Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
EnglishEspañolItalianoFrançaisDeutschPortuguês
Segurança de Dados
Governança de AlGestão da Postura de Segurança de DadosGovernança de Acesso a DadosPrevenção de Perda de DadosDescoberta e Classificação de Dados
Segurança de Identidade
Detecção e Resposta a Ameaças de IdentidadeGovernança e Administração de IdentidadeGestão da Postura de Segurança de IdentidadeGerenciamento de Acesso PrivilegiadoSegurança do Diretório

O futuro da segurança dos dados

A Plataforma Netwrix 1Secure™

Explorar
Soluções
Casos de Uso em Destaque Ver todos os casos de uso
Segurança do Active DirectoryDefesa de Identidade Não HumanaProntidão do CopilotImplantação LocalDetecção e Análise de Risco de IdentidadeProvedores de Serviços GerenciadosFusões, Aquisições e DesinvestimentosConformidade RegulamentarSegurança do Microsoft 365Zero Trust
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint ProtectorNetwrix Privilege SecureGerenciador de Identidade Netwrix

O checkout self-service está disponível para organizações com até 150 funcionários

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Compre Agora Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinarsMicrosoft Alliance
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Proteção CUI: Manipulação segura de informações controladas não classificadas

Proteção CUI: Manipulação segura de informações controladas não classificadas

Apr 20, 2026

A proteção de informações não classificadas controladas (CUI) requer identificação, marcação, salvaguarda e governança de acesso consistentes em todos os sistemas que lidam com dados federais. Com a Fase 1 do CMMC em andamento e a regra FAR CUI em vigor, a conformidade é agora um pré-requisito contratual.

Informações não classificadas controladas (CUI) são informações sensíveis, mas não classificadas, que exigem controles de salvaguarda ou disseminação conforme a lei federal, regulamento ou política governamental geral. Para agências federais e contratados nos setores de defesa, energia, saúde e outros setores regulados, a obrigação de manusear corretamente a CUI traz implicações significativas de conformidade e contratuais.

No entanto, muitas organizações ainda carecem dos procedimentos, controles do sistema e visibilidade necessários para cumprir os requisitos federais. Com a implementação da Fase 1 do CMMC em andamento e o governo avançando para requisitos mais uniformes de manuseio de contratados por meio da regra FAR CUI, a conformidade com CUI não é mais aspiracional. É um pré-requisito contratual.

Organizações que não conseguem demonstrar controles adequados de identificação, marcação, proteção e disseminação para CUI correm risco de constatações adversas em auditorias, atrasos em contratos e perda de elegibilidade para futuras premiações.

Este guia explica o que realmente é o CUI, como são os requisitos de proteção e como construir uma abordagem prática para lidar com ele com segurança.

O que são informações não classificadas controladas (CUI)?

Informações não classificadas controladas são informações que o governo federal cria ou possui, ou que uma entidade cria ou possui em nome do governo, que requerem salvaguardas ou controles de disseminação consistentes com as leis, regulamentos e políticas governamentais aplicáveis.

Como uma categoria formal de informação, o CUI foi estabelecido pelo Executive Order 13556 e codificado no 32 CFR Part 2002. Substituiu um mosaico de marcações legadas como FOUO, LES e SBU por uma estrutura única e consistente para proteger informações sensíveis, mas não classificadas, em agências federais e seus contratantes.

Um princípio fundamental sustenta todo o programa: apenas informações que requerem proteção conforme a lei federal, regulamento ou política governamental geral podem ser designadas como CUI. As agências não podem criar categorias de CUI baseadas apenas em preferências administrativas.

CUI divide-se em duas categorias de manuseio:

  • CUI Básico é o padrão. Aplica padrões uniformes do 32 CFR Parte 2002 a todo CUI, a menos que o Registro CUI da NARA anote especificamente uma categoria como CUI Especificado. As marcações do banner parecem CUI ou CUI//PRVCY.
  • CUI Especificado aplica-se quando a lei ou regulamento autorizador contém controles específicos de manuseio que diferem dos padrões básicos do CUI. Essas categorias possuem o prefixo "SP-", como CUI//SP-CTI.

A diferença está na fonte dos controles, não no nível de sensibilidade; o CUI Basic preenche quaisquer lacunas onde a autoridade específica está silenciosa.

O NARA CUI Registry é a fonte autorizada, abrangendo mais de 125 categorias. É onde os contratados devem ir para determinar a classificação, marcação e manuseio adequados de qualquer CUI que encontrarem.

Exemplos comuns de CUI

Nem todos os dados sensíveis são CUI; devem estar vinculados a uma autoridade listada no Registro CUI. Aqui estão exemplos comuns de CUI nas principais categorias:

  • Defesa (CTI): Informações técnicas controladas (CTI) incluem esquemas técnicos, documentos de design do sistema e código-fonte desenvolvidos para aplicações militares, marcados como CUI//SP-CTI sob a autoridade do DFARS 252.204-7012.
  • Controle de exportação: Desenhos técnicos para artigos de defesa na U.S. Munitions List e dados técnicos sujeitos a licenciamento de exportação estão cobertos pelas categorias de controle de exportação do Registro CUI.
  • Forças da lei: Informações de registros criminais, perfis de DNA e dados de identificação de informantes aparecem nas categorias CUI relacionadas às forças da lei.
  • Privacidade: Números de Seguro Social, números de contas financeiras, dados biométricos e HIPAA cobertos por informações de saúde são tratados sob categorias de CUI relacionadas à privacidade/saúde.
  • Infraestrutura crítica: Informações sobre vulnerabilidades relacionadas ao terrorismo químico, informações sobre infraestrutura energética crítica e informações sobre vulnerabilidades de sistemas de informação aparecem nas categorias de infraestrutura crítica.

Estes exemplos são representativos, não definitivos. Sempre valide a categoria específica, autoridade e marcações necessárias no Registro CUI e na linguagem do seu contrato antes de definir as regras de manuseio.

Requisitos principais para proteção de CUI

Proteger a CUI não é apenas bloquear arquivos. Envolve marcação, proteção física e digital, e controle de quem pode acessar e compartilhar informações. Cada uma dessas áreas possui requisitos federais específicos, e uma falha em qualquer uma delas pode comprometer toda a sua postura de conformidade. Veja o que você precisa acertar nos três pilares principais de proteção.

Marcação e rotulagem de CUI

Marcas inconsistentes são uma das maneiras mais rápidas de falhar em uma avaliação de conformidade. As marcas conduzem toda a cadeia de manuseio do CUI: elas indicam aos detentores autorizados quem pode acessar as informações, como elas podem ser compartilhadas e quais proteções se aplicam.

Exemplos padrão de marcação:

  • CUI Básico sem categoria: CUI
  • CUI Especificado: CUI//SP-CTI
  • CUI especificado com controle de disseminação: CUI//SP-SGI//FEDONLY

Na prática, marcações precisas nos banners, juntamente com rotulagem consistente a jusante (assuntos de e-mails, cabeçalhos de arquivos, folhas de rosto e repositórios), são o que impede que a CUI vaze para canais não controlados.

Cada documento CUI deve incluir um indicador de designação que identifique a agência controladora. As orientações também recomendam aplicar marcações de banner CUI nas linhas de assunto e nos corpos das mensagens de e-mail quando os e-mails contêm CUI.

Ambientes protegidos e controlados

A CUI deve ser tratada em ambientes controlados com controles de acesso e proteções contra visualização ou escuta não autorizadas.

NIST SP 800-171 Rev. 1 estabeleceu a linha de base: o valor do impacto na confidencialidade para CUI não é inferior a FIPS 199 moderado. De acordo com o FIPS 199, moderado significa que a perda de confidencialidade "poderia ser esperada para ter um efeito adverso sério nas operações organizacionais, ativos organizacionais ou indivíduos."

As organizações devem descrever o limite do sistema CUI em um Plano de Segurança do Sistema (SSP), incluindo o ambiente operacional, como os requisitos são implementados e as conexões com outros sistemas.

Os requisitos de segurança física incluem limitar o acesso a indivíduos autorizados, escoltar visitantes, manter registros de auditoria de acesso e aplicar salvaguardas em locais de trabalho alternativos.

Controle de acesso e controles de disseminação

O acesso a CUI segue um princípio claro: apenas usuários autorizados com necessidade legítima de saber e treinamento adequado podem acessá-lo.

NIST SP 800-171 Rev. 3 fortaleceu a gestão de contas para exigir a definição dos tipos de conta permitidos, a autorização de acesso com base na necessidade válida e uso pretendido, e o monitoramento contínuo do uso da conta do sistema.

De acordo com 32 CFR 2002.16, a disseminação deve obedecer às leis que estabeleceram a categoria CUI, promover um propósito governamental legal e não ser restringida por um controle autorizado de disseminação limitada.

Antes de compartilhar CUI com partes externas, verifique se o destinatário tem uma necessidade legítima de saber, entende os requisitos de CUI e pode proteger as informações adequadamente.

O treinamento também é importante aqui. A regra FAR CUI de janeiro de 2025 estabelece que os contratados não podem permitir que nenhum funcionário manuseie CUI a menos que esse funcionário tenha concluído o treinamento adequado, e os contratados devem fornecer evidências do treinamento mediante solicitação.

CUI e estruturas de cibersegurança

As obrigações de proteção de CUI não existem isoladamente. Elas estão inseridas em uma pilha em camadas de estruturas federais de cibersegurança que traduzem os requisitos das políticas em controles de segurança específicos e auditáveis.

Entender como esses frameworks se conectam é essencial para construir um ambiente em conformidade, especialmente quando diferentes contratos fazem referência a diferentes revisões ou linhas de base.

NIST SP 800-171 e CUI

NIST SP 800-171 traduz as obrigações de proteção CUI em requisitos específicos de segurança para sistemas não federais. A versão atual, Rev. 3, contém 97 requisitos de segurança distribuídos em 17 famílias de controle. A Rev. 2 tinha 110 requisitos em 14 famílias.

Domínios principais que afetam diretamente o manuseio de CUI incluem:

  • Controle de acesso: gerenciamento de contas, privilégio mínimo, separação de funções, controle do fluxo de informações
  • Auditoria e responsabilidade: logs de auditoria capturando tipo de evento, momento, fonte, resultado e identidade; retenção alinhada aos requisitos da organização e do contrato
  • Resposta a incidentes: capacidade operacional de manuseio, rastreamento e teste na frequência definida pela organização
  • Proteção de mídia: sanitização antes do descarte, proteção criptográfica durante o transporte

Juntos, esses domínios definem os controles operacionais diários que os auditores procuram ao avaliar se o manuseio de CUI é realmente aplicado, e não apenas documentado.

Níveis de impacto FIPS 199 e CUI

A cascata de conformidade funciona assim: FIPS 199 categoriza os níveis de impacto, FIPS 200 define os requisitos mínimos de segurança e a seleção de controles é baseada nas linhas de base de controle de segurança do NIST. Essas linhas de base são então adaptadas para o NIST SP 800-171 para organizações não federais que lidam com CUI.

As implicações práticas são significativas:

  • Hospedagem em nuvem: Para sistemas CUI em ambientes de nuvem, FedRAMP Moderate é amplamente tratado como a linha de base mínima apropriada para sistemas de informação de impacto moderado.
  • Criptografia: Os módulos criptográficos devem ser validados pelo FIPS 140-2, não apenas usar algoritmos aprovados pelo FIPS. A orientação CMVP do NIST também observa que a criptografia não validada é considerada sem proteção.
  • Proteções de rede: A linha de base moderada abrange controle de acesso, proteção de fronteira, segregação de rede, confidencialidade e integridade da transmissão e monitoramento da rede.

Para CUI associado a programas críticos ou High Value Assets, o NIST SP 800-172 fornece requisitos de segurança aprimorados, mas estes se aplicam apenas quando explicitamente designados na linguagem do contrato.

Melhores práticas para manusear CUI com segurança

As seguintes melhores práticas traduzem as obrigações de conformidade CUI em etapas concretas que sua equipe pode executar, desde a descoberta inicial de dados até a governança de acesso, criptografia e resposta a incidentes.

1. Identificar e classificar CUI com precisão

Apenas agências federais podem designar informações como CUI. Quando os contratados encontrarem CUI potencialmente não marcado, devem reportar ao oficial de contratos para determinação oficial, não marcar eles mesmos. A regra FAR CUI exige reportar a descoberta de CUI potencial dentro de oito horas.

Comece com uma revisão contrato por contrato. Mapeie as categorias CUI especificadas em cada contrato em relação aos seus fluxos reais de informação. Falhas comuns na delimitação incluem:

  • Sistemas ausentes: ignorando sistemas que processam CUI fora do seu ambiente principal
  • Pontos cegos de terceiros: não levar em conta os prestadores de serviços que lidam com CUI em seu nome
  • Shadow IT: esquecendo as ferramentas de colaboração e os serviços em nuvem, onde a CUI pode acabar

O treinamento é igualmente importante e deve ocorrer em três níveis:

  • Consciência universal: para qualquer pessoa que possa encontrar CUI
  • Treinamento específico por função: para funcionários que lidam regularmente com CUI
  • Treinamento técnico avançado: para administradores de sistema que gerenciam ambientes CUI

Esse investimento em treinamento é fundamental porque o fator humano continua sendo uma das principais vulnerabilidades; de acordo com o Netwrix 2024 Hybrid Security Trends Report, 47% dos profissionais de TI citam erros e negligência dos funcionários como um dos principais desafios de segurança.

O desafio da descoberta é igualmente generalizado; uma pesquisa de 2025 SANS Attack Surface Management (ASM) Survey patrocinada pela Netwrix revelou que apenas 28% das organizações acreditam que suas plataformas ASM identificam efetivamente arquivos sensíveis, com outros 41% dizendo que o fazem apenas parcialmente.

É aqui que as ferramentas fazem uma verdadeira diferença. Por exemplo, First National Bank Minnesota usou Netwrix Auditor e Netwrix Data Classification para descobrir, classificar e mover dados sensíveis para locais seguros, e concluiu uma reconstrução do Active Directory em 3 semanas em vez de 6 meses.

2. Gerenciar o acesso no nível do objeto

As permissões a nível de pasta e site não são granulares o suficiente para CUI. O NIST SP 800-171 reconhece que mecanismos de aplicação de acesso podem ser implementados nos níveis de aplicação e serviço para aumentar a proteção do CUI.

O controle de acesso baseado em atributos (ABAC), conforme definido no NIST SP 800-162, avalia atributos do usuário, dos dados e do ambiente em relação às regras de política definidas a cada solicitação de acesso. A vantagem para CUI é o privilégio mínimo dinâmico:

  • Alterações de função: quando a atribuição de missão de alguém muda, o acesso a CUI que não é mais necessário é revogado automaticamente por meio de atributos de sujeito atualizados
  • Alterações na classificação: quando a classificação dos dados muda, as restrições de acesso se ajustam para todos os usuários afetados sem necessidade de reconfiguração manual

3. Criptografe a CUI em trânsito e em repouso

NIST SP 800-171 exige criptografia para CUI transmitida ou armazenada fora de ambientes controlados. Dentro de ambientes protegidos, outras salvaguardas podem satisfazer o requisito, mas qualquer CUI que sair desse limite deve ser criptografada

O requisito crítico é que os módulos de criptografia devem ser validados pelo FIPS 140-2, com os números dos certificados documentados. Simplesmente usar AES-256 não é suficiente se o módulo específico não passou pelo Programa de Validação de Módulos Criptográficos do NIST.

A gestão de chaves merece atenção igual, por isso deve ser tratada como infraestrutura fundamental, não como um pensamento posterior.

4. Monitorar, registrar e responder a incidentes

NIST SP 800-171 exige registros de auditoria que capturem o tipo de evento, o momento, o local, a fonte, o resultado e a identidade associada. As ações individuais dos usuários devem ser rastreáveis de forma única, e a retenção dos registros de auditoria deve estar alinhada com os requisitos definidos pela organização e pelo contrato.

Na resposta a incidentes, os prazos estão ficando mais apertados. Diferentes obrigações de reporte se aplicam dependendo do seu setor:

  • Regra FAR CUI: um prazo de oito horas para relatar incidentes suspeitos ou confirmados de CUI
  • DFARS 252.204-7012: Contratantes do DoD relatam através do DIBNet
  • CIRCIA: entidades de infraestrutura crítica reportam à CISA dentro de 72 horas

Cumprir esses prazos exige capacidades forenses e procedimentos de investigação pré-estabelecidos, não apenas detecção.

Correlacionar dados de atividade com permissões de acesso compensa aqui. No mundo real, até mesmo um pico suspeito nas alterações de arquivos pode se tornar uma correria de dias se sua equipe precisar juntar respostas de logs desconectados.

Como a Netwrix ajuda as organizações a proteger a CUI

Nenhum processo ou checklist único faz a conformidade CUI acontecer da noite para o dia. O desafio para os contratados é conectar os pontos entre a descoberta de dados, governança de acesso e prontidão para auditoria, sem costurar ferramentas desconectadas que deixam lacunas que um avaliador encontrará.

Se o seu ambiente funciona em infraestrutura Microsoft com uma combinação de servidores de arquivos locais, Active Directory e Microsoft 365, você precisa de uma plataforma que cubra tudo isso a partir de um único lugar.

A plataforma 1Secure oferece descoberta automatizada em sistemas de arquivos, bancos de dados, plataformas de colaboração e armazenamento em nuvem, para que você possa encontrar dados relevantes para CUI antes de um avaliador.

Pode colocar em quarentena arquivos sensíveis em locais inseguros, movê-los para áreas seguras, remover permissões excessivas e incorporar tags de classificação nos arquivos, transformando semanas de inventário manual em um processo automatizado e repetível.

Mas apenas a descoberta não é suficiente. A pergunta mais difícil é: quem pode acessar esses dados, esse acesso é apropriado e você pode provar isso? A plataforma 1Secure relata objetos de dados sensíveis superexpostos, estruturas detalhadas de permissões em conteúdo classificado e atividades relacionadas a arquivos e pastas sensíveis.

Isso significa que você pode identificar onde o CUI está com permissões excessivas e corrigir antes que se torne uma constatação de auditoria.

Netwrix Endpoint Protector estende essa cobertura para a camada de endpoint, impedindo que CUI saia de ambientes controlados por canais não autorizados. Bloqueia transferências para dispositivos USB não aprovados, monitora e controla uploads via navegadores, clientes de e-mail e aplicativos de armazenamento em nuvem. Também aplica criptografia em mídias removíveis aprovadas, abordando diretamente os riscos de exfiltração que os requisitos de manuseio de CUI foram projetados para prevenir.

Relatórios de conformidade pré-construídos mostram quem acessou os dados, o que mudou e quando, enquanto a pesquisa interativa ajuda você a responder às perguntas dos auditores em minutos, e não em dias.

Solicite uma demonstração do Netwrix para ver como uma plataforma ajuda você a descobrir, proteger e comprovar conformidade para CUI em seu ambiente híbrido.

Perguntas frequentes sobre proteção CUI

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Netwrix Team

Saiba mais sobre este assunto

Top 7 soluções DSPM para 2026

Dez comandos PowerShell mais úteis do Office 365

Como copiar uma Configuração em Execução da Cisco para a configuração de inicialização para preservar as alterações de configuração

Como implantar qualquer script com o MS Intune

RBAC vs ABAC: Qual Escolher?

Últimos blogs

Uma dupla vitória no Cas d'Or 2026: como é o sucesso da governança de identidade no setor público

Top 7 ferramentas para descoberta de dados sensíveis para 2026

Mitos e o custo de atacar

Gerenciamento de sessões privilegiadas (PSM): definição, capacidades e benefícios de segurança

UEBA (User and Entity Behavior Analytics): guia completo para detecção, casos de uso e implementação

Gerenciando o ciclo de vida da identidade não humana em ambientes modernos

Níveis de conformidade PCI DSS: o que significam e como se qualificar

O que é shadow data e como protegê-lo

NIST CSF 2.0: Novidades no Cybersecurity Framework

Netwrix conquista a certificação OPSWAT Gold para criptografia em Windows, macOS e Linux

Nossos principais artigos

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Baixe e instale o PowerShell 7

Variáveis de Ambiente do PowerShell

Uma visão geral do ataque cibernético da MGM

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Powershell Delete File If Exists

Como executar um script PowerShell

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como instalar e usar o Active Directory Users and Computers (ADUC)?

O que é SPN e qual é o seu papel no Active Directory e na Segurança