A Cybersecurity Maturity Model Certification é um framework lançado em 2020 pelo Department of Defense (DoD) dos EUA para proteger a base industrial de defesa, e a CUI – controlled unclassified information – nela contida, contra ciberataques. Todos os (sub)contratantes do DoD terão de obter a sua CMMC para poderem ser adjudicatários de contratos do DoD que envolvam o uso ou o acesso a CUI. Escrevemos no futuro porque, no momento atual, a CMMC está em fase piloto e apenas alguns contratos selecionados exigem conformidade.
Existem atualmente 5 níveis (mas em breve serão 3 — ver abaixo) da CMMC, cada um representando um nível de segurança de dados que um fornecedor do DoD oferece. Dependendo das necessidades governamentais em causa, o DoD apenas estabelecerá parceria com organizações ou fornecedores cujo nível de certificação seja considerado adequado a essa necessidade específica.
Mais uma vez, é importante referir que ainda estamos na fase de implementação da CMMC e que uma nova versão da CMMC, a chamada CMMC 2.0, já está em curso. O que isto significa é que nem todos os contratos do DoD começaram a exigir CMMC, mas é crucial que os fornecedores (ou futuros fornecedores) comecem desde já a preparar-se para a certificação.
Até 2020, antes da implementação da CMMC, o DFARS, ou Defense Federal Acquisition Regulation Supplement, era a norma de ouro e o requisito para avaliar se os contratantes protegiam suficientemente os dados, especificamente a CUI.
Com ciberataques cada vez mais sofisticados surgiu a necessidade de uma proteção de dados mais complexa — surge a CMMC.
A CMMC expande o DFARS, e ambos utilizam o framework de segurança NIST 800-171 como base (a CMMC 2.0 também irá basear-se no NIST 800-172).
Tanto a CMMC como o DFARS foram criados para qualquer contratante que trate, armazene ou transmita controlled unclassified information. As principais diferenças entre os dois são a introdução de níveis de conformidade na CMMC (não existiam no DFARS) e a forma como a conformidade é avaliada e concedida.
Enquanto o DFARS é um sistema de orientações para autoavaliação, a CMMC exige que a maioria das avaliações — isto depende do nível — seja conduzida por um C3PAO (3.ª party assessment organization).
Outra diferença é que, enquanto um fornecedor do DoD apenas tem de submeter as suas pontuações de avaliação NIST 800-171 uma vez no âmbito do DFARS, a CMMC é um processo contínuo. A certificação terá de ser reavaliada a cada 1 a 3 anos (dependendo do nível).
Pode parecer — e era mesmo o plano inicial — que a CMMC substituiu o DFARS, mas tal não é o caso. Atualmente coexistem em harmonia.
Embora cumprir o DFARS facilite a obtenção de um nível CMMC, isso não está garantido. Os dois não se excluem mutuamente — cumprir um não significa necessariamente cumprir o outro. Alguns níveis CMMC não incluem todos os requisitos do DFARS e outros vão para além do DFARS.
Devido à complexidade e ao encargo financeiro de obter a certificação, em que mesmo o nível de certificação mais básico exigia a realização de uma avaliação por um C3PAO, muitas pequenas e médias empresas manifestaram preocupação após o anúncio da CMMC.
Sendo o processo de certificação tão demorado e dispendioso, muitas pequenas e médias empresas não teriam conseguido completar o processo de certificação, ficando efetivamente fora da disputa por contratos do DoD.
Por este motivo, o DoD reformulou a CMMC original numa versão mais simplificada, a CMMC 2.0. Tem em conta as pequenas e médias empresas e corrige alguns dos problemas da versão anterior.
A CMMC 2.0 já foi publicada, mas a regulamentação ainda está “em construção” e prevê-se que seja finalizada em maio de 2023.
| A CMMC 2.0 surgirá nos contratos do DoD, no mais cedo, no verão de 2023. |
Uma vez pronta, a CMMC 2.0 será obrigatória em todos os contratos do DoD.
Como explicaremos abaixo, a fase de preparação do processo de certificação pode demorar até, ou mesmo mais de, um ano (no caso do nível 3), pelo que é crucial que todos os fornecedores e potenciais fornecedores do DoD comecem a pensar no processo de avaliação o mais cedo possível.
|
CMMC 1.0 |
CMMC 2.0 |
|---|---|
| 5 níveis de conformidade | 3 níveis de conformidade |
| Inclui processos de maturidade | Não inclui processos de maturidade |
| Avaliação por terceiros mesmo para o nível mais básico | Autoavaliação para o nível básico |
| POAMs não aceites | POAMs aceites |
A diferença mais visível entre a CMMC 1.0 e a CMMC 2.0 é que a nova CMMC terá menos níveis de conformidade — 3 em vez dos 5 originais — e alguns requisitos foram suprimidos.
Os processos de maturidade foram completamente retirados da CMMC 2.0.
Muito importante: o nível mais básico não exigirá uma agência externa para fazer a avaliação, tornando mais fácil e menos dispendioso para as pequenas e médias empresas obterem a certificação Nível 1.
A CMMC 2.0 também permitirá os Plans of Action and Milestones (POAMs), que são basicamente um plano que um fornecedor pode submeter detalhando como irá cumprir alguns dos critérios de 1 ponto da CMMC, como uma espécie de exceção enquanto se candidata a uma certificação sem ter ainda cumprido todos os critérios. Os POAMs são outra forma como o DoD pretende facilitar a obtenção da certificação por parte dos fornecedores, especialmente os mais pequenos.
Um POAM não será aceite para nenhum dos requisitos de 3 ou 5 pontos da CMMC 2.0 e haverá um limite estritamente aplicado quanto à quantidade de POAMs que podem ser utilizados e ao prazo dentro do qual têm de ser cumpridos.
A CMMC 1.0 não tinha este mecanismo e funcionava estritamente numa base de “sim ou não”.
Mencionámos que a CMMC 2.0 terá menos níveis do que a CMMC 1.0. Três, para ser exato. Vamos então comparar os níveis de conformidade da CMMC 1.0 com os da CMMC 2.0, porque há semelhanças e diferenças que os fornecedores precisam de compreender.
A CMMC 1.0 tem 5 níveis. Os requisitos em cada nível aumentam progressivamente e consistem em determinadas normas do NIST 800-171, bem como em normas exclusivas da CMMC.
Mas não fica por aqui. Existem também processos de maturidade que precisam de ser cumpridos para atingir o nível:
Os níveis 2 e 4 da CMMC 1.0 destinam-se a ser níveis de transição, tornando o já complicado framework ainda mais difícil de compreender.
A CMMC 2.0 não tem coisas como níveis de maturidade e também eliminou os requisitos exclusivos da CMMC e os níveis de transição. Todos os requisitos do processo CMMC são retirados dos frameworks subjacentes NIST 800-171 e NIST 800-172, com cada nível a apoiar-se no anterior.
Existem apenas 3 níveis de conformidade na CMMC 2.0 — sem mais níveis de transição. São:
O nível 1 da CMMC 2.0 é igual ao da CMMC 1.0 e inclui 17 práticas de cibersegurança. Este nível destina-se a fornecedores do DoD que não tratam de informação crítica para a segurança nacional.
Tipo de avaliação: autoavaliação anual.
A certificação de nível 2 indicará que uma organização é competente em armazenar e partilhar CUI de forma segura e aplicar-se-á à maioria dos fornecedores do DoD. É semelhante ao nível 3 da CMMC 1.0. Existem 110 requisitos de cibersegurança neste nível, todos definidos no NIST 800-171.
Existem dois subgrupos neste nível com base em se a informação tratada pelo fornecedor é, ou não, crítica para a segurança nacional.
Tipo de avaliação: existem dois neste nível — fornecedores que não tratam informação crítica para a segurança nacional fazem uma autoavaliação anual (espera-se que isto se aplique apenas a uma porção muito pequena dos fornecedores de nível 2). Os fornecedores que tratam informação crítica precisam de ser avaliados por terceiros a cada 3 anos.
Este nível destinar-se-á a um número relativamente pequeno de fornecedores do DoD que trabalham nos programas de prioridade mais elevada do DoD. É comparável ao nível 5 da CMMC 1.0. Os requisitos são uma combinação das 110 normas do NIST 800-171 e de um subconjunto de controlos do NIST 800-172.
O objetivo no nível 3 da CMMC 2.0 é reduzir o risco de Advanced Persistent Threats.
Tipo de avaliação: avaliação por funcionário governamental a cada 3 anos. O guia de avaliação para o nível 3 ainda está a ser desenvolvido, pelo que não existe atualmente informação detalhada sobre a sua estrutura exata.
Para que um fornecedor obtenha a sua certificação, tem de passar pelo processo de avaliação, que começa muito antes da avaliação em si.
Como a maioria dos contratantes precisará de obter no mínimo a certificação de nível 2 da CMMC 2.0, há uma preparação envolvida que demorará até um ano. Para o nível 1, a fase de pré-avaliação demorará provavelmente 2 a 3 meses.
A boa prática é começar com uma análise de lacunas do estado atual das práticas de cibersegurança do fornecedor em questão, seguida das fases de implementação e pré-avaliação. É boa ideia recorrer aos serviços de uma CMMC Registered Practitioner Organization (CMMC-RPO) para estas fases.
Uma CMMC-RPO é uma organização que foi certificada pela Cyber AB, o organismo oficial de autorização da CMMC, para aconselhar e orientar fornecedores durante a sua preparação para a avaliação CMMC.
A avaliação efetiva da CMMC 2.0 é feita como autoavaliação no nível 1 e parte do nível 2, como avaliação por C3PAO para a maior parte do nível 2 ou como avaliação conduzida pelo governo no nível 3.
Uma avaliação por terceiros é conduzida por um C3PAO escolhido pelo fornecedor ao longo de várias semanas e é seguida pela elaboração de um relatório por parte do C3PAO, que é entregue diretamente ao DoD.
Para o nível 3 da CMMC 2.0, será exigida uma avaliação conduzida pelo governo. Os detalhes deste tipo de avaliação ainda estão a ser definidos pelo DoD.
A CMMC é algo em que qualquer potencial contratante do DoD precisa de pensar muito antes de começar sequer a pensar em submeter uma proposta a um RFP, por isso, mesmo que a regra final da CMMC 2.0 ainda não esteja publicada, o momento de agir é agora. Preparar os seus sistemas para a avaliação demora meses e, no caso de uma avaliação de nível 3, mais de um ano de início ao fim.
A Safetica torna possível monitorizar as operações dos utilizadores em toda uma organização. Consegue reconhecer e classificar CUI e FCI e fornecer relatórios sobre como os dados são processados.
Com base na classificação de dados da Safetica, pode aplicar políticas de DLP e, assim, impor políticas de segurança designadas e o comportamento desejado dos utilizadores quando estes interagem com informação sensível ou confidencial. Os seus dados não serão enviados por e-mail, copiados para um dispositivo desprotegido ou carregados para armazenamento pessoal na cloud.
A Safetica permite uma classificação de dados configurável e personalizável. A Safetica realiza auditorias de segurança de dados e fornece uma visão detalhada do fluxo e armazenamento de dados sensíveis. Os subsequentes níveis de proteção da classificação de dados também são configuráveis e permitem registo silencioso, notificação ao utilizador ou restrição imposta de operações de utilizador selecionadas.
O sistema de alerta por e-mail em tempo real da Safetica notifica-o imediatamente em caso de incidente de segurança. Fornece detalhes suficientes para que possa avaliar o impacto da situação e tomar medidas de seguimento. Com base na auditoria detalhada, pode identificar a profundidade da violação, os documentos sensíveis envolvidos e os indivíduos afetados.
Saiba mais sobre conformidade regulamentar