Maturity Lab
Entrar Acesso fundador

Guia técnico · Cibersegurança

Maturidade em Cibersegurança

Prontidão em segurança da informação avaliada nas 6 funções do NIST CSF 2.0 — com C2M2 e aderência ao CMMC Nível 2.

Ver a página do modelo

01 · O problemaO que este diagnóstico resolve

Antivírus, firewall e política de senhas — talvez até uma autoavaliação NIST SP 800-171 no SPRS. Mas o monitoramento contínuo nunca foi implementado e o plano de resposta a incidentes nunca foi testado.

Na cadeia do DoD, o problema não é má-fé: é autoavaliação sem rigor. Empresas que se julgam prontas para o CMMC Level 2 descobrem, num assessment por C3PAO, dezenas de controles parcialmente atendidos.

02 · O que éO que é o modelo

Mede a maturidade de cibersegurança nas 6 funções do NIST CSF 2.0 (incluindo a nova função Govern), em 95 perguntas, com score por função, por tema e nível geral.

Integra a profundidade do C2M2 v2.1 e mapeia explicitamente os 5 níveis para os CMMC Levels — útil para CMMC, NIS2, ISO 27001 e LGPD.

03 · A escalaOs 5 níveis de maturidade

Cada dimensão — e a organização como um todo — é posicionada em um destes níveis, sempre com cor, número e nome.

1
Exposto

Sem programa estruturado de cibersegurança: práticas reativas e ad hoc, sem inventário de ativos, política formal ou capacidade de detectar ameaças. Equivale ao estágio pré-CMMC Level 1 — não atenderia nem os controles básicos.

2
Inicial

Práticas básicas iniciadas de forma inconsistente — controle de acesso, antivírus, alguma consciência de phishing —, sem documentação formal, gestão de ativos sistematizada ou plano de resposta. Equivale, na prática, ao CMMC Level 1.

3
Gerenciado

Programa estruturado, com políticas documentadas, inventário de ativos, controles de acesso formais e plano básico de resposta a incidentes. As práticas são mais consistentes, mas ainda há lacunas em monitoramento contínuo e proteção de terceiros.

4
Estruturado

Programa maduro, documentado e auditável: MFA implementado, monitoramento de eventos ativo, varreduras de vulnerabilidade regulares, planos de resposta testados e fornecedores críticos controlados. Equivale ao CMMC Level 2 (os 110 controles).

5
Otimizado

Cibersegurança como função estratégica e institucionalizada: melhoria contínua baseada em métricas, threat intelligence integrada, exercícios de resposta regulares e cadeia de suprimentos controlada. Equivale ao MIL3 do C2M2.

04 · A estruturaO que o diagnóstico avalia

Nenhuma área crítica fica de fora. Cada dimensão reúne os temas avaliados pelo diagnóstico.

Govern — Governança e Gestão do Programa

Programa formal, políticas, responsabilização da liderança, risco e cultura de segurança.

Programa e políticasResponsabilizaçãoGestão de riscosTerceirosCultura de segurança

Identify — Identificação de Ativos e Riscos

Inventário de ativos, classificação de dados, avaliação de riscos e mapeamento de CUI/FCI.

Inventário de ativosClassificação de dadosAvaliação de riscosCUI/FCI

Protect — Proteção de Ativos e Sistemas

Identidade e acesso com MFA, criptografia, gestão de patches e proteção de rede e perímetro.

Identidade e acesso (MFA)CriptografiaPatches e configuraçãoRede e perímetro

Detect — Detecção e Consciência Situacional

Monitoramento contínuo, logs, varreduras, threat intelligence e testes de penetração.

Monitoramento contínuoLogs de auditoriaVarredurasThreat intelligencePentest

Respond — Resposta a Incidentes

Plano e treinamento de IR, contenção, forense e notificação ao DoD em 72h via DIBNet.

Plano e treinamento de IRContenção e erradicaçãoForenseNotificação (72h)

Recover — Recuperação e Melhoria Contínua

Plano com RTO/RPO testado, continuidade contra ransomware e manutenção do SSP e score SPRS.

Plano de recuperação (RTO/RPO)ContinuidadeMétricas do programaSSP e SPRS

05 · DiferenciaisPor que aplicar este diagnóstico

Três frameworks integradosNIST CSF 2.0 (com a função Govern), C2M2 v2.1 e CMMC 2.0 num só diagnóstico.
Prontidão CMMC integradaOs 5 níveis mapeiam explicitamente para os CMMC Levels.
Cobertura extensiva19 temas, do IAM ao SSP/SPRS e plano de continuidade.
Vale além do DoDServe a quem se prepara para CMMC, NIS2, ISO 27001 e LGPD.

06 · PúblicoPara quem é

CISOs e gestores de segurançaPara mapear a maturidade do programa e priorizar lacunas por evidências.
Fornecedores DoD preparando-se para CMMCPara autoavaliar a prontidão antes de contratar um C3PAO e evitar surpresas.
Consultores de cibersegurançaComo diagnóstico inicial para mapear a maturidade de um cliente e priorizar remediações.

07 · Como aplicarDo questionário ao plano

São 95 perguntas organizadas em 6 dimensões e 19 temas, todas obrigatórias — responda pela realidade atual e verificável.

Em minutos você recebe score geral, por dimensão e por tema, o nível de maturidade (com a equivalência CMMC) e uma análise com os gaps priorizados e um plano de ação inicial.

08 · ReferênciasBaseado em padrões internacionais

NIST CSF 2.0
C2M2 v2.1
CMMC 2.0

Na práticaO que o diagnóstico revela

Uma fornecedora Tier 2 do DoD submeteu score 88/110 no SPRS por autoavaliação e se achava pronta para o CMMC Level 2. O diagnóstico revelou controles 'no papel', sem evidência verificável.

Tínhamos controles nas políticas, não nas evidências.