Nove compagnie assicurative su 13 che monitoriamo non scriveranno una polizza a meno che tu non abbia MFA. Lo stesso con CMMC 2.0 - e un piano d'azione e pietre miliari (POA&M) non sarà accettato se non si dispone delle nozioni di base come MFA, antivirus e formazione sulla consapevolezza della sicurezza. – Foster Charles, fondatore e CEO, Charles IT
MIDDLETOWN, Connecticut (PRWEB) 27 Marzo 2023
Il Dipartimento della Difesa (DoD) ha annunciato la nuova certificazione del modello di maturità della sicurezza informatica, CMMC 2.0, nel novembre 2021. La modifica è avvenuta dopo che è stato stabilito che il modello CMMC 1.0 originale era troppo ingombrante e confuso per gli appaltatori. L'intento, tuttavia, rimane lo stesso: garantire che gli appaltatori della base industriale della difesa (DIB) dispongano delle misure e delle procedure appropriate per proteggere le informazioni sensibili, comprese le informazioni non classificate controllate (CUI) e le informazioni sui contratti federali (FCI).
Ciò che è importante capire è che CMMC 2.0 non è in realtà una novità. I requisiti si basano sull'SP 800-171 del National Institute of Standards and Technology (NIST) e sono direttamente allineati con il Defense Federal Acquisition Regulation Supplement (DFARS), richiesto da tempo.
Ciò che conta è quanto rigorosamente stai implementando queste best practice per la sicurezza IT, poiché le nuove normative saranno applicate con fermezza nel 2023. Per avere successo, gli appaltatori devono cambiare il loro approccio alla conformità o rischiare di perdere contratti redditizi o incorrere in multe salate.
Modifiche di alto livello in CMMC 2.0
CMMC 1.0 mirava ad aggregare vari requisiti di sicurezza in un unico standard di conformità per il governo federale. Sebbene l'intenzione fosse buona, le regole erano molto complicate. CMMC 2.0 è una semplificazione di CMMC 1.0, che rende molto più semplice per gli appaltatori DIB ottenere la conformità al fine di migliorare la sicurezza della difesa federale.
Il primo livello richiede un'autovalutazione di 17 best practice simile al framework di sicurezza informatica (CSF) del NIST. Il secondo livello è conforme a NIST SP 800-171 e richiede la certificazione da parte di un'organizzazione di valutazione di terze parti CMMC (C3PAO). Infine, gli appaltatori DIB che gestiscono informazioni top secret devono raggiungere la conformità di livello tre basata su NIST 800-172.
CMMC 2.0 rimuove i requisiti non inclusi nel NIST SP 800-171 per rendere più pratico il raggiungimento e l'applicazione della conformità. Copre anche i subappaltatori DIB per garantire la sicurezza lungo l'intera catena di approvvigionamento poiché gli attori più malintenzionati prendono di mira le aziende più piccole che stipulano contratti con i giganti del settore (ad esempio, Lockheed Martin). “Gli hacker possono ottenere solo un pezzo di CUI da un fornitore. Ma se ne impilano un mucchio insieme, possono ottenere un quadro piuttosto completo: è così che vengono divulgati i segreti. CMMC 2.0 riguarda la protezione dei segreti di stato", afferma Charles.
La guerra informatica è l'ultima preoccupazione, e per buoni motivi. Ad esempio, gli attori delle minacce possono lanciare un attacco informatico all'infrastruttura (ad esempio, l'attacco Colonial Pipeline), quindi sfruttare il tempo di inattività prolungato per lanciare un attacco fisico più devastante, che potrebbe fermare l'intera nazione.
Qual è l'aspetto chiave di questi cambiamenti e cosa devi sapere quando aggiorni i tuoi processi?
Un obiettivo chiave di CMMC 2.0 è portare chiarezza e rimuovere la complessità. Ad esempio, richiede una certificazione di terze parti ogni tre anni (invece di una valutazione annuale) per la conformità di livello due e tre.
Inoltre, le procedure sono più facili da capire, quindi il tuo obiettivo può essere quello di aggiornare la tua posizione di sicurezza.
In che modo CMMC 2.0 avvantaggia gli appaltatori DIB
CMMC 2.0 consente una migliore protezione di CUI per prevenire fughe di dati e spionaggio. Rafforza la sicurezza nazionale e aiuta a proteggere dagli attacchi alla catena di approvvigionamento o sponsorizzati dallo stato. Tuttavia, tieni presente che ciò avvantaggia anche gli appaltatori DIB nelle loro operazioni: “L'industria manifatturiera è molto indietro nell'IT e nella sicurezza. Le aziende eseguono ancora molti processi manualmente, il che è molto insicuro. La loro scarsa igiene della sicurezza IT spesso porta a costosi ransomware e altri attacchi. CMMC 2.0 costringe questi appaltatori a stabilire buone abitudini aziendali che in definitiva sono positive per le loro organizzazioni", afferma Charles.
Il pensiero di un altro regolamento può essere intimidatorio. La buona notizia è che metà di CMMC 2.0 è già in NIST SP 800-171, descrivendo in dettaglio le pratiche di sicurezza informatica che gli appaltatori DIB dovrebbero già seguire, ad esempio, utilizzando software antivirus, implementando l'autenticazione a più fattori (MFA) e mappando ed etichettando tutte le CUI .
Fondamentalmente, le aziende non possono nemmeno ottenere una copertura assicurativa per la sicurezza informatica senza implementare molte delle misure delineate in CMMC 2.0. “Nove compagnie assicurative su 13 che monitoriamo non scriveranno una polizza a meno che tu non abbia MFA. Lo stesso vale per CMMC 2.0 e un piano d'azione e pietre miliari (POA&M) non sarà accettato se non si dispone delle nozioni di base come MFA, antivirus e formazione sulla consapevolezza della sicurezza", afferma Charles.
CMMC 2.0 è un passo avanti necessario per l'intero settore della difesa per aggiornarsi dal punto di vista tecnologico.
Perché cambiare il tuo approccio è fondamentale
Come accennato, l'idea sbagliata più comune su CMMC 2.0 è che si tratti di un nuovo standard di conformità quando, in realtà, non lo è.
L'altro malinteso cruciale è che molti appaltatori presumono di poter attendere l'approvazione della sentenza CMMC 2.0 prima di agire. Molti appaltatori sottovalutano quanto tempo ci vorrà per valutare la loro posizione di sicurezza, implementare azioni correttive e ottenere la loro valutazione di terze parti. Alcuni giudicano anche erroneamente quanto siano tecnicamente arretrati i loro sistemi e processi e l'investimento necessario per ottenere la conformità. È inoltre essenziale ricordare che il rispetto di questi standard richiede il coordinamento con i fornitori, il che potrebbe richiedere del tempo per essere completato. “Molti appaltatori trascurano la complessità delle loro supply chain e il numero di fornitori di terze parti che utilizzano. Ad esempio, potresti scoprire che alcuni fornitori utilizzano ancora Windows 7 e si rifiutano di eseguire l'aggiornamento. Quindi potresti trovarti nei guai se i tuoi fornitori non sono conformi e devi aspettare che aggiornino la loro tecnologia”, afferma Charles.
Ci sono anche problemi con la conformità al cloud, sottolinea Charles. Molti appaltatori inoltre non si rendono conto di non poter elaborare CUI su nessun cloud: la tua piattaforma deve trovarsi su un Fedramp medium o Fedramp high cloud. Ad esempio, invece di Office 365, devi usare Microsoft 365 Government Community Cloud High (GCC High).
Come prepararsi per CMMC 2.0
Inizia a prepararti il prima possibile se non l'hai già fatto e aspettati che il processo richieda un anno o due. CMMC 2.0 entrerà probabilmente in vigore nel 2023 e, non appena lo farà, apparirà su tutti i contratti entro 60 giorni. Non puoi permetterti di aspettare fino all'ultimo minuto.
In altre parole, gli appaltatori beneficeranno di un senso di urgenza. “Raggiungere la conformità in una volta sola può rappresentare uno shock per un'organizzazione e per i suoi processi aziendali quotidiani. Raccomando di condurre una valutazione e progettare una tabella di marcia pluriennale", afferma Charles. Questo piano dovrebbe rispondere a domande quali: quali macchine/hardware è necessario sostituire? Quali fornitori di terze parti richiedono aggiornamenti? Hanno in programma di farlo nei prossimi tre anni?
L'invio di un piano di sicurezza del sistema (SSP) è essenziale per la conformità CMMC 2.0. La SSP è anche un documento essenziale che a fornitore di servizi gestiti (MSP) può utilizzare per assistere la tua azienda con la conformità. Il foglio di valutazione delinea i requisiti di sicurezza di CMMC e ti aiuta a ottenere una panoramica degli aggiornamenti di cui hai bisogno. "La prima cosa che di solito chiedo è: 'conosci il tuo punteggio SSP?'", dice Charles. Altre società potrebbero non essere così avanti. In tal caso, Charles IT può condurre una valutazione delle lacune o dei rischi per i nostri clienti come primo passo per scrivere un SSP e un piano d'azione e pietre miliari (POA&M). "Noi lo chiamiamo una valutazione del divario. Dobbiamo sapere quanto è profonda l'acqua, quindi la individueremo e li aiuteremo a scrivere un SSP”, consiglia Charles.
Se disponi di una posizione di sicurezza relativamente matura e segui le ultime best practice di sicurezza informatica, il raggiungimento della conformità CMMC 2.0 dovrebbe richiedere dai sei ai nove mesi. In caso contrario, potresti guardare una sequenza temporale di 18 mesi. Ancora una volta, non aspettare che un contratto sia sul tavolo: inizia ora per evitare di perdere attività.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.prweb.com/releases/2023/3/prweb19246469.htm
- :È
- $ SU
- 1
- 2021
- 2023
- 7
- a
- WRI
- Raggiungere
- il raggiungimento
- acquisizione
- operanti in
- Action
- azioni
- attori
- effettivamente
- Vantaggio
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- Allineati
- Allinea
- Tutti
- già
- Tra
- ed
- ha annunciato
- annuale
- Un altro
- rispondere
- antivirus
- apparire
- approccio
- opportuno
- approvato
- SONO
- in giro
- AS
- valutazione
- assistere
- At
- attacco
- attacchi
- Autenticazione
- consapevolezza
- base
- basato
- Nozioni di base
- BE
- prima
- dietro
- beneficio
- vantaggi
- MIGLIORE
- best practice
- Meglio
- portare
- Mazzo
- affari
- aziende
- chiamata
- Materiale
- Può ottenere
- vettori
- Custodie
- ceo
- Certificazione
- catena
- Catene
- il cambiamento
- Modifiche
- cambiando
- Charles
- chiarezza
- clienti
- Cloud
- Uncommon
- comunità
- Aziende
- azienda
- completamento di una
- complessità
- conformità
- compiacente
- complicato
- Problemi della Pelle
- Segui il codice di Condotta
- conduzione
- confusione
- contratto
- appaltatori
- contratti
- controllata
- coordinazione
- potuto
- copertura
- Copertine
- cruciale
- Attacco informatico
- Cybersecurity
- dati
- Data
- giorno per giorno
- Giorni
- deep
- Difesa
- Shirts Department
- Dipartimento della Difesa
- progettazione
- Detailing
- determinato
- devastante
- direttamente
- scopri
- documento
- i tempi di inattività
- e
- più facile
- effetto
- Abilita
- far rispettare
- garantire
- Intero
- spionaggio
- essential
- stabilire
- valutare
- Anche
- Ogni
- esempio
- attenderti
- Federale
- Governo federale
- pochi
- Trovate
- fine
- fermamente
- Nome
- Focus
- seguire
- i seguenti
- Nel
- Forze
- Avanti
- Favorire
- fondatore
- Contesto
- da
- Guadagno
- divario
- GCC
- ottenere
- ottenere
- Go
- buono
- Enti Pubblici
- hacker
- Metà
- maniglia
- Avere
- Aiuto
- aiuta
- Alta
- Come
- Tuttavia
- HTTPS
- i
- Immagine
- realizzare
- Implementazione
- importante
- competenze
- in
- incluso
- Compreso
- industriale
- industria
- informazioni
- Infrastruttura
- esempio
- invece
- Istituto
- assicurazione
- intento
- Intenzione
- intimidatorio
- investimento
- sicurezza
- IT
- sicurezza
- SUO
- solo uno
- Le
- Sapere
- etichettatura
- Cognome
- con i più recenti
- lanciare
- Leads
- Perdite
- Livello
- livelli
- probabile
- Lockheed Martin
- cerca
- a
- lucrativo
- maggiore
- make
- Fare
- manualmente
- consigliato per la
- industria manifatturiera
- molti
- mappatura
- martyn
- Matters
- alunni
- maturità
- Maturity Model
- analisi
- medie
- incontro
- menzionato
- AMF
- Microsoft
- Milestone
- minuto
- modello
- mese
- Scopri di più
- maggior parte
- pluriennale
- nazione
- il
- sicurezza nazionale
- necessaria
- Bisogno
- New
- notizie
- GENERAZIONE
- nista
- Novembre
- novembre 2021
- numero
- obiettivo
- of
- Office
- on
- ONE
- Operazioni
- minimo
- organizzazione
- organizzazioni
- i
- Altro
- delineato
- lineamenti
- panoramica
- partito
- prospettiva
- Fisico
- immagine
- pezzo
- conduttura
- piano
- piani
- piattaforma
- Platone
- Platone Data Intelligence
- PlatoneDati
- punti
- politica
- povero
- Pratico
- pratiche
- Preparare
- preparazione
- prevenire
- procedure
- processi
- i processi
- protegge
- protezione
- fornitore
- Domande
- ransomware
- piuttosto
- rendersi conto
- motivi
- raccomandare
- Regolamento
- normativa
- relativamente
- resti
- ricorda
- rimuovere
- sostituire
- richiedere
- necessario
- Requisiti
- richiede
- Rischio
- valutazione del rischio
- tabella di marcia
- norme
- sentenza
- Correre
- s
- stesso
- dice
- Punto
- fissaggio
- problemi di
- Consapevolezza della sicurezza
- senso
- delicata
- servizio
- Provider di servizi
- dovrebbero
- simile
- singolo
- SIX
- inferiore
- So
- Software
- alcuni
- velocità
- pila
- Standard
- standard
- iniziato
- Regione / Stato
- step
- Ancora
- Rafforza
- di successo
- tale
- fornitori
- fornire
- supply chain
- Catene di fornitura
- sistema
- SISTEMI DI TRATTAMENTO
- tavolo
- Fai
- presa
- trattativa
- Target
- Tecnologia
- che
- Il
- Le nozioni di base
- loro
- Li
- Strumenti Bowman per analizzare le seguenti finiture:
- cosa
- Terza
- di parti terze standard
- pensiero
- minaccia
- attori della minaccia
- tre
- tempo
- time line
- a
- insieme
- pure
- pista
- Training
- in definitiva
- capire
- aggiornamento
- upgrade
- Upgrades
- urgenza
- uso
- generalmente
- vario
- fornitori
- aspettare
- Water
- Che
- quale
- while
- volere
- finestre
- con
- entro
- senza
- Ha vinto
- parole
- scrivere
- scrittura
- anno
- anni
- Tu
- Trasferimento da aeroporto a Sharm
- te stesso
- zefiro
