estratégico de ser mais resiliente a ataques. Os tempos mudaram e também a forma como conduzimos os negócios. Goste ou não, manobramos no campo de batalha moderno, onde palavras como “guerra”, “espionagem” e “crime” são precedidas de “cibernético”, o que significa que as entidades públicas e privadas devem ser preparadas com uma resposta moderna.

O que é CMMC?

O CMMC tem cinco níveis de controles técnicos e procedimentais que visam proteger as Informações Não Classificadas Controladas (CUI) e as Informações sobre Contratos Federais (FCI) para contratantes do DoD. Para atingir o nível 5 do CMMC, as organizações precisarão passar pela implementação e avaliação de 171 controles técnicos e procedimentais. A maioria dos profissionais de segurança cibernética no espaço federal descobrirá que a maior parte dos controles do CMMC são familiares. Na verdade, para atingir o nível 3 do CMMC, quase todos os controles são encontrados no NIST SP 800-171. As organizações que em breve exigirão a certificação no CMMC já foram obrigadas a cumprir os controles descritos no NIST SP 800-171 desde 2016. A principal diferença é que as organizações não podem mais se autocertificar e enviar um plano de ações e marcos para resolver as deficiências . As organizações que buscam a certificação devem ser formalmente avaliadas por uma Organização Avaliadora Terceira do CMMC ou avaliador certificado pelo Organismo de Credenciamento CMMC, uma organização sem fins lucrativos encarregada de certificar a prontidão dos avaliadores. Embora nenhuma data tenha sido fornecida para o início das avaliações, o treinamento começou recentemente para o primeiro grupo de avaliadores CMMC.

O que fazer agora?

A preparação do CMMC é um exercício de implementação dos fundamentos da segurança cibernética e da melhoria contínua para obter maior resiliência. Os níveis CMMC são cumulativos e em camadas para que um nível sobe para o próximo, portanto, para atingir o nível 4, você deve estar totalmente em conformidade com o nível 3. Cada nível se correlaciona com o nível de sofisticação de suas práticas de segurança, começando com higiene básica e elevação para medidas mais avançadas e proativas, como caça a ameaças no Nível 5. Com 171 controles de complexidade crescente, você pergunta por onde começar?

• Eduque-se: Compreenda os controles técnicos e as políticas delineadas pelo CMMC.
  • Aqui está a versão 1 do CMMC.
  • Aqui estão as perguntas frequentes do CMMC.
• Determine qual nível é certo para você: As organizações precisarão decidir que nível de certificação procuram. Organizações que armazenam apenas FCI podem ter o conteúdo atingindo CMMC Nível 1 e organizações que armazenam e manipulam CUI ou contribuem para esforços mais sensíveis provavelmente irão querer ser certificadas no CMMC Nível 3 ou superior. O DoD listará os requisitos de nível CMMC na solicitação de propostas.
• Conheça a si mesmo: Compreenda e documente seu ambiente de sua rede interna para seus parceiros de negócios. Costuma-se dizer que “você não pode defender o que não sabe”, e é verdade. Você deve compreender sua segmentação, sistemas e superfície de ataque antes de ter esperança de defendê-los.
• Autoavaliação: Determine como você compara os controles do nível de certificação que sua organização está buscando. Identifique quaisquer controles que não sejam atendidos atualmente, planeje como resolver os problemas e reavalie. Para flexibilidade futura, identifique o que seria necessário para sua organização alcançar o próximo nível.
• Compra: Somos tão fortes quanto nosso elo mais fraco; entenda que o CMMC foi projetado para ajudar a mitigar os riscos de se fazer negócios no setor de defesa. Alguns controles serão simples ou já estão sendo feitos, e outros podem exigir o suporte de várias partes da sua organização. Você pode precisar de aprovações, aumento de orçamento ou patrocínio executivo. Alguns controles podem ser um levantamento pesado do ponto de vista técnico. Toda a organização precisará concordar, ser pragmática e fazer sua parte para apoiar e proteger a missão.
• Seja flexível: O CMMC é novo e cria pontes entre as grandes entidades complexas com o DoD e o DIB. Essas são organizações enormes, ainda existem incógnitas com o CMMC, e o que era conhecido há um mês pode mudar. Portanto, seja flexível, seja paciente e saiba que todos nós precisamos fazer melhor para proteger o que valorizamos.

Se você precisa ser certificado para CMMC Nível 1 ou 5, ou talvez sua organização nem mesmo faça negócios com o DoD, os padrões estabelecidos pelo CMMC são um roteiro para qualquer organização amadurecer sua postura de segurança cibernética. Independentemente do seu ponto de partida, alcançar a conformidade com o CMMC representará um desafio para pequenas e grandes organizações, mas o resultado é a melhoria de que precisamos desesperadamente. Proteger nossos dados e propriedade intelectual é lógico e absolutamente necessário para manter uma vantagem tecnológica sobre nossos adversários. A avaliação e o aprimoramento contínuos na prática dos fundamentos da segurança cibernética são fundamentais para atingir um nível de resiliência digital que nos permitirá combater as ameaças modernas.

Wayne Lloyd é diretor de tecnologia federal da RedSeal.