Certificação de modelo de maturidade de segurança cibernética (CMMC)

A Certificação do Modelo de Maturidade da Segurança Cibernética (CMMC) é um programa estabelecido pelo Departamento de Defesa dos EUA (DoD) para assegurar e proteger Informações de Contratos Federais (FCI) e Informações Não Classificadas Controladas (CUI), exigindo a certificação de contratados externos em 14 domínios diferentes, cada um com três níveis especificados de certificação.

A CMMC é um padrão unificado para implementar a segurança cibernética em toda a rede contratada do DoD, que inclui mais de 300.000 empresas na cadeia de fornecimento. A CMMC é a resposta do DoD a compromissos significativos de informações de defesa sensíveis localizadas nos sistemas de informação dos prestadores de serviços.

• A data de lançamento foi 1º de janeiro de 2020.
• O DoD começou a incorporar os requisitos da CMMC em determinadas RFPs/RFIs a partir de 30 de novembro de 2020.
• Até 1º de outubro de 2025, todos os contratos do DoD exigirão pelo menos algum nível de certificação da CMMC. Enquanto o DoD foi o catalisador da CMMC, ela está agora ganhando força em toda a Base Industrial de Defesa (DIB), incluindo o Departamento de Segurança Interna e outros departamentos e agências do governo federal – especialmente após a SolarWinds.

Historicamente, os prestadores de serviços eram responsáveis pela implementação, monitoramento e certificação da segurança de seus sistemas de tecnologia da informação e qualquer informação sensível do DoD era armazenada ou transmitida por esses sistemas.

A partir de 30 de novembro de 2020, o DoD começou a incorporar os requisitos da CMMC em RFPs, RFIs e determinados contratos de pesquisa. Até 1º de outubro de 2025, todos os contratos do DoD exigirão pelo menos algum nível de certificação da CMMC. O modelo consiste em três níveis de maturidade (fundamental, avançado e especialista) que depende do tipo de informação que está sendo tratada. Cada nível também tem diferentes requisitos de avaliação de autoavaliações, avaliações de terceiros ou lideradas pelo governo. O portfólio de segurança digital da Entrust, incluindo soluções de identidade, certificado e proteção de dados, facilita a conformidade com nove domínios CMMC nos três níveis possíveis de certificação.

A organização está trabalhando com informações básicas, tais como Informações de Contrato Federais (FCI)? Ou são Informações Não Confidenciais Controladas (CUI)? As FCI exigem uma certificação de Nível 1, mas as CUI exigem pelo menos Nível 2.

Onde estão as lacunas entre a atual posição de segurança cibernética da organização e o nível de CMMC desejado? Uma avaliação das lacunas será inestimável para definir um plano de ação e marcos para atingir a maturidade de segurança cibernética da CMMC.

A CMMC abrange os requisitos de segurança especificados no NIST SP 800-171, bem como requisitos adicionais de outras normas e fontes, que variam de acordo com o nível de certificação. O que uma avaliação de lacunas revelará sobre o nível atual de higiene de segurança cibernética da organização?

Tenha em mente o objetivo final da CMMC: Manter as FCI e CUI fora das mãos de agressores cibernéticos maliciosos.