La Certificazione sul modello di maturità per la sicurezza informatica (CMMC, Cybersecurity Maturity Model Certification) è ora disponibile e ha il potenziale per stabilire un nuovo framework di sicurezza per altri enti pubblici. Gli MSP e i professionisti informatici che lavorano con il Dipartimento della Difesa Americano (DoD, Department of Defense) o con i suoi appaltatori dovrebbero avere come priorità per il 2021 la conformità alla CMMC per non subire cambiamenti.
Questo mese, è stata ufficialmente adottata la Certificazione sul modello di maturità per la sicurezza informatica (CMMC, Cybersecurity Maturity Model Certification) come nuovo standard per gli appalti del Dipartimento della Difesa Americano (DoD, Department of Defense). Entro ottobre 2025, per portare a termine gli appalti del Dipartimento della Difesa Americano, gli appaltatori dovranno ottenere la certificazione da parte di un perito di terze parti secondo un sistema di valutazione a cinque livelli. Per i professionisti informatici che lavorano con gli appaltatori della difesa o direttamente con il Dipartimento della Difesa Americano, è fondamentale comprendere le nuove regole della CMMC e come rispettarle al fine di garantire il successo dell’azienda. L’eventuale conformità alla CMMC potrebbe coinvolgere anche i Managed Service Provider (MSP), poiché altri enti pubblici adottano standard di sicurezza più elevati.
La CMMC è composta da cinque livelli: il primo è il più facile da raggiungere, mentre il quinto è il più difficile e costoso. Al livello 1, un’organizzazione deve rispettare 17 controlli obbligatori progettati per assicurare l’igiene informatica e proteggere le informazioni sugli appalti federali (FCI) e le informazioni non classificate controllate (CUI). Per raggiungere il livello 5 della CMMC, un’organizzazione deve rispettare 171 controlli obbligatori. La buona notizia è che, secondo Katie Arrington, responsabile della sicurezza delle informazioni per l’ufficio del Sottosegretario alla difesa per l’acquisizione e il sostegno (OUSD A&S), la maggior parte degli appaltatori dovrà raggiungere solo il livello 1 della CMMC e meno dell’1% degli appalti richiederà il livello 4 o 5.
Le nuove regole sono state espressamente progettate per proteggere la catena di approvvigionamento del Dipartimento della Difesa Americano. Visto il numero crescente di violazioni e attacchi ransomware che assumono il controllo di strumenti legali utilizzati dal settore pubblico e privato, seguire le linee guida stabilite nel processo della CMMC può aiutare a bloccare questo tipo di attacchi. Questo framework avvantaggia i professionisti informatici che lavorano in ogni settore, poiché molte delle norme dell’igiene della sicurezza informatica, come la richiesta dell’autenticazione a più fattori per gli utenti, sono elementi base che qualsiasi organizzazione potrebbe implementare.
La mossa del Dipartimento della Difesa Americano per proteggere la propria catena di approvvigionamento potrebbe alla fine portare ad un nuovo standard per gli enti civili. Infatti, FedScoop ha riferito che i funzionari CISA si sono resi conto che gli enti civili trarranno naturalmente vantaggio dall’implementazione della CMMC e che tali enti mirano a conformare quanto più possibile gli approcci e le direttive sulla sicurezza informatica alla CMMC. Con la possibilità che la CMMC diventi un nuovo standard federale, iniziare ad aggiornarsi sulle nuove regole e incorporare le procedure consigliate di sicurezza federali nella loro azienda può rappresentare un vantaggio competitivo per gli MSP.
Se hai appena iniziato a scoprire le regole della Certificazione sul modello di maturità o se desideri rispolverare le tue nozioni sull’igiene della sicurezza informatica, ecco alcuni degli aspetti più importanti da conoscere sulla CMMC.
Cos’è la CMMC?
CMMC è l’acronimo di Cybersecurity Maturity Model Certification (Certificazione sul modello di maturità per la sicurezza informatica), un nuovo standard che si applica a tutti gli appaltatori e subappaltatori del Dipartimento della Difesa Americano (DoD, Department of Defense). La nuova certificazione è stata concepita come un framework di sicurezza informatica per garantire la protezione delle informazioni sensibili non classificate e come protezione dagli attacchi alle catene di approvvigionamento da parte dei criminali informatici.
La CMMC è un sistema di valutazione a cinque livelli. Il livello 1 riguarda le pratiche di base dell’igiene della sicurezza informatica, come l’utilizzo della “autenticazione a più fattori”. Il numero di requisiti aumenta in termini di complessità e costo ai livelli di certificazione più elevati. Secondo l’ufficio del Sottosegretario alla difesa per l’acquisizione e il sostegno, meno dell’1% degli appalti richiederà la certificazione di livello 4 o 5.
Quando entra in vigore la CMMC?
La CMMC è entrata in vigore nel dicembre 2020. Le regole saranno introdotte gradualmente nei nuovi appalti del Dipartimento della Difesa Americano nel corso dei prossimi cinque anni, con attuazione totale prevista per ottobre 2025.
Come faccio a sapere di quale livello di certificazione ho bisogno?
La maggior parte degli appalti richiederà solo la certificazione di livello 1, quindi si tratta di una fase importante da raggiungere per tutti gli appaltatori e subappaltatori del Dipartimento della Difesa Americano. Oltre a ciò, i nuovi appalti indicheranno il livello di CMMC richiesto.
Quanto costa la CMMC?
Katie Arrington, responsabile della sicurezza delle informazioni dell’ufficio del Sottosegretario alla difesa per l’acquisizione e il sostegno, stima che il mantenimento del livello 1 della CMMC, ovvero lo standard più basso, costerà 3.000 dollari ogni tre anni. Si prevede che i livelli della CMMC più elevati diventeranno più costosi da raggiungere e mantenere.
Quali sono i requisiti dei livelli della CMMC?
Il livello 1 della CMMC è costituito da 17 pratiche di sicurezza informatica, che si riferiscono a tutte le pratiche delineate nel Federal Acquisition Regulation (FAR, regolamento federale sugli acquisti), 48 CFR 52.204-21. Queste pratiche includono funzionalità di gestione delle risorse, gestione della configurazione, identificazione e autenticazione e ripristino di emergenza, solo per citarne alcune.
Il livello 3 della CMMC comprende 130 pratiche di sicurezza informatica e include tutte quelle presenti nel NIST SP 800-171r1. A livello 4 e 5 della CMMC, i requisiti che gli appaltatori del Dipartimento della Difesa Americano devono rispettare includono un sottoinsieme delle pratiche della bozza della normativa NIST SP 800-171B e ulteriori pratiche avanzate di sicurezza informatica.
Per ottenere la certificazione, le organizzazioni devono usufruire di un’organizzazione di valutazione di terze parti per la CMMC (C3PAO, CMMC Third Party Assessment Organization) autorizzata e accreditata, che conduce le valutazioni per la CMMC e assegna i relativi certificati. L’ufficio del Sottosegretario alla difesa per l’acquisizione e il sostegno prevede di avere circa 1.500 aziende certificate nel 2021, poiché i nuovi appalti del Dipartimento della Difesa Americano includono i requisiti.
Cosa rappresenta la CMMC per gli MSP?
Gli MSP che lavorano con client connessi al Dipartimento della Difesa potrebbero doversi conformare alla CMMC e quindi devono mettere a punto un piano per soddisfare i requisiti stabiliti nel livello 1 della CMMC. Ciò consentirà all’azienda di continuare a funzionare senza problemi e migliorerà la sicurezza complessiva dei client non connessi al Dipartimento della Difesa Americano. Molti dei requisiti del livello 1 della CMMC, come la capacità di fornire valutazioni e formazione per la sensibilizzazione sulla sicurezza, possono rappresentare dei servizi preziosi da includere nell’accordo di servizi gestiti (MSA).
Per quanto riguarda gli MSP impegnati con altri settori del governo federale e locale, un determinato livello di conformità alla CMMC potrebbe diventare il nuovo standard anche per gli enti pubblici. Con il crescente tasso di violazioni aziendali e la domanda di servizi di sicurezza informatica, la CMMC può fungere da guida utile per l’identificazione di un percorso di crescita dell’azienda. La CMMC è stata inoltre sviluppata in collaborazione con Paesi europei come Svizzera e Regno Unito, suggerendo quindi la possibilità di uno standard internazionale di sicurezza informatica e nuove opportunità di crescita.
In che modo i professionisti informatici possono portarsi avanti con la CMMC?
Inizia assicurandoti che i servizi possano essere forniti attraverso il cloud per velocizzare la conformità alla CMMC e ridurre i costi. Sfruttando gli strumenti cloud, i professionisti informatici possono fornire molte pratiche di CMMC volte a migliorare la sicurezza informatica per l’intera organizzazione e a ridurre i rischi.
Gli strumenti di monitoraggio e gestione da remoto incentrati sul cloud possono fungere da anelli fondamentali nella catena di strumenti per la sicurezza informatica. Tali strumenti non solo possono velocizzare il rilevamento delle vulnerabilità e la gestione della sicurezza, ma possono essere sfruttati per coordinare e organizzare molte funzioni di sicurezza fondamentali come la gestione delle patch e l’antivirus.
**Per l’elenco completo delle domande frequenti, visita la pagina dell’ufficio del Sottosegretario alla difesa per l’acquisizione e il sostegno relativa alla CMMC.
