BLOG

O que as organizações governamentais precisam saber sobre a certificação do modelo de maturidade em segurança cibernética (CMMC)

Ryan Johnson Miniatura
Ryan Johnson
Publicado em 22 de outubro de 2020

No início do ano, o Departamento de Defesa (DoD) lançou a versão 1.0 do Modelo de Certificação de Maturidade em Segurança Cibernética (CMMC), um padrão unificado muito aguardado, criado para proteger a vasta cadeia de suprimentos da agência. Quando as tensões com outros países aumentam, por exemplo, muitos temem que a retaliação venha não apenas através do ciberespaço, mas através de “ contratantes de defesa potencialmente vulneráveis ”.

O CMMC, conforme implementado ao longo de cinco anos, visa reduzir, se não eliminar, tais vulnerabilidades e abordar um desafio crítico de segurança nacional. A base industrial de defesa (DIB) inclui mais de 300.000 empresas, sobre as quais houve uma flagrante falta de supervisão anterior. Essas empresas acessam e armazenam informações confidenciais de defesa em seus próprios sistemas. O CMMC representa um passo importante para proteger essas informações.

Apesar dos benefícios a longo prazo, o CMMC pode resultar em confusão a curto prazo para muitos contratantes. Dependendo do trabalho, os contratados devem atender a um dos cinco novos níveis de segurança. No entanto, a linha de partida para melhorar a postura de segurança é mais ou menos a mesma.

Preparando-se para o CMMC

Para aqueles que buscam se atualizar em relação às melhores práticas de segurança após o CMMC, o National Institute of Standards and Technology ( NIST ) Cybersecurity Framework , que enfatiza a segurança contínua, é um bom ponto de partida. A estrutura do NIST é segmentada em cinco grupos ou funções: identificar, proteger, detectar, responder e recuperar.

O primeiro balde é, claro, a fundação. Para identificar ameaças, as empresas precisam primeiro identificar a amplitude de seus próprios sistemas, o que pode ser desafiador na era do BYOD e da TI paralela. Não há como proteger um sistema se você não tiver um entendimento completo de seus funcionários, ativos e dados. No entanto, existem inúmeras ferramentas para ajudar a tornar essa visibilidade uma realidade, desde a visualização centrada em aplicativos até a visibilidade SSL . Este último descriptografa e criptografa novamente o tráfego para garantir que ele não contenha malware.

Monitoramento Contínuo

Somente tendo visibilidade total dos sistemas e dados as empresas podem implementar as salvaguardas necessárias, como proteção contra explorações comuns da web, IPs maliciosos e tipos de ataques coordenados . O gerenciamento de acesso , como logon único, VDI seguro e acesso de usuário privilegiado, oferece uma maneira de proteção contra agentes mal-intencionados. Simplificando, o governo federal precisa ser capaz de verificar se os contratantes são quem eles dizem ser e conceder o nível correto de acesso adequadamente.

Ainda assim, a segurança não pode parar na porta. Mesmo depois que os usuários são autenticados, as empresas devem continuar monitorando e registrando suas atividades para realizar o terceiro componente da estrutura do NIST: detecção rápida. Análise comportamental, inteligência artificial e aprendizado de máquina podem ser usados para essa finalidade, analisando o tráfego e sinalizando comportamentos arriscados ou incomuns.

Sem essas três primeiras etapas, as duas últimas — desenvolver um plano de resposta e um plano para restaurar sistemas e ativos impactados — são quase impossíveis. É claro que o objetivo do CMMC é fazer com que essas duas últimas etapas sejam uma raridade. Com monitoramento contínuo, o objetivo é evitar que os contratados e subcontratados do DoD sejam comprometidos.

A linha de fundo

No curto prazo, as empresas na cadeia de suprimentos do DoD devem investir em tecnologias que ofereçam suporte à visibilidade, proteção e detecção rápida. Isso estabelecerá a base necessária para certificação e segurança. Embora muitos contratantes possam achar a perspectiva do CMMC assustadora, a realidade é que isso representa uma resposta necessária a anos de negligência.

Ainda assim, é importante que esse novo nível de segurança não exclua os subcontratados menores , que também desempenham um papel crucial na cadeia de suprimentos. A boa notícia é que o DoD estimou que a maioria dos contratantes precisará apenas de uma certificação de nível um, que é focada em higiene cibernética básica. Essas são práticas recomendadas que as empresas devem implementar, mesmo que não estejam acessando dados governamentais confidenciais. Para aqueles na base industrial de defesa, o momento de proteger e detectar foi ontem.