Setor público 
À medida que agências federais enfrentam ameaças cibernéticas cada vez mais sofisticadas, proteger sistemas de alto impacto e dados sensíveis não classificados tornou-se uma prioridade máxima.
O Departamento de Defesa dos Estados Unidos (DoD) introduziu o programa Certificação do Modelo de Maturidade em Segurança Cibernética (CMMC) no início de 2020 para fortalecer a segurança cibernética em toda a Base Industrial de Defesa (DIB) e garantir que contratados que lidam com informações não classificadas controladas (CUI) atendam a padrões rigorosos de segurança definidos pelo Instituto Nacional de Normas e Tecnologia (NIST).
Em 10 de novembro de 2025, a regra final de aquisição do DoD para o programa CMMC entrou oficialmente em vigor, o que significa que contratos do DoD passarão a incluir requisitos obrigatórios de CMMC, que serão implementados de forma gradual ao longo dos próximos anos.
O CMMC tem três níveis, e os requisitos variam conforme o nível. O CMMC Nível 1 conta com 15 controles e é exigido para contratos que envolvem apenas informações de contrato federal (FCI), sem CUI. O contratado deve realizar uma autoavaliação; não é necessária avaliação por terceiros. O CMMC Nível 2 possui 110 controles e está alinhado aos controles da NIST SP 800-171. Ele é exigido para contratos que envolvem CUI. Muitos contratos exigirão a certificação no CMMC Nível 2 por meio de uma avaliação por terceiros realizada por uma organização avaliadora de terceiros do CMMC (C3PAO). Por fim, o CMMC Nível 3 exige 24 controles adicionais de segurança aprimorada, e todos os contratos exigirão avaliação por terceiros.
O novo cronograma do CMMC
O DoD planeja implementar o CMMC ao longo dos próximos anos. Veja o que cada fase significa para contratados que lidam com CUI e o cronograma atual:
- A Fase 1 já começou, e contratados que lidam com CUI devem realizar uma autoavaliação comprovando que atendem ao CMMC Nível 2 para se qualificarem a contratos do DoD. Em alguns casos, o DoD também pode exigir auditorias por terceiros para o Nível 2.
- A Fase 2 terá início em novembro de 2026, e contratos de Nível 2 passarão a exigir certificação por terceiros, e não apenas autoavaliação.
- A Fase 3 começará em novembro de 2027, e certificações por terceiros do CMMC Nível 3 serão exigidas para todos os novos contratos, salvo adiamento. O DoD pode adiar os requisitos do CMMC Nível 3 para períodos opcionais de alguns contratos.
- A Fase 4 é a fase final e começa em novembro de 2028. Os requisitos do CMMC passarão a se aplicar a todos os contratos aplicáveis.
O que isso significa agora para os contratados
Se a sua organização lida com CUI ou FCI, futuras solicitações passarão a incluir requisitos de CMMC. Para se preparar, concentre-se nas seguintes etapas:
- Verificar a conformidade da nuvem: o CMMC exige FedRAMP de nível moderado (ou equivalente) para qualquer serviço de nuvem que armazene ou processe CUI. Organizações que utilizam provedores de serviços em nuvem devem avaliar cada um de seus contratos de serviços em nuvem e verificar se o provedor possui certificação FedRAMP de nível moderado.
- Definir o ambiente de CUI: mapear onde a CUI está armazenada e identificar os sistemas, redes, aplicativos e usuários que interagem com ela.
- Revise todos os 110 controles de Nível 2: identificar lacunas, observar quais categorias precisam de suporte adicional e priorizar as ações de correção. Algumas das categorias do Nível 2 incluem Controle de Acesso (AC), Conscientização e Treinamento, Auditoria e Responsabilização (AU) e Gerenciamento de Configuração (CM).
- Documentar tudo: manter registros claros de políticas de acesso, auditorias e configurações. Seja em uma autoavaliação ou na preparação para uma avaliação por terceiros, uma documentação bem estruturada reduz o tempo necessário para alcançar a conformidade total com o CMMC.
Por que o gerenciamento de acesso privilegiado é importante e como o Keeper pode ajudar
Soluções de gerenciamento de acesso privilegiado (PAM) administram e protegem contas que possuem permissões para acessar sistemas e dados altamente sensíveis, reduzindo o risco de ataques cibernéticos. Uma solução de PAM pode ajudar as organizações a atender a muitos dos controles do CMMC, especialmente aqueles relacionados a Controle de Acesso (AC), Identificação e Autenticação (IA) e Proteção de Sistemas e Comunicações (SC).
Atualmente, muitas equipes de segurança não têm visibilidade completa sobre a robustez da postura de senhas da organização. O Keeper Security Government Cloud (KSGC) elimina essa lacuna ao oferecer visibilidade sobre reutilização de senhas e credenciais comprometidas, além de permitir que as organizações definam e monitorem políticas de senha. O KSGC também monitora e alerta administradores sobre fragilidades, viabilizando o gerenciamento proativo de riscos antes que incidentes cibernéticos ocorram.
O KSGC possui autorização FedRAMP High, o que o torna uma opção sólida para contratados do DoD que precisam proteger informações sensíveis. O Keeper ajuda empresas a cumprir esses controles do CMMC em constante evolução ao atender a requisitos fundamentais de segurança de senhas e gerenciamento de acesso, reduzindo o esforço necessário para demonstrar conformidade com os controles do CMMC.
Para ajudar as organizações a entender onde o Keeper se encaixa na estrutura do CMMC, o Keeper trabalhou recentemente com um especialista independente em CMMC para mapear seus recursos a controles específicos do CMMC. Esse especialista, Jacob Hill, é diretor executivo da TEKFused, uma empresa que oferece certificações em governança, risco e conformidade (GRC). Hill tem mais de 17 anos de experiência, mestrado em segurança cibernética pela WGU e diversas certificações, incluindo Avaliador Certificado do CMMC, Instrutor Provisório do CMMC, Especialista Certificado em Segurança de Sistemas de Informação e Profissional Certificado em Análise de Segurança Cibernética. Ele também publicou identificadores de vulnerabilidades comuns, e suas pesquisas em segurança já foram destacadas por Brian Krebs e pela revista Infosecurity.
*Aviso: ao clicar no botão acima, um arquivo será baixado no seu computador.
Ao combinar práticas intencionais de segurança cibernética, políticas sólidas de gerenciamento de acesso e plataformas como o KSGC, contratados podem acelerar a prontidão, manter-se à frente dos requisitos de conformidade e estar preparados para contratos do DoD. Solicite uma demonstração hoje mesmo para saber mais.
