Cybersecurity Maturity Model Certification (CMMC): O que você precisa saber

por

O Departamento de Defesa dos Estados Unidos está implementando a Certificação do Modelo de Maturidade Cibernética (CMMC) para normalizar e padronizar a preparação para a cibersegurança em toda a base industrial de defesa do governo federal (DIB). Esta peça abrangerá o conceito de um modelo de maturidade no contexto da cibersegurança, as principais representações do DIB, a anatomia dos níveis do CMMC e como o Varonis pode acelerar a certificação.

  • O que é a Certificação do Modelo de Maturidade Cibernética?
  • A estrutura CMMC e 5 níveis
  • Como obter a certificação CMMC
  • Mapa de Produtos Varonis para Domínios CMMC

O que é um Modelo de Maturidade?

Modelos de Maturidade são um conjunto de melhores práticas, cujo grau de aderência progride as organizações ao longo de uma escala de níveis mais baixos de adoção ou “maturidade” para níveis mais altos de aptidão e certificação. Certificar para um modelo de maturidade significa que uma empresa ou organização se comprometeu a melhorar seus processos e práticas dentro dos domínios de um modelo para um nível sustentável e medido de alto desempenho.

CMMC com este Guia Gratuito

O que é a Certificação do Modelo de Maturidade Cibernética?

Cybersecurity Maturity Model Certification é um programa iniciado pelo Departamento de Defesa dos Estados Unidos (DoD) a fim de medir as capacidades, prontidão e sofisticação de seus contratantes de defesa na área de ciber-segurança. Em um nível elevado, a estrutura é um conjunto de processos, outras estruturas e insumos dos padrões de cibersegurança existentes, como NIST, FAR e DFARS.

A um nível tático, o objetivo principal da certificação é melhorar a garantia e a segurança das Informações Não Classificadas Controladas (CUI) e das Informações Contratuais Federais (FCI) que estão na posse e uso de seus contratados federais. O programa CMMC foi anunciado em 31 de janeiro de 2020.

Quando entra em vigor?

A partir de setembro de 2020, o DoD começou a emitir um número limitado de pedidos de informação que contêm especificações do CMMC, e espera-se que o CMMC seja um requisito de todos os novos pedidos de propostas do DoD a partir de 2026.

A quem se aplica CMMC?

A certificação é aplicável tanto a contratantes “principais” que se envolvem directamente com o DoD, como a subcontratados que contratam com primes para fornecer o cumprimento e execução desses contratos. Apesar de algum nível de certificação ser um requisito de cada contrato com início em 2026, o DoD indicou que pretende emitir oportunidades de contrato em todos os níveis do modelo de maturidade, o que significa que haverá algum número de pedidos emitidos que exigirão apenas um baixo nível de certificação, e alguns que exigirão níveis mais elevados de certificação.

Por que o CMMC Matter?

Depoimento de estatísticas importantes: $600B Impacto anual do cibercrime, $402B Valor anual do contrato do DoD, 300.000 Empresas no DIB, 54% Alocação de orçamento para pequenas empresas

Estima-se que o cibercrime drena mais de $600 bilhões anualmente do PIB global. Confiar na vasta rede de empreiteiros para executar sua missão significa que o Departamento de Defesa está confiando a cada um deles dados críticos que sistematicamente aumentam o perfil de risco global do DIB. Assim, o DoD compreende o peso e o tamanho da proporção de risco que o crime cibernético coloca sobre sua base de subcontratados, muitos dos quais são pequenas empresas e carecem dos recursos de suas contrapartes maiores e principais.
É neste cenário que o DoD liberou o CMMC, para facilitar a adoção de melhores práticas em cibersegurança com uma estratégia de “defesa em profundidade” em toda a sua base global de subcontratados.

Saber Antes: Principais aquisições CMMC

  • Aplica aos contratantes principais e subcontratados do DoD
  • Aplica a alguns novos contratos com início em 2020 e aplica-se a todos os contratos com início em 2026
  • O modelo progressivo abrange níveis avançados de processos e práticas de ciber-segurança resultando num nível de certificação
  • Os contratantes devem começar no nível 1 e certificar em cada nível até ao nível superior 5
  • Varonis é uma ferramenta poderosa para facilitar todos os níveis de conformidade CMMC

A estrutura CMMC e 5 níveis

CMMC ilustração de uma tabela mostrando os requisitos de nível

A Certificação do Modelo de Maturidade Cibernética baseia-se num nível ascendente de preparação do nível 1 (mais baixo) para o nível 5 (avançado).

O objectivo final do CMMC é assegurar a protecção de dois tipos de informação contra a divulgação ou uso não autorizado:

  • Informação Não Classificada Controlada (CUI): Informação que requer salvaguarda ou controles de divulgação de acordo e consistente com a lei aplicável, regulamentos e políticas governamentais, mas não está classificada sob a Ordem Executiva 13526 ou a Lei de Energia Atômica, conforme emenda.
  • Federal Contract Information (FCI): Informações, não destinadas a divulgação pública, que são fornecidas ou geradas pelo governo sob um contrato para desenvolver ou entregar um produto ou serviço ao governo, mas não incluindo informações fornecidas pelo governo ao público.

Níveis de Certificação do CMMC (Resumo)

Cada nível tem um conjunto de Processos e Práticas e um qualificador ou “objetivo” para cada um deles, conforme se relacionam com os Domínios aplicáveis naquele nível. Por exemplo, como visto na imagem abaixo, alcançar o CMMC nível 2 significa que o objetivo de uma organização é ter Processos que são documentados e Práticas que são consistentes com a higiene cibernética intermediária.

CMMC ilustração da estrutura

Componentes da estrutura

Os componentes do CMMC em jogo são:

  • Domínios
  • Processos
  • Capacidades
  • Practices

A medida que os contratantes avançam nas suas avaliações em cada um destes componentes, a certificação global é atingida a um nível.

>

Avaliação da aderência dos empreiteiros e subempreiteiros aos Processos e Práticas, na medida em que eles se relacionam com cada um dos Domínios aplicáveis em cada nível do modelo.

NOTE: Nem todos os Domínios abrangem os cinco níveis. Domínios pertencem a um mínimo de 1 e um máximo de 5 níveis ou qualquer número contíguo de níveis entre.

Níveis CMMC compreensíveis & Domínios

No gráfico abaixo, olhando de cima para baixo, vemos uma lista dos 17 Domínios. Olhando da esquerda para a direita vemos o número de Práticas para cada Domínio e o número de Práticas naquele Domínio por Nível (os segmentos do gráfico de barras por cor).

Movendo para baixo o gráfico, podemos ver que, por exemplo, nem todos os Domínios têm uma presença no nível 1 (L1).

Uma contratante do governo prime ou subprime que entrega as 17 Práticas L1 contidas nos 6 Domínios aplicáveis a L1 deve receber a Certificação do Modelo de Maturidade Cibernética nível 1.

Referring back to the levels summary above, contratantes com CMMC nível 1 praticam a ciber-higiene básica e seus processos são meramente realizados. Lembrando que não há avaliação de Processo no nível 1, portanto ML 1 não é exigido para a certificação de nível 1.

Avançar ainda mais através do modelo, um contratado alcançaria CMMC nível 3 quando entregasse as 130 Práticas L3 contidas nos 16 Domínios aplicáveis a L3 e ganharia uma avaliação de Processo de ML3 em cada um desses Domínios.

NOTE: As práticas são cumulativas em cada Nível. Os Contratantes devem certificar em cada nível para passar para o nível subsequente.

CMMC ilustração das indústrias de maior risco

Recap do Framework

O CMMC tem um monte de partes interligadas e móveis para ele, assim ele pode ajudar a resumir as principais medidas e visualizar suas relações como visto na imagem acima.

  • Domínios: 17
  • Capacidades: 43 (Estas são coleções de Práticas)
  • Practices: 171
  • Processos: Níveis de Maturidade: 1 – 5
  • Níveis de Certificação: 5

Processos são avaliados para níveis de maturidade correspondentes ao nível de certificação. Os domínios são compostos e Práticas (organizados por Capacidades) e englobam os Processos aí realizados. A certificação para um nível requer o domínio dos Domínios nesse nível que inclui suas Práticas e Processos.

Como obter a certificação CMMC

DoD criou o CMMC Accreditation Body (AB) que é uma organização sem fins lucrativos e independente para credenciar Organizações de Avaliação de Terceiros (3PAOs), além de avaliadores individuais. Detalhes sobre a mecânica da certificação estão disponíveis, mas o DoD planeja estabelecer um mercado para 3PAOs a serem avaliadas e contratadas por contratantes que buscam a certificação.

Fast-Track CMMC com Varonis

Começar com CMMC pode parecer uma tarefa assustadora, e a realidade é que a certificação é simplesmente um programa grande demais para ser gerenciado por uma pessoa ou talvez até mesmo por uma equipe dentro de uma organização. No entanto, a certificação será um requisito não negociável para os empreiteiros do DoD que vão adiante, e Varonis pode ajudar os empreiteiros federais a começar imediatamente.

O melhor lugar para começar a operacionalizar o CMMC é em Domínios. Lembre-se que estes são “centros de excelência” com tarefas e gerenciamento que devem ser realizados e continuamente otimizados para que as organizações alcancem e avancem seus níveis de certificação. Lembre-se também que o objetivo principal do CMMC é a proteção da Informação Não Classificada Controlada (CUI) e da Informação de Contrato Federal (FCI).

A Plataforma de Segurança de Dados Varonis pode facilitar, executar e automatizar um grande número das 171 Práticas e seus Processos relacionados dentro do corpo de requisitos do CMMC.

DatAdvantage

Conseguir visibilidade em tempo real e trilhas de auditoria de arquivos, dados sensíveis e servidores através dos ecossistemas Microsoft e UNIX/Linux. Obtenha o menor privilégio rapidamente com um conjunto completo de relatórios para acelerar – e manter – a certificação.

Data Classification Engine + Policy Pack, Data Classification Labels, Data Transport Engine & Automation Engine

Put the power of machine learning behind your CUI and FCI processes to quickly find and completely clean up data stores on-prem and in the cloud. Varonis tem um poderoso conjunto de produtos com modelos de classificação incorporados para mais de 60 tipos de arquivos que ajudam os contratantes federais a nivelar e manter seu CMMC, garantindo a continuidade do negócio e acesso a dados importantes.

DatAlert + Edge

Stop ameaças à CUI e FCI em suas pistas com alerta de alta fidelidade em arquivos, pastas, contas e domínios. Use regras embutidas ou crie ações personalizadas para fechar automaticamente o acesso e corrigir a exposição em qualquer ponto da cadeia de eliminação.

Mapa de produtos Varonis para domínios CMMC

Chave de mapa de produtos:

  • DatAdvantage
  • DatAlert + Edge
  • DataPrivilege
  • DatAdvantage
  • Data Classification Engine + Policy Pack
  • Data Classification Labels
  • Data Transport Engine
  • Automação Motor
  • Serviços Profissionais
  • Equipe de Resposta a Incidentes

>

>

>

>

>

>

>

>

>

>

>

>

Domínio Capacidades Varonis Produto(s)
AC – Controlo de Acesso
  • Estabelecer requisitos de acesso ao sistema
  • Controlar o acesso interno ao sistema
  • Controlar o acesso remoto ao sistema
  • Limitar o acesso aos dados dos usuários e processos autorizados
 DataAdvantage

DataPrivilege
AM – Gestão de activos
  • Identificar e documentar activos
  • Gerir inventário de activos

>

 Data Classification Engine + Policy Pack
AU – Auditoria & Responsabilização
  • Definir requisitos de auditoria
  • Executar auditoria

    • >

  • Identificar e proteger informação de auditoria
  • Revisar e gerir registos de auditoria

>

 Vantagem dos dados

Motor de transporte de dados

>
AT – Consciencialização & Treino
    >

  • Atividades de sensibilização sobre segurança de conduta
  • Treinamento de conduta
 Serviços profissionais
CM – Gestão de configuração
  • Estabelecer linhas de base de configuração
  • Executar gestão de configuração e mudança
 Vantagem dos dados

Alerta de dados + Edge

DataPrivilege

Automation Engine
IA – Identificação & Autenticação
  • Acesso derant a entidades autenticadas
 DataAdvantage

DataPrivilege
IR – Resposta ao incidente
    >

  • Resposta ao incidente planejado
  • Detectar e relatar eventos

    • >

  • Desenvolver e implementar uma resposta a um incidente declarado

    • >

  • Executar revisões pós incidente
  • Resposta ao incidente de teste

    • >

>

 Vantagem dos dados

Alerta de dados + Equipe de Resposta a Incidentes
MA – Manutenção
  • Manutenção de Gerência
 Alerta Datal + Borda
MP – Proteção de mídia
  • Identificar e marcar mídia
  • Proteger e meios de controlo
  • Sanitize media
  • Proteger meios durante o transporte
 DataAdvantage

DataPrivilege

Data Classification Labels
PS – Personnel Security
  • Screen personnel
  • Proteger CUI durante as ações do pessoal
 DatAdvantage

DataPrivilege
PE – Físico Proteção
  • Limite de acesso físico
RE – Recuperação
  • Gerenciar backups
  • Gerenciar continuidade da segurança da informação
 Alerta de dados + Bordo

Motor de transporte de dados
RM – Gestão de risco
  • Identificar e avaliar o risco
  • Gerenciar risco
  • Gerenciar cadeia de suprimentos risco
 DataAdvantage

DatAlert + Edge

Automation Engine
CA – Avaliação de Segurança
  • Desenvolver e gerir um plano de segurança do sistema
  • Definir e gerir controlos
  • Executar revisões de código
 DataAdvantage

DatAlert + Edge

Serviços Profissionais
SA – Situational Awareness
  • Monitorização de ameaças de implementação
 DatAlert + Edge
SC – Sistema & Protecção das comunicações
    >

  • Definir requisitos de segurança para sistemas e comunicações

    • >

  • Controlar a comunicação nos limites do sistema

    • >

>

 Vantagem dos dados

Alerta de dados + Borda
SI – Sistema &Integridade da informação
  • Identificar e gerir falhas do sistema de informação
  • Identificar conteúdo malicioso
  • Executar monitorização da rede e do sistema
  • Implementar protecções avançadas de e-mail
 Vantagem dos dados

Alerta de dados + Bordo

Deixe um comentário