A conformidade com o CMMC (Cybersecurity Maturity Model Certification) deixou de ser opcional. Para empresas que lidam com Informações Não Classificadas Controladas (CUI) ou Informações de Contratos Federais (FCI), os novos requisitos regulatórios agora determinam diretamente a elegibilidade para contratos com o Departamento de Defesa dos EUA (DoD).
Com a entrada em vigor das regras do 48 CFR, as organizações precisam demonstrar práticas comprováveis de segurança de dados. Em ambientes isolados (air-gapped), onde o uso de mídia removível é inevitável, criptografia de USB validada por FIPS e controle rigoroso de dados tornaram-se elementos críticos para manter a conformidade e proteger CUI.
Atualizações regulatórias: do 32 CFR ao 48 CFR
O Departamento de Defesa dos EUA substituiu o 32 CFR pelo 48 CFR, criando um novo modelo de aplicação para o CMMC. Essa mudança estabelece um regime de conformidade mais rigoroso, mensurável e auditável, exigindo que os contratados validem controles técnicos e fechem lacunas de segurança antes de serem considerados elegíveis.
A implicação é clara:
CMMC não é mais aspiracional.
A conformidade agora é um requisito contratual obrigatório, diretamente vinculado à continuidade e à conquista de novos contratos.
O estado atual do CMMC: o que mudou e por que isso importa
O CMMC existe há anos, mas agora entrou em sua fase decisiva. Com a publicação final da regra no 48 CFR, o DoD iniciou uma contagem regressiva curta para que as organizações se adequem.
No núcleo do CMMC está a comprovação de conformidade com:
-
NIST SP 800-171 – Proteção de CUI e FCI
-
NIST SP 800-172 – Controles avançados para proteção contra APTs (para programas mais sensíveis)
Não basta possuir políticas documentadas. O CMMC exige controle demonstrável, evidência técnica e trilhas de auditoria.
Níveis de avaliação CMMC
-
Nível 1 – Autoavaliação (FCI)
-
Nível 2 – Avaliação por terceiros (C3PAO) para CUI
-
Nível 3 – Avaliação governamental (DIBCAC), com requisitos além do NIST 800-171
O nível exigido depende do contrato específico do DoD, mas, para contratantes principais e subcontratados, a conformidade agora faz parte do custo de fazer negócios.
Por que proteger CUI é mais complexo do que parece
CUI inclui dados de engenharia, design e projeto que sustentam programas de defesa e manufatura crítica. Diferentemente de ambientes corporativos tradicionais, muitas organizações da Defense Industrial Base (DIB) operam em ambientes isolados da internet para proteger sistemas sensíveis.
Nesses cenários, o uso de drives USB continua sendo essencial para:
-
Transferência entre estações de trabalho e sistemas industriais
-
Integração com ferramentas de manufatura
-
Compartilhamento controlado com parceiros autorizados
Desativar completamente portas USB não é viável. O desafio é permitir a transferência de dados sem que o CUI saia do ambiente de forma descriptografada, não auditada ou não autorizada.
Definições e requisitos-chave do CMMC
-
CUI (Controlled Unclassified Information)
Dados sensíveis de engenharia ou projeto vinculados a programas governamentais. -
FCI (Federal Contract Information)
Informações associadas a contratos federais que exigem proteção básica. -
Criptografia obrigatória
Todo CUI em mídia removível deve usar criptografia validada por FIPS, geralmente AES-256. -
Auditoria baseada em evidência
O CMMC exige prova técnica, não confiança implícita. Logs, trilhas e relatórios são mandatórios.
Repensando o MDM: gerenciando USBs como dispositivos móveis
A abordagem moderna trata a mídia removível com a mesma disciplina aplicada a dispositivos móveis corporativos.
O Netwrix Endpoint Protector, da Netwrix, atua como um MDM para drives USB, permitindo:
-
Criptografia automática no momento da conexão
-
Armazenamento das chaves de descriptografia fora do dispositivo
-
Revogação instantânea de acesso ao invalidar a chave
-
Políticas granulares por usuário, função ou nível de confiança
-
Limpeza e sanitização remota, mesmo fora do ambiente corporativo
Essa separação entre dispositivo físico e chave criptográfica cria um verdadeiro controle estilo MDM. Mesmo que o USB permaneça em campo, os dados não podem ser acessados ou exfiltrados sem autorização.
Capacidades essenciais do Netwrix Endpoint Protector para CMMC
-
Rastreamento e sombreamento de arquivos
Visibilidade total sobre o que foi gravado ou lido de qualquer USB. -
Proteção baseada em conteúdo
Detecção e bloqueio de tipos específicos de CUI ou metadados sensíveis. -
Sanitização de mídia
Limpeza remota alinhada ao NIST 800-88. -
Integração com SIEM
Monitoramento centralizado e correlação de eventos para auditoria.
Essas capacidades ajudam a fechar lacunas críticas do CMMC, como:
-
Controle de acesso
-
Aplicação de criptografia
-
Evidência de auditoria
-
Redução de risco de exfiltração em ambientes isolados
A visão ampliada: proteger dados a partir da identidade
O controle de endpoint é apenas parte da equação. Para alinhamento total com o CMMC, as organizações precisam entender:
-
Quem tem acesso aos dados
-
Onde os dados estão
-
Como eles se movimentam
Nesse contexto, o Data Security Posture Management (DSPM) complementa o controle de USB ao identificar exposições, permissões excessivas e movimentações de dados em ambientes híbridos.
A mensagem central do CMMC é clara:
segurança de dados começa pela identidade.
Seja impondo criptografia de USB, aplicando least privilege ou exigindo evidência auditável, o objetivo é o mesmo:
garantir que os dados certos não saiam das mãos erradas.
Conclusão
Com o 48 CFR em vigor, o CMMC se tornou um requisito operacional real. Em ambientes isolados, onde a mídia removível continua sendo necessária, controle de USB estilo MDM não é um diferencial, é uma exigência prática de conformidade.
Organizações que tratam USBs como endpoints gerenciados, com criptografia forte, controle por identidade e evidência auditável, não apenas atendem ao CMMC, mas reduzem drasticamente o risco de perda de CUI.
