Settore pubblico 
Poiché le agenzie federali affrontano minacce informatiche sempre più sofisticate, garantire la sicurezza di sistemi ad alto impatto e dati sensibili non classificati è diventato una
Il Dipartimento della difesa degli Stati Uniti (DoD) ha introdotto il proprio programma di Certificazione del modello di maturità per la sicurezza informatica (CMCC) all’inizio del 2020 per rafforzare la sicurezza informatica in tutta la Base industriale per la difesa (DIB) e garantire che le aziende fornitrici che gestiscono Informazioni non classificate controllate (CUI) rispettino i rigorosi standard di sicurezza informatica stabiliti dal National Institute of Standards and Technology (NIST).
Il 10 novembre 2025, la regola finale di acquisizione del DoD per il programma CMMC è ufficialmente entrata in vigore, pertanto i contratti del DoD inizieranno a includere i requisiti obbligatori CMMC che verranno introdotti gradualmente nei prossimi anni.
Il CMMC ha tre livelli e i requisiti variano a seconda del livello. Il livello 1 del CMMC prevede 15 controlli ed è obbligatorio per i contratti contenenti Informazioni contrattuali federali (FCI) ma senza CUI. L’azienda fornitrice deve effettuare un’autovalutazione; non è richiesta alcuna valutazione da parte di terzi. Il livello 2 del CMMC prevede 110 controlli ed è conforme ai controlli NIST SP 800-171. È richiesto per i contratti che coinvolgono CUI. Molti contratti richiederanno una certificazione CMMC di livello 2 tramite una valutazione di terze parti da parte di un’organizzazione di valutazione di terze parti CMMC (C3PAO). Infine, il livello 3 di CMMC richiede 24 controlli di sicurezza aggiuntivi e tutti i contratti chiederanno una valutazione da parte di terzi.
La nuova tempistica del CMMC
Il DoD prevede di implementare il CMMC nei prossimi anni. Ecco cosa significa ogni fase per le aziende fornitrici che gestiscono CUI e la tempistica attuale:
- La Fase 1 è già iniziata e le aziende fornitrici che gestiscono CUI devono effettuare un’autovalutazione sulla propria conformità al Livello 2 del CMMC per qualificarsi per i contratti del DoD. In alcuni casi, il DoD può anche richiedere audit di terze parti per il livello 2.
- La fase 2 inizierà a novembre 2026 e i contratti di livello 2 richiederanno la certificazione di terze parti anziché una semplice autovalutazione.
- La fase 3 inizierà nel novembre 2027 e le certificazioni CMMC di livello 3 saranno richieste per tutti i nuovi contratti, a meno che non vengano posticipate. Il DoD potrebbe posticipare i requisiti CMMC di livello 3 ai periodi opzionali di determinati contratti.
- La fase 4 è l’ultima fase e inizierà a novembre 2028. I requisiti CMMC si applicheranno a tutti i contratti applicabili.
Cosa significa ora per le aziende fornitrici
Se la tua organizzazione gestisce CUI o FCI, le future richieste includeranno i requisiti CMMC. Per prepararti, concentrati su questi passaggi:
- Verifica la conformità al cloud: CMMC richiede FedRAMP Moderate (o equivalente) per qualsiasi servizio cloud che archivi o elabori CUI. Le organizzazioni che si avvalgono di fornitori di servizi cloud dovrebbero valutare ciascuno dei loro contratti di servizi cloud e verificare che il fornitore abbia la certificazione FedRAMP Moderate.
- Definisci il tuo ambiente CUI: mappa dove le CUI risiedono e identifica i sistemi, le reti, le applicazioni e gli utenti che interagiscono con esse.
- Rivedi tutti i 110 controlli di livello 2: individua le lacune, annota quali categorie necessitano di ulteriore supporto e dai priorità alle correzioni. Alcune delle categorie di Livello 2 includono Controllo degli accessi (AC), Consapevolezza e formazione, Audit e responsabilità (AU) e Gestione della configurazione (CM).
- Documenta tutto: mantieni voci chiare delle politiche di accesso, degli audit e delle configurazioni. Che tu stia effettuando un’autovalutazione o preparando una valutazione di terze parti, una documentazione chiara ridurrà il tempo necessario per raggiungere la piena conformità al CMMC.
Perché la gestione degli accessi privilegiati è importante e il ruolo di Keeper
Le soluzioni di gestione degli accessi privilegiati (PAM) gestiscono e proteggono gli account che hanno autorizzazioni di accesso a sistemi e dati altamente sensibili, riducendo il rischio di attacchi informatici. Una soluzione PAM può aiutare le organizzazioni a soddisfare molti dei controlli CMMC, in particolare quelli relativi al Controllo degli accessi (AC), all’Identificazione e autenticazione (IA) e alla Protezione del sistema e delle comunicazioni (SC).
Oggi, i team di sicurezza spesso non hanno una visibilità completa sulla solidità della strategia di sicurezza delle password dell’organizzazione. Keeper Security Government Cloud (KSGC) colma questa lacuna offrendo visibilità sul riutilizzo delle password e sulle credenziali compromesse, e consentendo alle organizzazioni di impostare e monitorare le politiche sulle password. KSGC inoltre monitora e avvisa gli amministratori delle debolezze, consentendo una gestione preventiva del rischio prima che si verifichino incidenti informatici.
KSGC è FedRAMP High Authorized, pertanto è un’ottima soluzione per le aziende fornitrici del DoD che devono proteggere informazioni sensibili. Keeper aiuta le aziende a conformarsi a questi controlli CMMC in evoluzione affrontando i requisiti chiave di sicurezza delle password e la gestione degli accessi, riducendo l’onere di dimostrare la conformità ai controlli CMMC .
Per aiutare le organizzazioni a capire dove Keeper si inserisce nel quadro CMMC, Keeper ha recentemente collaborato con un esperto CMMC di terze parti per mappare le funzionalità di Keeper a specifici controlli CMMC. L’esperto è Jacob Hill, CEO di TekFused, una società che offre certificazioni GRC (Governance, Risk and Compliance). Hill ha oltre 17 anni di esperienza, un master in sicurezza informatica presso la WGU e diverse certificazioni, tra cui CMMC Certified Assessor, CMMC Provisional Instructor, CISSP-ISSEP e CySA+. È inoltre autore di diverse CVE e la sua ricerca in materia di sicurezza informatica è stata oggetto di pubblicazione da parte di Brian Krebs e di Infosecurity Magazine.
*Disclaimer: cliccando sul pulsante qui sopra scaricherai un file sul tuo computer.
Combinando pratiche di sicurezza informatica mirate, solide politiche di gestione degli accessi e piattaforme come KSGC, le aziende fornitrici possono prepararsi più rapidamente, rimanere al passo con i requisiti di conformità ed essere pronti per partecipare ai contratti del Dipartimento della difesa (DoD). Richiedi una demo oggi per saperne di più.
