A construção de uma única aeronave F-22 Raptor de um único assento exige centenas de fornecedores empregando milhares de pessoas. Embora a proporção real seja desconhecida, qualquer um desses indivíduos pode ser alvo de um ataque baseado em identidade, demonstrando a necessidade de gerenciar interrupções proativamente.
Os regulamentos exigem que o Departamento de Defesa (DoD) dos EUA estenda sua segurança da cadeia de suprimentos aos fornecedores de serviços contratados, confiados com informações não classificadas confidenciais, incluindo o fabricante de pneus do caça. Proteger essas informações — seja do gerenciamento interno inadequado ou de violações de dados maliciosas — é fundamental para defender a Nação.
A Cybersecurity Maturity Model Certification (CMMC) é um mandato de conformidade que, uma vez codificado por meio de regulamentação, garantirá que os contratados e subcontratados do DoD implementem as proteções de segurança aplicáveis estabelecidas em DFARS 252.204-7012 e outras avaliações de programas de segurança cibernética. Também será uma condição para receber um prêmio de um contrato do DoD.
Como a Okta pode ajudar
A principal missão da Okta é a Identidade, portanto, naturalmente, apoiamos as jornadas de nossos clientes no cumprimento dos controles CMMC de Controle de Acesso (AC) e Identificação e Autenticação (IA). A Okta também oferece suporte aos outros domínios e práticas do CMMC com nossa estrutura de API aberta, ecossistema de aplicativos e estruturas de confiança para fácil integração com outros fornecedores que oferecem suporte a outros requisitos de prática do CMMC.
Consulte a tabela abaixo para obter informações sobre os domínios críticos AC e IA CMMC e como a Okta ajuda os clientes a atender a esses requisitos.
Domínio | Nível 1 | Nível 2 | Como a Okta pode ajudar |
Controle de acesso (AC) | AC.L1-3.1.1 Controle de acesso autorizado
Limitar o acesso ao sistema de informação a usuários autorizados, processos que atuam em nome de usuários autorizados ou dispositivos (incluindo outros sistemas de informação). | Um processo formal de registro de acesso e provisionamento inicial para funcionários e terceiros autorizados está em vigor para que a Okta atribua direitos de acesso para todos os tipos de usuários a todos os sistemas e serviços, em conformidade com a política e os padrões. | |
AC.L1-3.1.2 Controle de transação e função
Limitar o acesso ao sistema de informação aos tipos de transações e funções que os usuários autorizados têm permissão para executar. | |||
AC.L2-3.1.3 Control CUI Flow Controlar o fluxo de CUI de acordo com as autorizações aprovadas. | A comunicação organizacional e os fluxos de dados são mapeados e aplicados. Metodologias de descoberta de dados podem ser usadas para identificar, classificar e rastrear dados confidenciais. Os fluxos de dados confidenciais são regidos por políticas de controle de informação definidas pela empresa. | ||
AC.L2-3.1.4 Separação de funções Separar as funções dos indivíduos para reduzir o risco de atividade malévola sem conluio. | A Okta emprega o princípio do menor privilégio e separação de funções. O acesso autorizado é permitido para usuários (ou processos que atuam em nome de usuários) atribuídos a tarefas de acordo com as missões organizacionais e funções de negócios. | ||
AC.L2-3.1.5 Menor privilégio Empregar o princípio do menor privilégio, inclusive para funções de segurança específicas e contas privilegiadas. | |||
AC.L2-3.1.6 Uso de conta não privilegiada Usar contas ou funções não privilegiadas ao acessar funções não relacionadas à segurança. | |||
AC.L2-3.1.7 Funções privilegiadas Impedir que usuários não privilegiados executem funções privilegiadas e capture a execução dessas funções em logs de auditoria. | Os logs são configurados para capturar ações tomadas especificamente por indivíduos com privilégios de usuário administrativo. Os logs são protegidos e revisados para identificar e detectar contas usadas indevidamente. Discrepâncias são investigadas e corrigidas.
O acesso de usuários privilegiados é estabelecido e administrado de forma controlada, e é limitado apenas ao que é exigido para que usuários e serviços desempenhem suas funções. Usuários privilegiados recebem uma conta privilegiada dedicada para ser usada exclusivamente para tarefas que exigem acesso privilegiado. | ||
AC.L2-3.1.8 Tentativas de login sem sucesso Limitar tentativas de login mal-sucedidas. | Os recursos de bloqueio são ativados para restringir o acesso após um certo número de tentativas de login malsucedidas ou inatividade do usuário. A conta é bloqueada por um período específico ou até que um administrador habilite a conta do usuário. O usuário é notificado após o logon bem-sucedido/sem sucesso. | ||
AC.L2-3.1.9 Avisos de Privacidade e Segurança Fornecer avisos de privacidade e segurança consistentes com as regras CUI aplicáveis. | As atividades de processamento de dados pessoais que exigem ou dependem do consentimento são identificadas, e os processos estão em vigor para evitar a coleta de tais dados sem consentimento. Os mecanismos para obter, documentar, rastrear e gerenciar o consentimento são definidos e implementados de acordo com os regulamentos aplicáveis, incluindo a retirada do consentimento. | ||
AC.L2-3.1.10 Bloqueio de sessão Usar o bloqueio de sessão com displays de ocultação de padrão para impedir o acesso e a visualização de dados após um período de inatividade. | Os recursos de bloqueio são habilitados para restringir o acesso após um determinado número de tentativas de login com falha ou inatividade do usuário. A conta é bloqueada por um período específico ou até que um administrador habilite a conta do usuário. O usuário é notificado após o login bem-sucedido/mal-sucedido. | ||
AC.L2-3.1.11 Encerramento da sessão Encerrar (automaticamente) uma sessão de usuário após uma condição definida. | |||
AC.L2-3.1.12 Controlar o acesso remoto Monitorar e controlar sessões de acesso remoto. | O acesso remoto é controlado, monitorado e permitido por meio de um cliente VPN aprovado pela Okta. | ||
AC.L2-3.1.13 Confidencialidade de acesso remoto Empregar mecanismos criptográficos para proteger a confidencialidade das sessões de acesso remoto. | |||
AC.L2-3.1.14 Roteamento de acesso remoto Direcionar o acesso remoto por meio de pontos de controle de acesso gerenciados. | |||
AC.L2-3.1.15 Privileged Remote Access Autorizar a execução remota de comandos privilegiados e acesso remoto a informações relevantes para a segurança. | |||
AC.L2-3.1.16 Autorização de acesso sem fio Autorize o acesso sem fio antes de permitir tais conexões. | N/A | ||
AC.L2-3.1.17 Proteção de acesso sem fio Proteja o acesso sem fio usando autenticação e criptografia. | N/A | ||
AC.L2-3.1.18 Conexão de Dispositivo Móvel Controlar a conexão de dispositivos móveis. | N/A | ||
AC.L2-3.1.19 Criptografar CUI no Mobile Criptografar CUI em dispositivos móveis e plataformas de computação móvel. | A Okta protege os tipos de dados classificados da organização em repouso por meio de controles de segurança, incluindo criptografia e controles criptográficos, para se alinhar aos padrões de segurança. | ||
AC.L1-3.1.20 Conexões externas Verificar e controlar/limitar as conexões e o uso de sistemas de informação externos. | N/A | ||
AC.L2-3.1.21 Uso de armazenamento portátil Limitar o uso de dispositivos de armazenamento portáteis em sistemas externos. | N/A | ||
AC.L1-3.1.22 Controlar informações públicas Controlar as informações postadas ou processadas em sistemas de informação acessíveis ao público. | N/A | ||
Identificação e Autenticação (IA) | IA.L1-3.5.1 Identificação Identificar usuários do sistema de informações, processos agindo em nome de usuários ou dispositivos. | Métodos de autenticação seguros são usados para acesso a sistemas e aplicativos. | |
IA.L1-3.5.2 Autenticação Autenticar (ou verificar) as identidades desses usuários, processos ou dispositivos, como um pré-requisito para permitir o acesso aos sistemas de informação da organização. | |||
IA.L2-3.5.3 Autenticação multifatorial Usar a autenticação multifator para acesso local e de rede a contas privilegiadas e para acesso de rede a contas não privilegiadas. | Os métodos de autenticação multifator [Autenticação Multifatorial] são implementados para que funcionários, administradores e terceiros autorizados possam acessar a rede e os sistemas de informação. | ||
IA.L2-3.5.4 Autenticação resistente a replay Empregar mecanismos de autenticação resistentes a replay para acesso à rede a contas privilegiadas e não privilegiadas. | Métodos de autenticação seguros são usados para acesso a sistemas e aplicativos. | ||
IA.L2-3.5.5 Reutilização de identificador Impedir a reutilização de identificadores por um período definido. | N/A | ||
IA.L2-3.5.6 Manipulação de identificadores Desativar os identificadores após um período definido de inatividade. | N/A | ||
IA.L2-3.5.7 Complexidade da senha Aplicar uma complexidade mínima de senha e alteração de caracteres quando novas senhas são criadas. | As configurações de senha são estabelecidas, implementadas e aplicadas em alinhamento com os requisitos de compliance da indústria, do governo e de outros órgãos. Os sistemas de gerenciamento de senhas são interativos e garantem senhas de qualidade. | ||
IA.L2-3.5.8 Reutilização de senha Proibir a reutilização de senhas por um número especfico de gerações. | |||
IA.L2-3.5.9 Senhas temporárias Permitir o uso de senha temporária para logins no sistema com uma mudança imediata para uma senha permanente. | |||
IA.L2-3.5.10 Senhas protegidas criptograficamente Armazenar e transmitir apenas senhas protegidas criptograficamente. | |||
IA.L2-3.5.11 Feedback obscuro Obscurecer o feedback das informações de autenticação. | Métodos de autenticação seguros são usados para acesso a sistemas e aplicativos. |
Para saber mais sobre como a Okta pode ajudar sua organização a atender aos requisitos do CMMC, baixe nosso Guia de Descoberta do CMMC em https://www.okta.com/resources/datasheet-okta-cmmc-discovery-guide/ ou entre em contato conosco em okta.com/contact-sales/.
Embora este artigo discuta certos conceitos jurídicos, não constitui aconselhamento jurídico e não deve ser interpretado como tal. É fornecido apenas para fins informativos. Para aconselhamento jurídico sobre as necessidades de conformidade de sua organização, consulte o departamento jurídico de sua organização. A Okta não oferece representações, garantias ou outras garantias em relação ao conteúdo deste artigo. As informações sobre as garantias contratuais da Okta aos seus clientes podem ser encontradas em okta.com/agreements.
