Como entrar no caminho certo na sua jornada CMMC

A última iteração do Cybersecurity Maturity Model Certification (CMMC) acaba de entrar em vigor, e há muito a discutir sobre como os profissionais de segurança podem se atualizar para atender aos seus requisitos.

Para quem é este blog?

Você trabalha para uma organização que atua como contratante principal ou subcontratada para o Departamento de Defesa (DoD)? Sua empresa é membro da Base Industrial de Defesa (DIB)? Sua empresa gerencia Informações Não Classificadas Controladas (CUI) e ou Informações de Contrato Federal (FCI)? Você foi designado para tornar sua organização compatível com o CMMC?

Se a resposta para alguma dessas perguntas for sim, então este artigo é para você.

Do que se trata?

Este blog é para ajudá-lo a entender como abordar melhor o seu projeto de conformidade com o CMMC desde o primeiro dia. Se você precisa de mais informações sobre CMMC, leia este DOD article.

Muita coisa mudou desde a versão 1

Atualmente estamos na versão 3 do CMMC. A maior diferença da versão original é a forma como categoriza o nível de segurança exigido das entidades que estão em conformidade. No geral, existem 3 níveis e, dependendo da gravidade dos dados que você está manuseando, é mais provável que esteja em conformidade com um nível mais alto.

Nível 1: Consiste em 15 técnicas básicas de higiene de segurança e foca na segurança de FCI, mas não na de CUI.

Nível 2: 110 requisitos que vêm diretamente de NIST SP 800-171 e focam na proteção de CUI.

Nível 3: 134 requisitos provenientes do NIST SP 800-172 com foco novamente em CUI, mas a diferença chave é que todas as ferramentas, políticas e procedimentos implementados devem ser aprovados pelo DoD.

Certo, ótimo, e agora?

Então, nós entendemos quais são os níveis, mas precisamos compreendê-los para ver qual é relevante para a sua organização. Para isso, vamos avaliar o tipo de dados que você gerencia.

Para referência futura, aqui estão as definições oficiais do governo para Federal Contract Information FCI e Controlled Unclassified Information CUI.

Resumidamente, FCI são informações fornecidas ou geradas para o governo dos EUA sob um contrato do DoD que não são destinadas à liberação pública. Podem ser especificações de contrato, propostas técnicas, relatórios de projetos internos ou comunicação com agências do DoD.

Enquanto isso, CUI é: informação sensível, mas não classificada, que requer proteção sob leis, regulamentos e políticas federais. Pode ser qualquer coisa, como desenhos técnicos, esquemas e dados de engenharia sujeitos a controle de exportação (ITAR, EAR, etc.), registros de pessoal e PII (por exemplo, informações de pessoal militar), documentos de aquisição (RFPs, contratos, relatórios do DoD).

Em que nível estou?

A melhor coisa a fazer no início de um projeto de conformidade com CMMC é decidir que tipo de informação sua organização gerencia. É FCI, é CUI ou são ambos? Se for apenas FCI, você precisa cumprir com o CMMC no nível 1, tão simples quanto isso. Se for CUI, então depende da sua gravidade. Se a informação que você possui poderia, de alguma forma, ameaçar a segurança nacional dos EUA, provavelmente você precisará mirar no nível 3; caso contrário, o nível 2 é a sua melhor aposta.

Como eu decido?

A melhor maneira de começar é realizando uma varredura de Netwrix Data Classification em toda a sua infraestrutura. Identifique todos os dados que possui, onde estão armazenados e quem tem acesso a eles. Assim, você pode primeiro rotulá-los de maneira precisa (por exemplo, é PII, é FCI ou é CUI). Em seguida, você pode atribuir níveis de confidencialidade, ou seja, o quão críticos são para os negócios ou para a nação. Depois, você pode verificar onde eles estão atualmente no seu ambiente. Estão expostos ao acesso público ou não? Por fim, você pode definir quem pode acessá-los e em que grau. Uma boa classificação deve sempre ser acompanhada de uma boa e velha redação baseada em direitos.

A última coisa que você deseja é ter alguns dos seus dados eventualmente aparecendo em um fórum do War Thunder.

Pelo menos 109 ainda faltam

Identificar seus dados, sua localização e as pessoas que têm acesso é um ótimo ponto de partida, mas é apenas onde a diversão começa. Vindo de alguém que leu CMMC pelo menos 5 vezes, a diferença entre NIST 800-171 e 172 não é tão grande quanto se pensa. Ele apenas incorpora 24 requisitos extras que já existem no 171, mas são descritos de forma mais rigorosa.

A melhor aposta para todos, independentemente do nível que você precisa atender, é tratá-lo inicialmente como um nível 2. Se precisar estar abaixo dele, então concentre-se apenas nos 15 requisitos que são relevantes para você. Ainda vale a pena fazer de acordo com o 800-171, pois facilita as transições posteriores para o nível 2. Enquanto isso, se precisar mirar mais alto do que o primeiro, atenda a um nível 2 e ajuste os restantes depois. O motivo para ambos é a simplicidade e a transição mais fácil a longo prazo.

Como podemos ajudar?

Não estaria fazendo justiça ao meu trabalho se não mencionasse como podemos ajudar as organizações a cumprir as normas. Se alguma empresa tentar dizer que resolverá todas as suas necessidades de conformidade, provavelmente você está falando com um mentiroso. Infelizmente, não existe uma solução de conformidade que resolva tudo.

Mas empresas como a Netwrix oferecem múltiplas soluções, cada uma cobrindo diferentes áreas de segurança e regulamentação, que combinadas podem cobrir uma parte significativa dos requisitos do CMMC, seja baseado em 800-171 ou 172.

Aqui está um resumo rápido de como nosso portfólio atende aos requisitos do CMMC. Se deseja saber mais, confira nossos documentos detalhados de mapeamento de conformidade aqui.