Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Certificação do Modelo de Maturidade em Cibersegurança (CMMC): Dicas para Conformidade

Certificação do Modelo de Maturidade em Cibersegurança (CMMC): Dicas para Conformidade

Jun 18, 2021

Após uma série de 83 violações de dados somente em 2019, o Departamento de Defesa dos Estados Unidos (DoD) estabeleceu a Certificação do Modelo de Maturidade de Cibersegurança (CMMC). O framework CMMC é um padrão nacional unificado para aprimorar a cibersegurança. As empresas que fazem parte da base industrial de defesa (DIB) devem implementar os requisitos do CMMC para ganhar contratos. Continue lendo para descobrir como você pode alcançar a conformidade.

Introdução ao CMMC

CMMC é um padrão de cibersegurança criado pelo Office of the Under Secretary of Defense (OUSD) para Aquisição & Sustentação. Busca responder a ameaças cibernéticas padronizando a maneira como os contratados do DoD protegem informações críticas.

Para obter a certificação CMMC, as empresas DIB devem implementar práticas e processos de cibersegurança apropriados para proteger todas as Informações de Contrato Federal Sensíveis (FCI) e Informações Não Classificadas Controladas (CUI) que processam ou armazenam. As organizações recebem uma pontuação de maturidade em cibersegurança numa escala de um a cinco. Essa pontuação determina o nível de confiança que o DOD deposita na organização e impacta tudo, desde a contratação até os contratos.

Conteúdo relacionado selecionado:

Sob as diretrizes anteriores (o Suplemento de Regulamentação Federal de Aquisição de Defesa [DFARS] 252.204-7012), para demonstrar sua resiliência cibernética, os contratados poderiam autoatestar a conformidade com NIST SP 800-171. No entanto, esse modelo resultou em uma série de violações de alto perfil como as violações de dados tais como o caso Solar Winds, bem como violações do False Claims Act.

Para melhorar a cibersegurança, o CMMC agora exige que uma organização avaliadora terceirizada do CMMC certifique que os contratados cumpriram os requisitos de cibersegurança. O DoD planeja a implementação dos novos requisitos do CMMC através de uma implantação faseada, com os requisitos adicionais entrando em vigor em 2025, conforme discutido em mais detalhes abaixo.

Para alcançar a conformidade com os requisitos do CMMC, as organizações ainda precisam de um entendimento aprofundado do NIST SP 800-171, uma vez que o processo de certificação do CMMC utiliza esse framework como diretrizes para ajudar a medir a segurança do sistema, avaliar a maturidade de um programa de segurança e fornecer uma pontuação.

Quem deve cumprir com o CMMC?

O modelo de maturidade CMMC aplica-se a todas as empresas dentro da cadeia de suprimentos do DoD, incluindo não apenas aquelas na base industrial de defesa, mas também aquelas em aquisição, construção ou desenvolvimento. Isso inclui os contratantes principais que interagem diretamente com o DoD, bem como os subcontratados que trabalham com os contratantes para executar contratos do DoD.

O tamanho e a relação com um contrato não importam. Não há brecha para pequenas empresas que trabalham em partes “menores” de um contrato. Portanto, todo contratado e subcontratado que lida com qualquer forma de informação de defesa deve se preparar para uma revisão de suas práticas de cibersegurança. Não cumprir não levará a penalidades monetárias, mas ser certificado é um pré-requisito para ganhar contratos.

Que tipos de dados o CMMC protege?

O CMMC protege dois tipos de dados:

  • Informação Controlada Não Classificada (CUI) — Esta inclui qualquer informação não classificada feita pelo governo que necessita de proteção. Inclui informações privadas de funcionários federais, informações de contratados, material jurídico, desenhos técnicos, arquivos eletrônicos e mais. Para lidar com CUI, uma organização deve ter uma classificação de nível de maturidade de 3 ou superior.
  • Informações de Contrato Federal (FCI) — FCI consiste em qualquer informação que o governo fornece ou cria sob um contrato para entregar um serviço ou produto, mas que não é divulgada ao público. A divulgação imprópria desses dados pode representar uma ameaça significativa para o funcionamento interno da logística e atividades do DOD.

Lidar com FCI requer apenas certificações de nível 1 ou 2.

Cronograma CMMC

Os contratados têm até 2025 para preparar seus sistemas para lidar com FCI e CUI conforme exigido pelo CMMC. No entanto, o Pentágono recentemente passou de implantar o CMMC apenas em exercícios de simulação para seu uso em campo através da concessão de 15 contratos “pathfinder”. Este programa piloto foca em empresas de nível 3 e seus subcontratados; mais empresas devem cumprir à medida que o lançamento avança.

Qual é a metodologia de avaliação?

Em 2020, o DoD emitiu uma Regra Interina que complementa o programa CMMC com uma metodologia de avaliação para verificar se as empresas estão em conformidade. Sob esta regra, a certificação CMMC procede em duas etapas. Você deve repetir o processo de certificação a cada três anos.

  • Passo 1. Os avaliadores aplicam a metodologia NIST SP 800-171 DoD Assessment Methodology à empresa. Esta metodologia classifica ameaças potenciais a um projeto em três níveis (alto, médio e baixo), com base na sensibilidade das informações e programas envolvidos. Todo contratante que busca aprovação de nível alto ou médio deve fornecer acesso às instalações, sistemas e pessoal. Obter acesso a CUI ou FCI é impossível sem tal escrutínio.
  • Passo 2. Se uma empresa passa do passo 1, o processo de avaliação atribui à empresa um nível de maturidade.

Níveis de Certificação CMMC (Níveis de Maturidade)

Existem cinco níveis CMMC. Cada nível possui requisitos específicos:

  • Nível 1: Higiene cibernética básica — As empresas no nível 1 realizam higiene cibernética básica. Os dados devem estar livres de erros, e os sistemas de aplicativos e informações que armazenam ou processam informações sensíveis como informações de identificação pessoal (PII) devem ter controles de acesso adequados. Procedimentos padrão como ocultar PII e garantia de qualidade dos dados ajudam a cumprir com este nível. As diretrizes do NIST oferecem 17 controles de segurança básicos para este nível.
  • Nível 2: Higiene cibernética intermediária — O próximo nível envolve 72 controles (incluindo os controles de nível 1); estes compreendem um pouco mais da metade de todos os controles NIST 800-171. Nesta fase, sua empresa deve proteger FCI e CUI de maneira repetível. Auditoria, proteção de mídia, backup e recuperação, manutenção e integridade do sistema são importantes neste nível. A principal diferença entre os níveis 1 e 2 é a implementação de um plano e procedimentos para proteção de dados.
  • Nível 3: Boa higiene cibernética — O Nível 3 exige a implementação de 132 controles, abrangendo a totalidade do conjunto estabelecido pelo NIST SP 800-171 para CUI. Empresas neste nível geralmente lidam com informações controladas, mas não classificadas. Requer um plano sólido para lidar com ameaças cibernéticas e os meios para executá-lo através de conscientização, treinamento e resposta a incidentes.
  • Nível 4: Higiene cibernética proativa — O nível 4 exige excelência comprovada na implementação de 156 controles sob o NIST e outras fontes. Os 24 adicionados do nível 3 lidam principalmente com a avaliação das práticas de segurança: A empresa deve avaliar e revisar regularmente suas políticas para máxima eficácia, e a alta gestão é mantida atualizada sobre os problemas.
  • Nível 5: Higiene cibernética avançada — O nível 5 adiciona 25 requisitos adicionais relacionados à detecção e proteção avançada contra ameaças; este nível é necessário para empresas que lidam com informações altamente desejáveis. As empresas precisam implementar ferramentas mais sofisticadas, como detecção de anomalias, e ser capazes de responder de forma flexível às ameaças.

Componentes do framework CMMC, níveis e domínios

Familiarizar-se com os requisitos do CMMC exige o entendimento de 17 domínios diferentes. 14 dos domínios vêm dos Padrões Federais de Processamento de Informações (FIPS) 200 e NIST SP 800-171; o CMMC adiciona mais três: recuperação, consciência situacional e gestão de ativos. Aqui está a lista completa:

  • Controle de acesso — Saiba quem tem acesso aos seus sistemas e limite estritamente o acesso por função.
  • Auditoria e responsabilidade — Rastreie usuários com acesso a dados sensíveis. Colete registros de eventos e investigue as informações para atividades impróprias ou suspeitas.
  • Gestão de ativos — Acompanhe os ativos de hardware e software para evitar que tecnologias desatualizadas e indesejadas levem a uma violação de dados
  • Conscientização e treinamento — Forneça treinamento regular aos funcionários sobre como prevenir violações e como responder se ocorrer uma.
  • Gerenciamento de configuração — Estabeleça configurações de linha de base que protejam os sistemas de acessos indevidos, definindo padrões razoáveis para evitar expor sua empresa a ameaças.
  • Identificação e autenticação — Utilize regras e práticas de autorização, como autenticação multifator, para evitar a exposição de informações críticas para a missão.
  • Resposta a incidentes — Crie um plano para investigar, relatar e resolver incidentes de segurança rapidamente.
  • Manutenção — Atualize e aplique patches regularmente em tecnologias e instalações para minimizar vulnerabilidades.
  • Proteção de mídia — Identifique e proteja mídias, e crie protocolos para saneamento e descarte.
  • Segurança de pessoal — Realize triagens e verificações de antecedentes adequadas do pessoal. Esteja preparado para fornecer evidências de que seu CUI está protegido durante ações de pessoal como transferências ou desligamentos.
  • Proteção física — Proteja suas instalações, equipe e sistemas contra ameaças físicas como acesso não autorizado, roubo e danos.
  • Recuperação — Configure um plano de backup e recuperação sólido em caso de perda parcial ou total de dados.
  • Gestão de riscos — Avalie periodicamente os riscos, desenvolva estratégias para combatê-los e meça o progresso.
  • Avaliação de segurança — Avalie a segurança revisando auditorias anteriores, sua estratégia de gestão de riscos e outras informações.
  • Consciência situacional — Implemente monitoramento em tempo real para suas tecnologias e responda às ameaças de maneira adequada.
  • Comunicações e proteção do sistema — Defina a segurança necessária para proteger cada sistema.
  • Integridade do sistema e da informação — Identifique e gerencie falhas nos sistemas, encontre riscos e revise a segurança da rede para possíveis problemas.

Como posso obter a certificação CMMC?

Todos os contratados de defesa precisarão passar por uma auditoria oficial realizada por uma organização de avaliação terceirizada independente CMMC (C3PAO) ou um indivíduo certificado pelo DoD. O DoD não aceita o resultado de nenhum outro auditor. O CMMC Accreditation Body tem mais informações sobre quem é um auditor certificado.

Em geral, um certificado CMMC será válido por 3 anos e não será tornado público, mas será postado em bancos de dados específicos do DoD. A recertificação é necessária após esse período ou em caso de perda de dados.

Uma empresa DIB que sofrer um incidente de cibersegurança não perderá automaticamente sua certificação CMMC. No entanto, você deve seguir os procedimentos adequados de notificação. Entre em contato com o DoD e prepare um relatório detalhado do incidente explicando por que ocorreu e como tal violação pode ser prevenida no futuro.

Como posso me preparar para uma auditoria de certificação CMMC?

Uma boa diretriz a seguir ao se preparar para sua auditoria é a Executive Order 13556, que padroniza como o ramo executivo lida com informações não classificadas que precisam de proteção.

De forma mais ampla, considere usar a seguinte lista de verificação de alto nível:

  1. Obtenha conselhos da sua agência federal ou estadual. Certifique-se de entender o que é esperado de você.
  2. Audite seus dados e tecnologias atuais. Reúna o máximo de informações possível sobre o estado atual da sua segurança, incluindo controles de acesso de usuários, softwares em uso e procedimentos de segurança disponíveis. Identifique onde você armazena, processa ou transmite CUI e FCI.
  3. Construa um plano sólido. Em seguida, crie um programa ou plano de conformidade com o CMMC sólido com base no nível de certificação que procura. Por exemplo, empresas que buscam os níveis mais altos de maturidade vão querer fortalecer suas redes e separar tecnologias que lidam com informações altamente sensíveis do restante de sua infraestrutura.
  4. Realize uma análise de lacunas. Avalie o seu atual nível de maturidade em cibersegurança e determine o que precisa fazer para alcançar o nível apropriado. Faça as mudanças necessárias com base na análise de lacunas.
  5. Implemente sua política. Treine sua equipe e estabeleça datas para avaliar sua organização como um todo. A persistência é a chave para reforçar seus sistemas e identificar e bloquear ataques prontamente.
  6. Contrate um profissional para supervisionar a conformidade. Essa pessoa interagirá com a sua equipe de TI para garantir que todos os padrões sejam atendidos. Ela também preparará evidências e documentação para provar que sua organização está protegendo CUI.
  7. Amplie sua revisão. Certifique-se de que todos os subcontratados, bem como todos na sua cadeia de suprimentos, também estejam em conformidade com o NIST SP 800-171.

Como a Netwrix ajuda na conformidade com o CMMC?

Utilizar as melhores práticas estabelecidas e compreender o ciclo de conformidade é uma boa maneira de construir uma base sólida para a conformidade com qualquer padrão, incluindo o CMMC. Com a Netwrix Data Security Platform, você pode alcançar, manter e comprovar a conformidade com menos esforço e despesa. Você pode automatizar processos como auditoria de mudanças, acesso e configuração, garantir a precisa descoberta e classificação de dados sensíveis e obter insights sobre a segurança dos seus dados e infraestrutura.

FAQ

O que é CMMC?

A Certificação de Maturidade em Cibersegurança (CMMC) é um padrão estabelecido pelo Departamento de Defesa dos Estados Unidos (DoD) para garantir que os protocolos de cibersegurança utilizados pelos contratados de defesa sejam suficientemente robustos. O CMMC é uma coleção de padrões e frameworks de cibersegurança já existentes, como DFARS, FAR e NIST.

Quem está sujeito à certificação CMMC?

O CMMC aplica-se a todas as empresas dentro da cadeia de suprimentos do DoD, incluindo não apenas aquelas na base industrial de defesa, mas também aquelas em aquisições, construção ou desenvolvimento. Isso inclui os contratantes principais que interagem diretamente com o DoD, bem como os subcontratados que trabalham com os contratantes para executar contratos do DoD.

Como posso obter a certificação CMMC?

Você pode obter a certificação CMMC ao ser auditado por uma organização de avaliação de terceiros (3PAO) ou por um avaliador individual. O DoD divulgará mais detalhes sobre como você pode se certificar à medida que nos aproximamos da implementação do CMMC em 2025.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Mike Tierney

Ex-VP de Sucesso do Cliente

Ex-VP de Sucesso do Cliente na Netwrix. Ele tem uma experiência diversificada construída ao longo de 20 anos na indústria de software, tendo ocupado os cargos de CEO, COO e VP de Gestão de Produtos em várias empresas focadas em segurança, conformidade e aumento da produtividade das equipes de TI.

Saiba mais sobre este assunto

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Análise de Risco Quantitativa: Expectativa de Perda Anual

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança