Há muitos padrões no mundo da TI que as organizações devem cumprir, um dos quais é a Certificação do Modelo de Maturidade em Segurança Cibernética (Cybersecurity Maturity Model Certification – CMMC). Este post visa explicar o que é CMMC, sua importância, os diferentes níveis de CMMC e se todas as empresas precisam dela.
O que é CMMC?
A Cybersecurity Maturity Model Certification, mais conhecida como CMMC, é um padrão unificado implementado pelo Departamento de Defesa dos EUA (US Department of Defense – DoD) para reforçar a postura de segurança cibernética da Base Industrial de Defesa (Defense Industrial Base – DIB) nos Estados Unidos. Trata-se de um conjunto de práticas e processos de segurança cibernética projetados para salvaguardar dados confidenciais, principalmente informações de contratos federais (Federal Contract Information – FCI) e informações não classificadas controladas (Controlled Unclassified Information – CUI) que circulam na DIB.
O primeiro modelo, CMMC 1.0, foi lançado em 31 de janeiro de 2020. A CMMC 1.0 apresentava cinco níveis de maturidade diferentes, cobrindo da higiene cibernética básica a práticas avançadas ou progressivas.
No entanto, após o feedback negativo do setor quanto à complexidade e ao custo da CMMC 1.0, o DoD realizou uma análise interna e decidiu substituir a estrutura original pela CMMC 2.0.
Publicada em outubro de 2024, a CMMC 2.0 surgiu como versão simplificada de sua antecessora. O novo modelo continha três níveis de controle, em comparação aos cinco níveis de maturidade da CMMC 1.0.
Níveis da CMMC 2.0: panorama rápido
Os cinco níveis de maturidade da CMMC 1.0 foram reduzidos para três na estrutura 2.0.
Nível 1 – Básico
Esse nível se concentra em medidas básicas de segurança cibernética e é um requisito para organizações que trabalham com a FCI. Ele inclui os 15 controles de segurança descritos na Lei Federal para Aquisições (Federal Acquisition Regulation – FAR) 52.204-21.
Pense no nível 1 como o ponto de partida para a segurança cibernética: ele inclui práticas básicas de segurança, como manter as portas trancadas e garantir que somente as pessoas certas tenham acesso às suas informações.
Nível 2 – Avançado
Os contratados que lidam com CUI precisam atender a esse nível de certificação. Esse estágio vai além das simples proteções exigidas pelo Nível 1. Ele requer a criação de um manual de segurança cibernética repleto de processos e estratégias bem documentados.
Em poucas palavras, trata-se da instalação de um sistema de segurança completo.
Nível 3 – Especialista
Destinado aos contratados associados aos programas de maior prioridade envolvendo CUI, o Nível 3 almeja a defesa cibernética proativa. Apenas um pequeno número de contratados do DoD precisa atender a esse nível de conformidade.
Cada nível se apoia no anterior, ou seja: a conformidade com o Nível 2 exige a conformidade com o Nível 1.
Toda empresa precisa estar em conformidade com a CMMC?
Todas as empresas que lidam com contratos do Departamento de Defesa dos EUA (DoD) devem estar em conformidade com a CMMC, desde as principais empreiteiras até os menores fornecedores.
A concessão ou a continuidade de um contrato do DoD depende muito da conformidade das entidades envolvidas com os requisitos da CMMC 2.0, o que significa que toda organização precisa se manter em conformidade com a CMMC durante toda a vigência do contrato.
Entretanto, considerando o aumento das ameaças cibernéticas, qualquer empresa que valorize a segurança dos dados pode achar vantajoso adotar as práticas descritas na CMMC.
Por que a CMMC é importante?
Em tempos de ameaças cibernéticas cada vez mais ostensivas, a CMMC serve como uma estrutura essencial para garantir medidas robustas de segurança cibernética. Não se trata apenas de uma certificação: ela representa o compromisso de uma organização com a proteção de dados e demonstra sua capacidade de proteger informações confidenciais.
Mais importante ainda, ela oferece a provedores de serviços gerenciados (MSPs) a oportunidade perfeita para ajudar seus clientes a adotar medidas de segurança cibernética mais extensivas.
Conclusão
A CMMC é mais do que apenas um padrão de segurança cibernética: é uma prova do compromisso de uma organização para com a proteção de dados. Embora atualmente seja exigida para organizações detentoras de contratos junto ao DoD, seus princípios são universalmente aplicáveis e reforçam significativamente a postura de segurança cibernética de qualquer entidade.
Empresas que investem tempo em compreender o funcionamento da CMMC conseguem avaliar melhor sua postura de segurança cibernética e determinar se a implementação da estrutura pode fortalecer suas operações antes de buscar a certificação.
