Affrontare le Informazioni Controllate Non Classificate (CUI) con il suo Programma Rischio Insider
Key Points
- Il CMMC è progettato per salvaguardare le Informazioni Controllate Non Classificate (CUI), richiedendo agli appaltatori della difesa e ai loro subappaltatori di implementare forti controlli di cybersecurity.
- I programmi Insider Risk aiutano a rilevare e prevenire l'accesso non autorizzato alle CUI, promuovendo la consapevolezza della sicurezza e il rilevamento proattivo delle minacce per soddisfare i requisiti CMMC.
- La conformità alla CMMC richiede una valutazione, una formazione e un monitoraggio continui per tutti gli appaltatori e i subappaltatori, per garantire una protezione coerente delle CUI.
In questo articolo approfondiamo le informazioni non classificate controllate (CUI), uno dei tipi di dati principali che CMMC è progettato per proteggere.
Che cosa sono le informazioni non classificate controllate (CUI)?
Le informazioni non classificate controllate (CUI) sono definite dalla guida CMMC come "informazioni che richiedono controlli di salvaguardia o di diffusione ai sensi e in conformità con le leggi, i regolamenti e le politiche governative, escluse le informazioni classificate ai sensi dell'Executive Order 13526, Classified National Security Information, del 29 dicembre 2009, o di qualsiasi ordine precedente o successivo, o dell'Atomic Energy Act del 1954, come modificato".
È importante notare che, sebbene le CUI non siano classificate né regolamentate a livello federale, sono comunque considerate sensibili per gli interessi governativi e militari degli Stati Uniti. Per questo motivo, il CMMC richiede che vengano effettuati controlli sulle CUI per una corretta salvaguardia e divulgazione.
Quali sono alcuni esempi di CUI?
Il CUI è suddiviso in categorie. Le CUI possono variare per quanto riguarda i livelli di sensibilità, ma tutte richiedono lo stesso livello di salvaguardia.
Esempi di CUI sono:
- Dati e analisi della difesa
- Piani per le infrastrutture critiche
- Controlli di importazione/esportazione
- Attività di polizia e di intelligence
- Informazioni sulla ricerca e sui progetti finanziati a livello federale
Ci sono altri tipi di informazioni che devono essere protette da CMMC?
Sì, anche le informazioni sui contratti federali (FCI) devono essere protette dal CMMC. La guida CMMC definisce le FCI come "informazioni fornite o generate per il Governo in base a un contratto non destinato alla pubblicazione".
Il livello 1 della CMMC riguarda i requisiti per proteggere gli FCI. Tuttavia, può esserci una sovrapposizione tra ciò che è CUI e FCI, con informazioni potenzialmente classificate come entrambi i tipi di informazioni, che richiedono agli appaltatori di soddisfare i requisiti dei livelli 2 e 3 della CMMC.
In che modo un programma di rischio interno aiuta a salvaguardare le CUI?
La sicurezza delle informazioni sensibili condivise o gestite dagli appaltatori è un punto centrale di qualsiasi programma di Insider Risk. Con i requisiti CMMC, l'attenzione è rivolta alla protezione di CUI e FCI. Il quadro CMMC non affronta in modo specifico il rischio insider in un single ambito. Invece, i requisiti e i controlli del programma Insider Risk sono distribuiti su più domini CMMC.
Un programma efficace di Insider Risk aiuta le organizzazioni a rilevare, rispondere e prevenire l'accesso non autorizzato o la condivisione di CUI, sia intenzionale che accidentale. Integrando la consapevolezza della sicurezza tra i dipendenti, i subappaltatori e i fornitori, le organizzazioni possono ridurre l'esposizione alla perdita di dati interni e mantenere la conformità ai requisiti di cybersecurity della Base Industriale della Difesa (DIB).
Valutazioni CUI e CMMC
Le valutazioni CMMC sono un processo formale progettato per verificare se un'organizzazione che gestisce CUI o FCI ha implementato controlli di cybersecurity adeguati. Queste valutazioni misurano la conformità rispetto a framework come NIST SP 800-171 e DFARS 252.204-7012, che delineano entrambi i requisiti di base per la protezione delle informazioni controllate.
Durante una valutazione, i valutatori terzi esaminano i sistemi, i processi e la documentazione di un'organizzazione, comprese le politiche, la formazione e le misure di risposta agli incidenti. I risultati vengono poi caricati nel Supplier Performance Risk System (SPRS), dove i punteggi di conformità aiutano a determinare l'idoneità per le future aggiudicazioni di contratti all'interno della catena di fornitura della difesa.
Le organizzazioni possono trovare ulteriori indicazioni attraverso i siti web ufficiali, come ad esempio:
- Il Cyber AB (l'organismo ufficiale di accreditamento per CMMC)
- Il sito web del Dipartimento della Difesa (DoD) CMMC
- Il Registro CUI del NIST
Questi siti forniscono le informazioni più aggiornate sulle tappe della certificazione, sugli aggiornamenti delle politiche e sulle organizzazioni di valutazione riconosciute.
Come i subappaltatori e i dipendenti contribuiscono a mantenere la conformità
La conformità alla CMMC non si ferma al livello dell'appaltatore principale. Anche i subappaltatori che elaborano o conservano CUI devono attenersi agli stessi requisiti di protezione e cybersecurity. Assicurarsi che ogni anello della catena di fornitura soddisfi questi obblighi è fondamentale per raggiungere la piena conformità.
Ciò richiede una formazione di sensibilizzazione, un monitoraggio e un reporting continui per garantire che tutti i dipendenti e i subappaltatori comprendano il loro ruolo nella salvaguardia delle CUI. Canali di comunicazione chiari e strutture di responsabilità rafforzano una cultura della protezione che si allinea ai principi della CMMC.
Un programma di Insider Risk può supportare ulteriormente questo aspetto, promuovendo comportamenti responsabili nella gestione dei dati e consentendo di individuare precocemente le potenziali minacce insider prima che abbiano un impatto sulla conformità o sull'idoneità del contratto.
La linea di fondo
La protezione delle Informazioni Controllate Non Classificate rappresenta una responsabilità fondamentale per ogni organizzazione della base industriale della difesa. Anche se le CUI non sono classificate, la loro sensibilità per gli interessi governativi e militari degli Stati Uniti richiede la stessa rigorosa salvaguardia dei tipi di dati più riservati. Implementando programmi completi di Insider Risk e mantenendo solidi framework di cybersecurity, le organizzazioni assicurano che le CUI rimangano protette in tutti i punti di contatto, dalla ricezione iniziale da parte del contraente, alla gestione da parte del subappaltatore e all'eliminazione finale.
Con la maturazione dei requisiti CMMC, l'attenzione alla protezione delle CUI non potrà che intensificarsi. Le organizzazioni che eccellono nell'identificare, tracciare e salvaguardare le CUI in tutte le loro operazioni e nell'intera catena di fornitura, si posizionano come partner fidati nell'ecosistema della difesa. Ciò significa andare oltre la conformità di base per creare una cultura in cui ogni dipendente, appaltatore e sistema tratti le CUI con la vigilanza che meritano.
La piattaforma di gestione del Human Risk di Mimecast aiuta le organizzazioni a mantenere una visibilità continua sulla gestione e sul movimento delle CUI, consentendo di rilevare in modo proattivo i potenziali rischi di esposizione prima che compromettano lo stato di conformità alla CMMC. Automatizzando il monitoraggio delle CUI e fornendo avvisi in tempo reale sulle violazioni delle policy, può dimostrare ai valutatori e ai partner governativi che le sue misure di protezione CUI superano i requisiti.
Faccia il prossimo passo per salvaguardare le sue informazioni controllate e non classificate. Richieda oggi stessouna demo della Piattaforma di gestione di Human Risk di Mimecast.
Si abboni a Cyber Resilience Insights per altri articoli come questi.
Riceva tutte le ultime notizie e le analisi del settore della cybersecurity direttamente nella sua casella di posta elettronica.
Iscriviti con successo
Grazie per essersi iscritto per ricevere gli aggiornamenti del nostro blog
Ci terremo in contatto!