A conformidade com as estruturas regulatórias do setor, como a Certificação do Modelo de Maturidade em Segurança Cibernética (CMMC), é obrigatória para as empresas que desejam vender para o governo federal dos EUA, como empreiteiras e subcontratadas de defesa. Essa exigência se deve ao aumento das ameaças à segurança cibernética que buscam roubar informações confidenciais explorando "elos fracos" na cadeia de suprimentos.
O CMMC garante que os dados confidenciais, como os classificados como Informações não classificadas controladas (CUI)O CMMC garante que dados sensíveis, como aqueles classificados como Informações Não Classificadas Controladas (CUI), sejam protegidos contra ameaças cibernéticas que representam um risco ao acesso e ao trabalho com dados sensíveis. Uma das ferramentas mais eficazes para aderir à conformidade com o CMMC é o uso de soluções de virtualização de desktops, como a Infraestrutura de Desktop Virtual (também conhecida como VDI). Essas soluções criam um ambiente de desktop virtual seguro que aborda aspectos críticos da estrutura do CMMC, incluindo controle de acesso, proteção de dados, acesso remoto e continuidade dos negócios.
Por que a conformidade com o CMMC é importante?
O Departamento de Defesa dos Estados Unidos (DoD) introduziu a estrutura CMMC para padronizar as práticas de segurança cibernética em toda a base industrial de defesa. Ela inclui cinco níveis de certificação, sendo que cada nível se baseia no anterior para garantir medidas de segurança cada vez mais fortes. No centro dessa estrutura está a proteção de informações não classificadas controladas (CUI), dados confidenciais que, embora não sejam classificados, ainda exigem medidas aprimoradas para protegê-los contra perda, roubo ou acesso não autorizado.
Para os empreiteiros de defesa, o não cumprimento dos requisitos do CMMC pode resultar na perda de contratos ou na desqualificação para licitações em oportunidades futuras.
Fonte: Visão geral da certificação do Cybersecurity Maturity Model
Principais desafios para atingir a conformidade com o CMMC
A abordagem da conformidade com o CMMC envolve uma série de considerações, tanto técnicas quanto operacionais. Alguns exemplos comuns incluem:
Proteção física e digital de dados CUI
Os contratados que trabalham com CUI devem garantir que ela seja acessada, processada e armazenada com segurança em instalações controladas, como data centers. O acesso não autorizado ou as violações de dados podem resultar em não conformidade. Outras considerações, como criptografia, autenticação e proteção de backup, também desempenham papéis fundamentais na proteção dos dados.
Acesso remoto
O acesso seguro e confiável aos dados CUI para equipes distribuídas é um grande desafio. Desde o surto de COVID-19, a necessidade de apoiar o trabalho remoto aumentou. No entanto, a abertura do acesso ao mundo externo introduz novas vulnerabilidades potenciaisindependentemente de quantas medidas as organizações tomem para proteger o acesso a informações e recursos confidenciais.
Continuidade dos negócios
As empresas contratadas enfrentam pressões para manter as operações mesmo durante grandes desastres ou interrupções, o que exige soluções e práticas de TI resilientes e seguras. Se você perder o acesso aos dados comerciais, estará perdendo o acesso ao seu ativo mais valioso e, possivelmente, forçando a interrupção de todo o trabalho. Os resultados podem ser catastróficos para qualquer empresa que não esteja preparada com antecedência.
Custo e complexidade da conformidade
A implementação de sistemas em conformidade com o CMMC pode exigir muitos recursos, principalmente para pequenas e médias empresas (SMBs). No entanto, esse é um cenário que também impede que as organizações menores cresçam até o ponto em que possam oferecer suporte à conformidade. As soluções tradicionais de VDI provaram ser caras para comprar, implementar e gerenciar. Sabe-se que os contratos anuais de suporte explodem em termos de aumento de custos, o que faz com que algumas empresas, especialmente as menores, tenham dificuldades para acompanhar o ritmo. No entanto, existem soluções modernas como Inuvika OVD Enterprise que oferecem alternativas atraentes e, ao mesmo tempo, reduzem drasticamente o custo de propriedade.
Auditoria de conformidade CMMC
Mesmo que a sua organização tenha os sistemas implementados para lidar com o CMMC, as práticas comerciais padrão devem complementar a tecnologia. Um exemplo é a capacidade de realizar auditorias detalhadas, monitorando e rastreando especificamente as atividades dos usuários e o uso que fazem dos dados. Os administradores devem ter soluções com recursos de auditoria, incluindo registro detalhado de usuários, rastreamento de sessões e muito mais. Quando surgir um problema, esses mesmos administradores também devem ter um processo para obter as informações necessárias e reagir de acordo.
Como as soluções de desktop virtual atendem aos requisitos de conformidade do CMMC
As soluções de aplicativos e desktops virtuais oferecem uma maneira prática e eficiente de atender aos requisitos do CMMC. Ao centralizar aplicativos, desktops e dados em um data center seguro na nuvem, os desktops virtuais proporcionam um ambiente controlado e auditável que pode ser isolado do mundo externo e, ainda assim, fornecer acesso seguro e controlado a informações confidenciais.
Veja como os espaços de trabalho virtuais abordam a conformidade com o CMMC:
Proteção de informações não classificadas controladas (CUI)
Os desktops virtuais mantêm a CUI dentro dos limites físicos e digitais do data center. Diferentemente dos dispositivos de endpoint cliente-servidor tradicionais, em que os dados residem nos dispositivos dos usuários, os espaços de trabalho virtuais garantem que todo o processamento e armazenamento de dados permaneçam no data center. Nenhum dado, exceto os cliques de tecla criptografados e os dados da tela, é transmitido ou reside no próprio dispositivo. Essa abordagem reduz o risco de violações de dados e acesso não autorizado, incluindo o roubo físico dos próprios dispositivos.
Por exemplo, soluções de desktop virtual como Inuvika OVD Enterprise isolar dados, aplicativos e desktops em servidores protegidos por um firewall. Esse ambiente é chamado de "air-locked" e pode ser bloqueado até a funcionalidade mínima absoluta ou "mínima" para controlar o acesso e o fluxo de informações. Esse modelo se alinha diretamente com os requisitos do CMMC para proteção de dados e controle de acesso.
Acesso Remoto Seguro
O trabalho remoto é agora um requisito obrigatório para muitas organizações, inclusive para as empresas de defesa. Tradicionalmente, as VPNs (Virtual Private Networks, redes privadas virtuais) eram a opção preferida para o acesso remoto. No entanto, essa abordagem traz um uma série de desafios e riscos que podem se somar em termos de altos custos e impactos no desempenho. Atualmente, as soluções de desktop virtual, como o Inuvika OVD Enterprise, usam um gateway remoto seguro para que os funcionários acessem recursos internos remotamente. Os ambientes de espaço de trabalho virtual reduzem ainda mais os riscos associados ao acesso remoto, acrescentando mais medidas de segurança, como autenticação multifator (MFA), controles de acesso baseados no usuário e padrões modernos de criptografia.
Considere o exemplo de um subcontratado típico do setor de defesa que trabalha em um projeto e faz login em seu espaço de trabalho virtual designado de casa. Todos os aspectos do projeto ocorrem por trás do firewall do data center do governo. O acesso é estritamente limitado por usuário, função e/ou outras permissões (acesso a arquivos, etc.). Todos os aplicativos são executados em servidores dentro do data center, em vez de no laptop ou desktop do usuário. Não há ameaça de que os dados sejam transmitidos por redes abertas ou armazenados localmente no dispositivo do subcontratado, garantindo a conformidade com os requisitos de acesso remoto do CMMC. E, se necessário, o host pode configurar espaços de trabalho para dar suporte à colaboração com outros usuários autorizados e, ao mesmo tempo, garantir a segurança e a confidencialidade.
Para ver um ótimo exemplo de um espaço de trabalho virtual de acesso remoto e bloqueio de ar em ação, Leia nosso estudo de caso sobre a Genomics England e o projeto 100.000 Genoma.
Suporte à continuidade dos negócios
Por sua própria natureza, os desktops virtuais são inerentemente resilientes. Eles permitem que as organizações suportem ou se recuperem rapidamente de interrupções, sejam elas causadas por incidentes de ataques cibernéticos, desastres naturais ou falhas graves de hardware. O gerenciamento centralizado também simplifica a recuperação de desastres e garante que as operações possam continuar sem problemas.
Por exemplo, no caso de um ataque de ransomware, a equipe de TI de uma empresa contratada pode isolar os desktops virtuais afetados e reimplantar ambientes limpos a partir de um local central, minimizando o tempo de inatividade e protegendo os dados confidenciais. A proteção consistente do backup de dados é extremamente simplificada quando todas as informações permanecem centralizadas, e você não precisa gerenciar dados distribuídos remotamente nos dispositivos dos usuários.
Simplificando as auditorias de conformidade com o CMMC
A conformidade com o CMMC exige documentação detalhada e trilhas de auditoria para garantir a conformidade. Softwares de desktop virtual, como o OVD Enterprise, incluem recursos nativos como registro e monitoramento centralizados, facilitando a geração de relatórios e a demonstração da conformidade.
No entanto, a solução foi projetada para oferecer suporte a auditorias mais avançadas por meio de APIs, integrando-se a soluções de gerenciamento de dados de terceiros, como plataformas SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation, and Response), incluindo a Splunk e outras ferramentas. Isso permite que as empresas compilem e analisem dados de várias fontes e conduzam uma auditoria mais abrangente e um recurso de detecção de ameaças.
Por exemplo, os administradores do OVD Enterprise podem usar o console de gerenciamento baseado na Web para rastrear a atividade do usuário, os históricos de sessão e outros eventos, ao mesmo tempo em que utilizam plataformas de terceiros para detectar anomalias avançadas e aprimorar suas estratégias de resposta. Essa integração garante um espaço de trabalho virtual em conformidade com o CMMC que não apenas atende aos requisitos de conformidade, mas também fortalece a postura geral de segurança.
Outros benefícios do uso do OVD Enterprise para conformidade com o CMMC
Os aplicativos e desktops virtuais, como os oferecidos pelo Inuvika OVD Enterprise, são mais do que apenas uma solução tecnológica; são um ativo estratégico para as empresas de defesa que navegam pelas complexidades da conformidade com o CMMC. Ao abordar áreas essenciais, como proteção de CUI, acesso remoto seguro e continuidade dos negócios, os desktops virtuais oferecem uma solução robusta e dimensionável para organizações de todos os tamanhos.
Para os empreiteiros do setor de defesa que pretendem atingir e manter a conformidade com o CMMC, o OVD Enterprise se destaca como uma solução que não apenas atende a essas necessidades, mas as excede, oferecendo flexibilidade e economia incomparáveis.
O OVD Enterprise se destaca nas seguintes áreas:
Isolamento de dados e segurança aprimorada
O OVD Enterprise isola dados, aplicativos e desktops em um ambiente seguro de data center. Esse design "air-locked" garante que as informações confidenciais permaneçam confinadas ao data center, eliminando os riscos associados ao armazenamento local de dados.
Controle de acesso baseado em função
A plataforma permite um controle granular sobre quem pode acessar aplicativos e dados específicos, garantindo que somente o pessoal autorizado possa interagir com a CUI.
Gerenciamento centralizado
Os administradores podem gerenciar usuários, políticas e recursos a partir de um único console de gerenciamento baseado na Web. Essa centralização simplifica o gerenciamento da conformidade e reduz a sobrecarga administrativa, uma vez que não é mais necessário dedicar pessoal para chamadas de suporte em campo.
Acesso Remoto Seguro
Com o OVD Enterprise, as empresas contratadas podem fornecer aos funcionários e subcontratados acesso seguro a desktops virtuais e aplicativos de qualquer dispositivo. As conexões criptografadas e a MFA garantem que o acesso remoto seja seguro e esteja em conformidade.
Escalabilidade econômica
Ao contrário das soluções de desktop tradicionais, o OVD Enterprise é leve e econômico, o que o torna acessível às PMEs que precisam atender à conformidade com o CMMC sem gastar muito com recursos caros e raramente usados. Normalmente, o OVD Enterprise custa cerca de 60% ou menos para ser adquirido em uma vida útil comparável e oferece um alternativa convincente a fornecedores de soluções legadas, como Citrix e VMware Horizon (agora Omnissa Horizon).
Conclusão
A conformidade com o CMMC é fundamental para as empresas de defesa que lidam com o atual cenário de segurança cibernética. A virtualização de desktops e os aplicativos virtuais oferecem uma maneira prática e eficaz de atender a esses requisitos e, ao mesmo tempo, permitir o trabalho remoto seguro e garantir a continuidade dos negócios.
O Inuvika OVD Enterprise é uma solução líder nesse espaço, que oferece isolamento de dados, acesso remoto seguro e gerenciamento centralizado para ajudar as empresas contratadas a obter conformidade com confiança. Ao aproveitar a tecnologia de desktop virtual, as empresas contratadas podem se concentrar em suas missões principais e, ao mesmo tempo, manter os mais altos padrões de segurança cibernética e conformidade.
Se você é um contratante ou subcontratado de defesa que busca simplificar seu caminho para a conformidade com o CMMC, considere os benefícios de implantar uma solução de desktop virtual com o OVD Enterprise. O Inuvika OVD Enterprise está disponível em mais de 60 países.
Imagem de Pete Linforth