Setor público 
A confiança zero é uma estrutura de cibersegurança construída com base no princípio de "nunca confiar, sempre verificar", significando que cada usuário, dispositivo e sessão deve
Publicado em junho 16, 2026
A Cybersecurity Maturity Model Certification (CMMC) é uma estrutura do Departamento de Defesa dos EUA (DoD) criada para que as organizações que lidam com informações federais mantenham controles adequados de cibersegurança. Embora a CMMC esteja frequentemente associado a agências governamentais e contratados de defesa, universidades de pesquisa envolvidas em projetos financiados pelo DoD também podem precisar proteger Informações Não Classificadas Controladas (CUI), como dados de pesquisa e especificações técnicas. À medida que buscam financiamento governamental para pesquisas e bolsas federais, as universidades devem atender os mais recentes os requisitos para cumprir os critérios e proteger dados sensíveis. Universidades de pesquisa podem se preparar para a conformidade com a CMMC nível 2 identificando onde o CUI reside, aprimorando os controles de acesso e implementando as medidas de segurança necessárias para proteger dados sensíveis.
Continue lendo para saber mais sobre a CMMC nível 2, por que ela é importante para universidades de pesquisa, e como o Keeper cumpre a CMMC.
O que é CMMC nível 2?
A CMMC inclui vários níveis de certificação; no entanto, instituições envolvidas em pesquisas financiadas pelo DoD têm mais probabilidade de enfrentar requisitos da CMMC nível 2. A CMMC nível 2 vale para organizações que armazenam, processam ou compartilham CUI, para que informações governamentais sensíveis fiquem protegidas de ciberameaças e acessos não autorizados. A CMMC nível 2 está alinhada com os controles de segurança descritos na publicação especial 800-171 do Instituto Nacional de Padrões e Tecnologia (NIST), uma estrutura projetada para ajudar organizações não federais a proteger CUI. Seus 110 controles de segurança abrangem uma ampla gama de práticas de cibersegurança, incluindo controle de acesso, autenticação, resposta a incidentes e integridade dos dados.
Por que a CMMC nível 2 é importante para as universidades de pesquisa
As agências governamentais estão adotando princípios de segurança com confiança zero à medida que as ciberameaças que as visam continuam a aumentar, mas os requisitos da CMMC não são reservados apenas para os contratados tradicionais de defesa. Para as universidades de pesquisa, a CMMC nível 2 é importante principalmente porque muitos projetos de pesquisa financiados pelo governo envolvem dados sensíveis, resultados de pesquisas, resultados de testes e outras formas de CUI. A CMMC nível 2 exige que as instituições comprovem que controles de segurança adequados estão em vigor para proteger as CUI ao longo de todo o ciclo de vida.
A regra de execução que exige a CMMC nos contratos do DoD (48 CFR) entrou em vigor em 10 de novembro de 2025, e os contratos do DoD agora cumprem os requisitos da CMMC em um cronograma em fases. Durante a primeira fase, a maioria dos requisitos assume a forma de uma autoavaliação de nível 1 ou nível 2, embora alguns contratos já exijam a certificação de nível 2 por meio de uma Organização Certificada de Avaliação por Terceiros (C3PAO). A partir de 10 de novembro de 2026, entrarão em vigor os requisitos gerais de certificação C3PAO nível 2. Os requisitos específicos dependem dos detalhes do contrato e das informações que estão sendo tratadas. Universidades de pesquisa envolvidas em projetos atuais ou futuros financiados pelo DoD devem avaliar a postura de segurança agora para se prepararem.
O que as universidades de pesquisa devem fazer para cumprirem com a CMMC
Preparar-se para a conformidade com a CMMC nível 2 exige que as universidades de pesquisa compreendam onde o CUI existe em seus ambientes, avaliem os controles de segurança atuais e apoiem esforços contínuos de conformidade. Adotar uma postura proativa em relação à conformidade com a CMMC nível 2 pode ajudar as instituições a identificar precocemente as lacunas na segurança e a desenvolver uma base mais sólida para a proteção de dados sensíveis.
Identifique onde as CUI residem
Antes de implementar controles de segurança, as universidades de pesquisa devem entender onde as CUI são armazenadas e processadas em toda a organização. As CUI podem existir em bancos de dados de pesquisa, sistemas de laboratório, plataformas em nuvem e aparelhos usados por docentes e pesquisadores. Como as universidades costumam operar em vários departamentos e cursos, pode ser um desafio manter total visibilidade sobre as informações confidenciais. Em muitos casos, as CUI existem além de ambientes dedicados de pesquisa, incluindo mensagens de e-mail, unidades compartilhadas ou aparelhos de propriedade do corpo docente. Identificar essas fontes de dados é um primeiro passo importante para determinar quais usuários e sistemas devem estar sujeitos a mais controles de segurança.
Realize uma avaliação completa das lacunas na segurança
Depois que as CUI são identificadas, as universidades de pesquisa devem avaliar como as práticas vigentes de segurança se comparam aos requisitos descritos no NIST SP 800-171. Isso deve incluir a revisão dos controles de acesso, dos recursos de monitoramento, dos planos de resposta a incidentes e dos processos de auditoria. As universidades também devem inventariar contas privilegiadas e revisar as permissões para determinar se o acesso vai além do necessário para as funções dos usuários. Embora muitas instituições já tenham medidas de segurança implementadas, esses controles podem não ser aplicados de forma consistente em todos os departamentos e programas.
Implemente ambientes de pesquisa seguros
Os ambientes de pesquisa devem ser construídos para limitar o acesso às CUI apenas a usuários e sistemas autorizados. Restringir o acesso reduz a exposição dos dados e ajuda a prevenir a divulgação não autorizada de informações sensíveis. Soluções em gerenciamento de identidade e acesso (IAM) podem ajudar as universidades a impor o acesso de privilégio mínimo garantindo que os usuários tenham apenas as permissões necessárias para desempenhar as funções. As instituições também devem exigir a autenticação multifator (MFA) para todas as contas que acessam sistemas contendo CUI, incluindo ambientes de acesso remoto. Controles rigorosos de identidade e acesso ajudam a minimizar as ameaças internas e atendem aos requisitos da CMMC nível 2 relativos à identificação e autenticação.
Documente SSPs e POAMs
Tem Planos de Segurança do Sistema (SSPs) e Planos de Ação e Marcos (POAMs) precisos pode simplificar avaliações futuras e comprovar a conformidade com a CMMC nível 2. O SSP documenta os controles de segurança de uma organização e define como eles são implementados e gerenciados. O POAM identifica falhas de segurança e as ações necessárias para resolvê-las. As universidades devem tratar essa documentação como um processo contínuo em vez de algo pontual, para que as informações permaneçam precisas à medida que os sistemas e ambientes de pesquisa mudam ao longo do tempo.
Prepare-se para a auditoria das C3PAOs
Universidades de pesquisa que buscam a certificação CMMC nível 2 podem ser obrigadas a passar por avaliações conduzidas por C3PAOs. A preparação para essas avaliações exige não só a implementação de controles de segurança como a comprovação de que esses controles estão funcionando corretamente. As instituições devem manter evidências que comprovem as práticas de segurança, incluindo trilhas detalhadas de auditoria, registros de acesso, políticas de segurança e registros de treinamento. A coleta antecipada dessas informações pode agilizar o processo de avaliação e reduzir o trabalho de preparação das revisões formais.
Como a Keeper® faz a preparação para a CMMC 2.0
As organizações que lidam com CUI precisam de rigorosos controles de acesso, visibilidade total das atividades dos usuários e a capacidade de comprovar que os controles de segurança estão funcionando de maneira eficaz. A obtenção da CMMC nível 2 exige uma combinação de pessoas, tecnologia e processos, e o Keeper Security Government Cloud (KSGC) ajuda organizações a proteger as CUI e aprimorar diversos controles de segurança para a preparação para a CMMC. Como plataforma certificada FedRAMP High, o Keeper oferece às universidades de pesquisa as ferramentas para proteger informações sensíveis, controlar o acesso privilegiado e manter visibilidade pronta para auditoria em todos os ambientes.
A KSGC ajuda as universidades de pesquisa a se prepararem para a CMMC 2.0, permitindo que elas:
- Protejam credenciais e dados sensíveis em uma arquitetura com conhecimento zero (SC.L2-3.13.11, SC.L2-3.13.16, IA.L2-3.5.10): protegendo senhas, credenciais relacionadas à pesquisa e informações confidenciais em cofres criptografados.
- Implementem controles de acesso baseados em funções (RBAC) (AC.L2-3.1.2, AC.L2-3.1.4, AC.L2-3.1.5): limitando o acesso a sistemas e dados com base nas responsabilidades do usuário, o que reduz a exposição desnecessária de CUI.
- Reforçarem a autenticação com MFA (IA.L2-3.5.3, IA.L2-3.5.4): aprimorando a segurança das contas ao exigir mais fatores de validação a usuários que acessam sistemas com informações confidenciais.
- Monitorarem e registrarem sessões privilegiadas (AU.L2-3.3.1, AU.L2-3.3.2): tendo visibilidade sobre atividades privilegiadas via monitoramento e gravação de sessões que apoiam a responsabilização e as investigações de segurança.
- Gerarem relatórios prontos para auditoria (AU.L2-3.3.6): mantendo relatórios de conformidade completos que registram a atividade do usuário, os controles de acesso e segurança, o que pode agilizar a preparação para auditorias.
- Implementarem os princípios de segurança com confiança zero (SC.L2-3.13.1, SC.L2-3.13.6) aprovando todos os usuários e aparelhos antes de dar acesso e eliminando a confiança implícita em ambientes de pesquisa no local, híbridos e na nuvem.
Prepare-se para a conformidade com a CMMC nível 2 usando o Keeper
À medida que as universidades de pesquisa continuam a se envolver em pesquisas financiadas pelo DoD, a conformidade com a CMMC é cada vez mais crucial para proteger informações sensíveis e cumprir os critérios para futuras oportunidades de pesquisa. Como a CMMC nível 2 foca especificamente a proteção das CUI, as instituições devem começar a avaliar a postura de segurança o quanto antes, em vez de esperar que a conformidade seja obrigatória. Solicite hoje uma demonstração para saber como o KSGC pode ajudar sua instituição a fortalecer os controles de acesso, proteger as CUI e apoiar a preparação para a CMMC nível 2.
