Pentágono adota novo Sistema de Segurança Cibernética

24/02/2020| Cibersegurança, Cultura de Segurança| Views: 421

A partir deste ano, todas as interações com Departamento de Defesa dos Estados Unidos vão passar primeiro pelo programa de cibersecurity.

O Departamento de Defesa revelou no último mês de janeiro os planos de implementação de um novo mecanismo de segurança cibernética.

A partir deste ano, todas as empresas deverão aderir o programa sempre que forem interagir com os sistemas do Pentágono.

Chamado de Cybersecurity Maturity Model Certification, ou CMMC, a ferramenta da instituição visa melhorar a defesa e controlar informações contra ataques cibernéticos e roubos de dados por adversários políticos como a China.

“Os adversários sabem que hoje existe uma grande competição por informação e tecnologia, e os recursos estão relacionados à segurança nacional dos países. Atacar um desses sistemas é tido como uma espécie de prêmio”, revelou a subsecretária de Defesa e Aquisições, Ellen Lord, em uma declaração oficial do Pentágono à imprensa.

Ellen Lord também afirmou que o CMMC só vai ser aplicado em novos contratos, mas como a cibersegurança é uma grande preocupação dos militares, novas medidas serão tomadas nos próximos cinco anos.

Até o ano de 2026, todos os contratos do Departamento de Defesa dos Estados Unidos atenderão os requisitos da CMMC.

O sistema CMMC combina vários padrões e referências de segurança cibernética, incluindo a Publicação Especial NIST 800-171, em um conjunto unificado de benchmarks.

“Uma escala progressiva com os níveis de 1 a 5 será aplicada, dependendo do programa e do trabalho específico que uma empresa realizará”, disse Katie Arrington, diretora de Segurança da Informação do Pentágono.

O CMMC vai exigir que as empresas sejam credenciadas por organizações de avaliação de terceiros.

“Precisamos garantir que nossos parceiros estejam preparados para assumir o trabalho, e os auditores externos garantirão que eles estão implementando as práticas necessárias para garantir a defesa nacional e nossa base de dados“, completou Arrigton.

O Pentágono selecionará esses terceiros através de um órgão composto por 13 membros da base da Defesa Nacional e da comunidade de Cibersecurity.

Chamado também de C3PAOs, o grupo foi criado no início de janeiro e será responsável por treinar e certificar os candidatos e avaliadores.

“Existem várias empresas interessadas no momento, mas ainda não designamos oficialmente quem está qualificado para a função“, afirmou Lord.

O Departamento de Defesa dos Estados Unidos entregou oficialmente a versão 1.0 do CMMC em 31 de janeiro de 2020.

“Obviamente, este é um lançamento complicado para nós, e estamos sendo realistas para garantir que tenhamos projetos efetivos. Depois que implementarmos, vamos monitorar e obter os feedbacks para então prosseguimos“, disse a diretora Lord.

O que muda com a CMMC

Com os novos requisitos, serão incluídos pedidos personalizados de informações para os projetos, seguidos pelas propostas correspondentes.

Os padrões do CMMC devem ser atendidos no momento da concessão do contrato.

Entretanto, o Pentágono está atento às pequenas empresas. Segundo a diretora, o órgão não quer que o serviço fique muito caro, pois obrigaria essas empresas a fazerem negócios com militares.

“Uma das minhas maiores preocupações é implementar o CMMC para pequenas e médias empresas, porque é daí que vem grande parte da inovação do projeto“, disse ela.

Lord informa que o Departamento de Segurança dos Estados Unidos entende que a CMMC pode ser um fardo para os modelos de negócio mais enxutos e que o órgão está trabalhando para diminuir o impacto sem prejudicar o projeto de segurança nacional.

“Precisamos de pequenas e médias empresas em nossa base de dados e precisamos mantê-las conosco“, completou.

Lord observou que o Pentágono buscou opiniões de empresas de todos os tamanhos, legisladores e funcionários do Capitólio, universidades e organizações comerciais, como a National Defense Industrial Association, antes de emitir os novos padrões.