Nove em cada 13 seguradoras que rastreamos não redigirão uma apólice a menos que você tenha MFA. O mesmo acontece com o CMMC 2.0 — e um Plano de ação e marcos (POA&M) não serão aceitos se você não tiver o básico, como MFA, antivírus e treinamento de conscientização de segurança. – Foster Charles, Fundador e CEO, Charles IT
MIDDLETOWN, Connecticut (PRWEB) 27 de março de 2023
O Departamento de Defesa (DoD) anunciou a nova Certificação de Modelo de Maturidade em Cibersegurança, CMMC 2.0, em novembro de 2021. A mudança ocorreu depois que foi determinado que o modelo CMMC 1.0 original era muito pesado e confuso para os contratados. A intenção, no entanto, permanece a mesma: garantir que os contratados da Base Industrial de Defesa (DIB) tenham as medidas e procedimentos apropriados para proteger informações confidenciais, incluindo informações não classificadas controladas (CUI) e informações de contratos federais (FCI).
O que é importante entender é que o CMMC 2.0 não é nada novo. Os requisitos são baseados no Instituto Nacional de Padrões e Tecnologia (NIST) SP 800-171 e estão diretamente alinhados com o Suplemento de Regulamento de Aquisição Federal de Defesa (DFARS), que já é exigido há algum tempo.
O que importa é o quão rigorosamente você está implementando essas práticas recomendadas para segurança de TI, pois os novos regulamentos serão aplicados com firmeza em 2023. Para ter sucesso, os contratados devem mudar sua abordagem de conformidade ou correm o risco de perder contratos lucrativos ou incorrer em pesadas multas.
Mudanças de alto nível no CMMC 2.0
O CMMC 1.0 visava agregar vários requisitos de segurança em um único padrão de conformidade para o governo federal. Embora a intenção fosse boa, as regras eram muito complicadas. O CMMC 2.0 é uma simplificação do CMMC 1.0 — tornando muito mais fácil para os contratados do DIB obter conformidade para melhorar a segurança da defesa federal.
O nível um requer uma autoavaliação de 17 práticas recomendadas semelhantes à estrutura de segurança cibernética (CSF) do NIST. O nível dois se alinha com o NIST SP 800-171 e requer certificação de uma Organização de Avaliação de Terceiros CMMC (C3PAO). Por fim, os contratados do DIB que lidam com informações ultrassecretas devem atingir o nível três de conformidade com base no NIST 800-172.
O CMMC 2.0 remove os requisitos não incluídos no NIST SP 800-171 para tornar mais prático alcançar e fazer cumprir a conformidade. Ele também abrange subcontratados da DIB para garantir a segurança em toda a cadeia de suprimentos, pois mais agentes mal-intencionados visam empresas menores que contratam gigantes do setor (por exemplo, Lockheed Martin). “Os hackers podem obter apenas uma peça de CUI de um fornecedor. Mas se eles empilharem um monte deles juntos, eles podem obter uma imagem bastante completa - é assim que os segredos vazam. O CMMC 2.0 trata de proteger segredos de estado”, diz Charles.
A guerra cibernética é a preocupação mais recente e por boas razões. Por exemplo, os agentes de ameaças podem lançar um ataque cibernético na infraestrutura (por exemplo, o ataque Colonial Pipeline) e, em seguida, aproveitar o tempo de inatividade estendido para lançar um ataque físico mais devastador — que pode paralisar toda a nação.
Qual é a principal conclusão dessas mudanças e o que você precisa saber ao atualizar seus processos?
Um dos principais objetivos do CMMC 2.0 é trazer clareza e remover a complexidade. Por exemplo, exige uma certificação de terceiros a cada três anos (em vez de uma avaliação anual) para os níveis dois e três de conformidade.
Além disso, os procedimentos são mais fáceis de entender, então seu foco pode estar em atualizar sua postura de segurança.
Como o CMMC 2.0 beneficia os contratantes do DIB
O CMMC 2.0 permite uma melhor proteção do CUI para evitar vazamentos de dados e espionagem. Ele fortalece a segurança nacional e ajuda a proteger contra a cadeia de suprimentos ou ataques patrocinados pelo Estado. No entanto, entenda que isso também beneficia os contratados da DIB em suas operações: “A indústria de manufatura está muito atrasada em TI e segurança. As empresas ainda executam muitos processos manualmente, o que é muito inseguro. Sua falta de higiene de segurança de TI geralmente leva a ataques caros de ransomware e outros. O CMMC 2.0 força esses contratados a estabelecer bons hábitos de negócios que, em última análise, são bons para suas organizações”, diz Charles.
A ideia de mais uma regulamentação pode ser intimidante. A boa notícia é que metade do CMMC 2.0 já está no NIST SP 800-171 - detalhando as práticas de segurança cibernética que os contratados do DIB já devem seguir, por exemplo, usando software antivírus, implementando autenticação multifator (MFA) e mapeando e rotulando todos os CUI .
Criticamente, as empresas não podem nem obter cobertura de seguro de segurança cibernética sem implementar muitas das medidas descritas no CMMC 2.0. “Nove das 13 seguradoras que rastreamos não redigirão uma apólice a menos que você tenha MFA. O mesmo acontece com o CMMC 2.0 — e um Plano de ação e marcos (POA&M) não serão aceitos se você não tiver o básico, como MFA, antivírus e treinamento de conscientização de segurança”, diz Charles.
O CMMC 2.0 é um passo necessário para que toda a indústria de defesa se atualize do ponto de vista da tecnologia.
Por que mudar sua abordagem é fundamental
Conforme mencionado, o equívoco mais comum sobre o CMMC 2.0 é que é um novo padrão de conformidade quando, na verdade, não é.
O outro equívoco crucial é que muitos empreiteiros assumem que podem esperar até que a decisão do CMMC 2.0 seja aprovada antes de agir. Muitos prestadores de serviços subestimam quanto tempo levará para avaliar sua postura de segurança, implementar ações de correção e obter a avaliação de terceiros. Alguns também julgam mal o quão tecnicamente atrasados estão seus sistemas e processos e o investimento necessário para alcançar a conformidade. Também é essencial lembrar que atender a esses padrões requer coordenação com fornecedores, o que pode levar algum tempo para ser concluído. “Muitos fornecedores ignoram a complexidade de suas cadeias de suprimentos e o número de fornecedores terceirizados que usam. Por exemplo, você pode descobrir que alguns fornecedores ainda usam o Windows 7 e se recusam a atualizar. Portanto, você pode se encontrar em apuros se seus fornecedores não estiverem em conformidade e terá que esperar que eles atualizem sua tecnologia”, diz Charles.
Também há problemas com a conformidade com a nuvem, aponta Charles. Muitos prestadores de serviços também não percebem que não podem processar CUI em nenhuma nuvem — sua plataforma deve estar em uma nuvem média ou alta de Fedramp. Por exemplo, em vez do Office 365, você deve usar o Microsoft 365 Government Community Cloud High (GCC High).
Como se preparar para o CMMC 2.0
Comece a se preparar o mais rápido possível, caso ainda não o tenha feito, e espere que o processo demore um ou dois anos. O CMMC 2.0 provavelmente entrará em vigor em 2023 e, assim que entrar, aparecerá em todos os contratos em 60 dias. Você não pode se dar ao luxo de esperar até o último minuto.
Em outras palavras, os contratantes se beneficiarão de um senso de urgência. “Alcançar a conformidade de uma só vez pode ser um grande choque para uma organização e seus processos de negócios diários. Recomendo realizar uma avaliação e elaborar um roteiro plurianual”, diz Charles. Esse plano deve responder a perguntas como: Quais máquinas/hardware você precisa substituir? Quais fornecedores terceirizados exigem atualizações? Eles têm planos de fazê-lo nos próximos três anos?”
O envio de um plano de segurança do sistema (SSP) é essencial para a conformidade com o CMMC 2.0. O SSP também é um documento essencial que um provedor de serviços gerenciados (MSP) pode usar para ajudar sua empresa com conformidade. A planilha descreve os requisitos de segurança do CMMC e ajuda você a obter uma visão geral das atualizações necessárias. “A primeira coisa que costumo perguntar é: 'você conhece sua pontuação no SSP?'”, diz Charles. Outras empresas podem não estar tão adiantadas. Nesse caso, Charles IT pode conduzir uma lacuna ou avaliação de risco para nossos clientes como um primeiro passo para escrever um SSP e um plano de ação e marcos (POA&M). “Nós o chamamos uma avaliação de lacunas. Precisamos saber a profundidade da água e, então, vamos localizá-la e ajudá-los a escrever um SSP”, aconselha Charles.
Se você tiver uma postura de segurança relativamente madura e seguir as práticas recomendadas de segurança cibernética mais recentes, atingir a conformidade com o CMMC 2.0 deve levar cerca de seis a nove meses. Caso contrário, você pode estar olhando para um cronograma de 18 meses. Novamente, não espere até que um contrato esteja na mesa — comece agora para evitar a perda de negócios.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Fonte: https://www.prweb.com/releases/2023/3/prweb19246469.htm
- :é
- $UP
- 1
- 2021
- 2023
- 7
- a
- Sobre
- Alcançar
- alcançar
- aquisição
- em
- Açao Social
- ações
- atores
- Vantagem
- Depois de
- contra
- alinhado
- Alinha
- Todos os Produtos
- já
- Entre
- e
- anunciou
- anual
- Outro
- responder
- antivirus
- aparecer
- abordagem
- apropriado
- aprovou
- SOMOS
- por aí
- AS
- avaliação
- auxiliar
- At
- ataque
- Ataques
- Autenticação
- consciência
- base
- baseado
- fundamentos básicos
- BE
- antes
- atrás
- beneficiar
- Benefícios
- MELHOR
- melhores práticas
- Melhor
- trazer
- Monte
- negócio
- negócios
- chamada
- CAN
- Pode obter
- transportadoras
- casas
- Chefe executivo
- FDA
- cadeia
- correntes
- alterar
- Alterações
- mudança
- Charles
- clareza
- clientes
- Na nuvem
- comum
- comunidade
- Empresas
- Empresa
- completar
- complexidade
- compliance
- compatível
- complicado
- Interesse
- Conduzir
- condutor
- confuso
- contract
- empreiteiros
- contratos
- controlado
- coordenação
- poderia
- cobertura
- Covers
- crucial
- Ataque cibernético
- Cíber segurança
- dados,
- Data
- dia a dia
- dias
- profundo
- Defesa
- Departamento
- Departamento de Defesa
- concepção
- Detalhamento
- determinado
- devastador
- diretamente
- descobrir
- documento
- tempo de inatividade
- e
- mais fácil
- efeito
- permite
- impor
- garantir
- Todo
- espionagem
- essencial
- estabelecer
- avaliar
- Mesmo
- Cada
- exemplo
- esperar
- Federal
- Governo federal
- poucos
- Encontre
- final
- firmemente
- Primeiro nome
- Foco
- seguir
- seguinte
- Escolha
- Forças
- para a frente
- Promover
- fundador
- Quadro
- da
- Ganho
- lacuna
- GCC
- ter
- obtendo
- Go
- Bom estado, com sinais de uso
- Governo
- hackers
- Metade
- manipular
- Ter
- ajudar
- ajuda
- Alta
- Como funciona o dobrador de carta de canal
- Contudo
- HTTPS
- i
- imagem
- executar
- implementação
- importante
- melhorar
- in
- incluído
- Incluindo
- industrial
- indústria
- INFORMAÇÕES
- Infraestrutura
- instância
- em vez disso
- Instituto
- com seguro
- intenção
- Intenção
- intimidante
- investimento
- questões
- IT
- segurança de TI
- ESTÁ
- apenas um
- Chave
- Saber
- marcação
- Sobrenome
- mais recente
- lançamento
- Leads
- Vazamentos
- Nível
- níveis
- Provável
- Lockheed Martin
- procurando
- perder
- lucrativo
- principal
- fazer
- Fazendo
- manualmente
- fabrica
- indústria de transformação
- muitos
- mapeamento
- Martin
- Matéria
- maduro
- maturidade
- Modelo de maturidade
- medidas
- média
- reunião
- mencionado
- MFA
- Microsoft
- Milestones
- minuto
- modelo
- mês
- mais
- a maioria
- multi-ano
- nação
- Nacional
- segurança nacional
- necessário
- você merece...
- Novo
- notícias
- Próximo
- nist
- Novembro
- Novembro de 2021
- número
- objetivo
- of
- Office
- on
- ONE
- Operações
- ordem
- organização
- organizações
- original
- Outros
- delineado
- contornos
- Visão geral
- festa
- perspectiva
- físico
- fotografia
- peça
- oleoduto
- plano
- planos
- plataforma
- platão
- Inteligência de Dados Platão
- PlatãoData
- pontos
- Privacidade
- pobre
- Prática
- práticas
- Preparar
- preparação
- evitar
- procedimentos
- processo
- processos
- proteger
- proteção
- provedor
- Frequentes
- ransomware
- em vez
- perceber
- razões
- recomendar
- Regulamento
- regulamentos
- relativamente
- permanece
- lembrar
- remover
- substituir
- requerer
- requeridos
- Requisitos
- exige
- Risco
- avaliação de risco
- roadmap
- regras
- decisão
- Execute
- s
- mesmo
- diz
- Ponto
- assegurando
- segurança
- Consciência de segurança
- sentido
- sensível
- serviço
- Provedor de Serviço
- rede de apoio social
- semelhante
- solteiro
- SIX
- menor
- So
- Software
- alguns
- velocidade
- pilha
- padrão
- padrões
- começado
- Estado
- Passo
- Ainda
- Fortalece
- bem sucedido
- tal
- fornecedores
- supply
- cadeia de suprimentos
- Redes de fornecimento
- .
- sistemas
- mesa
- Tire
- tomar
- negociações
- Target
- Tecnologia
- que
- A
- O Básico
- deles
- Eles
- Este
- coisa
- Terceiro
- De terceiros
- pensamento
- ameaça
- atores de ameaças
- três
- tempo
- linha do tempo
- para
- juntos
- também
- pista
- Training
- Em última análise
- compreender
- atualização
- atualização
- atualizações
- urgência
- usar
- geralmente
- vário
- fornecedores
- esperar
- Água
- O Quê
- qual
- enquanto
- precisarão
- Windows
- de
- dentro
- sem
- Ganhou
- palavras
- escrever
- escrita
- ano
- anos
- Vocês
- investimentos
- você mesmo
- zefirnet
