Ni av 13 forsikringsselskaper vi sporer vil ikke skrive en polise med mindre du har MFA. Samme med CMMC 2.0 – og en handlingsplan og milepæler (POA&M) vil ikke bli akseptert hvis du ikke har det grunnleggende som MFA, antivirus og opplæring i sikkerhetsbevissthet. – Foster Charles, grunnlegger og administrerende direktør, Charles IT
MIDDLETOWN, Connecticut (PRWEB) Mars 27, 2023
Forsvarsdepartementet (DoD) kunngjorde den nye Cybersecurity Maturity Model Certification, CMMC 2.0, i november 2021. Endringen kom etter at det ble fastslått at den originale CMMC 1.0-modellen var for tungvint og forvirrende for entreprenører. Hensikten forblir imidlertid den samme: å sikre at Defence Industrial Base (DIB) entreprenører har passende tiltak og prosedyrer for å beskytte sensitiv informasjon, inkludert kontrollert uklassifisert informasjon (CUI) og føderal kontraktsinformasjon (FCI).
Det som er viktig å forstå er at CMMC 2.0 faktisk ikke er noe nytt. Kravene er basert på The National Institute of Standards and Technology (NIST) SP 800-171 og er direkte på linje med Defense Federal Acquisition Regulation Supplement (DFARS), som har vært påkrevd i en stund nå.
Det som betyr noe er hvor strengt du implementerer disse beste fremgangsmåtene for IT-sikkerhet, ettersom de nye forskriftene vil bli håndhevet i 2023. For å lykkes, må entreprenører endre tilnærmingen til overholdelse eller risikere å tape på lukrative kontrakter eller pådra seg store bøter.
Høynivåendringer i CMMC 2.0
CMMC 1.0 hadde som mål å samle ulike sikkerhetskrav til en enkelt samsvarsstandard for den føderale regjeringen. Selv om intensjonen var god, var reglene veldig kompliserte. CMMC 2.0 er en forenkling av CMMC 1.0 – noe som gjør det mye enklere for DIB-entreprenører å oppnå samsvar for å forbedre føderal forsvarssikkerhet.
Nivå én krever en egenvurdering av 17 beste praksiser som ligner NISTs cybersecurity framework (CSF). Nivå to stemmer overens med NIST SP 800-171 og krever sertifisering fra en CMMC Third Party Assessment Organization (C3PAO). Til slutt må DIB-entreprenører som håndterer topphemmelig informasjon oppnå nivå tre-overholdelse basert på NIST 800-172.
CMMC 2.0 fjerner krav som ikke er inkludert i NIST SP 800-171 for å gjøre det mer praktisk å oppnå og håndheve samsvar. Den dekker også DIB-underleverandører for å sikre sikkerhet i hele forsyningskjeden ettersom mer ondsinnede aktører retter seg mot mindre selskaper som inngår kontrakter med industrigiganter (f.eks. Lockheed Martin). "Hackere kan få bare ett stykke CUI fra én leverandør. Men hvis de stabler en haug av dem sammen, kan de få et ganske fullstendig bilde - det er hvordan hemmeligheter lekkes. CMMC 2.0 handler om å sikre statshemmeligheter, sier Charles.
Cyberkrigføring er den siste bekymringen, og av gode grunner. For eksempel kan trusselaktører sette i gang et nettangrep på infrastruktur (f.eks. Colonial Pipeline-angrepet), og deretter dra nytte av den utvidede nedetiden til å starte et mer ødeleggende fysisk angrep – som kan stoppe hele nasjonen.
Hva er nøkkelen til disse endringene, og hva trenger du å vite når du oppdaterer prosessene dine?
Et hovedmål med CMMC 2.0 er å bringe klarhet og fjerne kompleksitet. For eksempel krever det en tredjepartssertifisering hvert tredje år (i stedet for en årlig vurdering) for samsvar med nivå to og tre.
Dessuten er prosedyrene lettere å forstå, så fokuset ditt kan være på å få oppdatert sikkerhetsstillingen din.
Hvordan CMMC 2.0 er til fordel for DIB-entreprenører
CMMC 2.0 muliggjør bedre beskyttelse av CUI for å forhindre datalekkasjer og spionasje. Det styrker nasjonal sikkerhet og bidrar til å beskytte mot forsyningskjeden eller statssponsede angrep. Forstå imidlertid at det også er til fordel for DIB-entreprenører i deres virksomhet: «Produksjonsindustrien er veldig langt bak innen IT og sikkerhet. Bedrifter kjører fortsatt mange prosesser manuelt, noe som er veldig usikkert. Deres dårlige IT-sikkerhetshygiene fører ofte til kostbar løsepengevare og andre angrep. CMMC 2.0 tvinger disse entreprenørene til å etablere gode forretningsvaner som til syvende og sist er bra for deres organisasjoner, sier Charles.
Tanken på enda en regulering kan være skremmende. Den gode nyheten er at halvparten av CMMC 2.0 allerede er i NIST SP 800-171 – som beskriver cybersikkerhetspraksis som DIB-kontraktører allerede bør følge, for eksempel ved å bruke antivirusprogramvare, implementere multifaktorautentisering (MFA) og kartlegge og merke alle CUI .
Kritisk er at selskaper ikke engang kan få cybersikkerhetsforsikring uten å implementere mange av tiltakene som er skissert i CMMC 2.0. "Ni av 13 forsikringsselskaper vi sporer vil ikke skrive en polise med mindre du har MFA. Samme med CMMC 2.0 – og en handlingsplan og milepæler (POA&M) vil ikke bli akseptert hvis du ikke har det grunnleggende som MFA, antivirus og sikkerhetsopplæring, sier Charles.
CMMC 2.0 er et nødvendig skritt fremover for at hele forsvarsindustrien skal få fart på teknologien.
Hvorfor det er nøkkelen å endre tilnærmingen din
Som nevnt er den vanligste misforståelsen om CMMC 2.0 at det er en ny samsvarsstandard når den faktisk ikke er det.
Den andre avgjørende misforståelsen er at mange entreprenører antar at de kan vente til CMMC 2.0-avgjørelsen er godkjent før de tar grep. Mange entreprenører undervurderer hvor mye tid det vil ta å evaluere deres sikkerhetsstilling, implementere utbedringshandlinger og få en tredjepartsvurdering. Noen feilvurderer også hvor teknisk bak systemene og prosessene deres ligger og investeringene som kreves for å oppnå samsvar. Det er også viktig å huske at å oppfylle disse standardene krever koordinering med leverandører, noe som kan ta tid å fullføre. "Mange entreprenører overser kompleksiteten i forsyningskjedene deres og antallet tredjepartsleverandører de bruker. For eksempel kan du oppdage at noen få leverandører fortsatt bruker Windows 7 og nekter å oppgradere. Så du kan finne deg selv i en sylteagurk hvis leverandørene dine ikke er kompatible, og du må vente på at de oppgraderer teknologien, sier Charles.
Det er også problemer med skycompliance, påpeker Charles. Mange entreprenører innser heller ikke at de ikke kan behandle CUI på noen sky - plattformen din må sitte på en Fedramp medium eller Fedramp høy sky. For eksempel, i stedet for Office 365, må du bruke Microsoft 365 Government Community Cloud High (GCC High).
Slik forbereder du deg til CMMC 2.0
Begynn å forberede deg så snart du kan hvis du ikke allerede har gjort det, og forvent at prosessen vil ta et år eller to. CMMC 2.0 vil sannsynligvis tre i kraft i 2023, og så snart den gjør det, vil den vises på alle kontrakter innen 60 dager. Du har ikke råd til å vente til siste øyeblikk.
Entreprenører vil med andre ord dra nytte av en følelse av at det haster. «Å oppnå samsvar på én gang kan være et stort sjokk for en organisasjon og dens daglige forretningsprosesser. Jeg anbefaler å gjennomføre en vurdering og utforme et flerårig veikart, sier Charles. Denne planen skal svare på spørsmål som: Hvilke maskiner/maskinvare må du erstatte? Hvilke tredjepartsleverandører krever oppgraderinger? Har de planer om å gjøre det i løpet av de neste tre årene?»
Å sende inn en systemsikkerhetsplan (SSP) er avgjørende for CMMC 2.0-samsvar. SSP er også et viktig dokument som en administrert tjenesteleverandør (MSP) kan bruke for å hjelpe din bedrift med overholdelse. Resultatarket skisserer CMMCs sikkerhetskrav og hjelper deg å få oversikt over oppgraderingene du trenger. "Det første jeg pleier å spørre er, 'vet du din SSP-poengsum?'," sier Charles. Andre selskaper er kanskje ikke like langt på vei. I så fall kan Charles IT gjennomføre en gap eller risikovurdering for våre kunder som et første skritt til å skrive en SSP og en handlingsplan og milepæler (POA&M). «Vi kaller det en gapvurdering. Vi må vite hvor dypt vannet er, og så skal vi finne det og hjelpe dem med å skrive en SSP, sier Charles.
Hvis du har en relativt moden sikkerhetsstilling og følger de siste beste fremgangsmåtene for cybersikkerhet, bør det ta rundt seks til ni måneder å oppnå CMMC 2.0-samsvar. Hvis ikke, kan du se på en 18-måneders tidslinje. Igjen, ikke vent til en kontrakt er på bordet – kom i gang nå for å unngå å miste bedrifter.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://www.prweb.com/releases/2023/3/prweb19246469.htm
- :er
- $OPP
- 1
- 2021
- 2023
- 7
- a
- Om oss
- Oppnå
- oppnå
- oppkjøp
- tvers
- Handling
- handlinger
- aktører
- faktisk
- Fordel
- Etter
- mot
- justert
- Justerer
- Alle
- allerede
- Amid
- og
- annonsert
- årlig
- En annen
- besvare
- antivirus
- vises
- tilnærming
- hensiktsmessig
- godkjent
- ER
- rundt
- AS
- evaluering
- bistå
- At
- angripe
- Angrep
- Autentisering
- bevissthet
- basen
- basert
- Grunnleggende
- BE
- før du
- bak
- nytte
- Fordeler
- BEST
- beste praksis
- Bedre
- bringe
- Bunch
- virksomhet
- bedrifter
- ring
- CAN
- Kan få
- bærere
- saken
- konsernsjef
- sertifisering
- kjede
- kjeder
- endring
- Endringer
- endring
- Charles
- klarhet
- klienter
- Cloud
- Felles
- samfunnet
- Selskaper
- Selskapet
- fullføre
- kompleksitet
- samsvar
- kompatibel
- komplisert
- Bekymring
- Gjennomføre
- gjennomføre
- forvirrende
- kontrakt
- entreprenører
- kontrakter
- kontrolleres
- samordning
- kunne
- dekning
- Dekker
- avgjørende
- Cyber angrep
- Cybersecurity
- dato
- Dato
- dag til dag
- Dager
- dyp
- Forsvar
- Avdeling
- Forsvarsdepartementet
- utforme
- detaljering
- bestemmes
- ødeleggende
- direkte
- oppdage
- dokument
- nedetid
- e
- enklere
- effekt
- muliggjør
- håndheving
- sikre
- Hele
- spionasje
- avgjørende
- etablere
- evaluere
- Selv
- Hver
- eksempel
- forvente
- Federal
- Føderal regjering
- Noen få
- Finn
- bøter
- fast
- Først
- Fokus
- følge
- etter
- Til
- Krefter
- Forward
- Foster
- Grunnleggeren
- Rammeverk
- fra
- Gevinst
- mellomrom
- GCC
- få
- få
- Go
- god
- Regjeringen
- hackere
- Halvparten
- håndtere
- Ha
- hjelpe
- hjelper
- Høy
- Hvordan
- Men
- HTTPS
- i
- bilde
- iverksette
- implementere
- viktig
- forbedre
- in
- inkludert
- Inkludert
- industriell
- industri
- informasjon
- Infrastruktur
- f.eks
- i stedet
- Institute
- forsikring
- hensikt
- Intensjon
- skremmende
- investering
- saker
- IT
- det sikkerhet
- DET ER
- bare én
- nøkkel
- Vet
- merking
- Siste
- siste
- lansere
- Fører
- Lekkasjer
- Nivå
- nivåer
- Sannsynlig
- Lockheed Martin
- ser
- å miste
- lukrative
- større
- gjøre
- Making
- manuelt
- produksjon
- industrien
- mange
- kartlegging
- Martin
- Saker
- moden
- modenhet
- Modenhetsmodell
- målinger
- medium
- møte
- nevnt
- MFA
- Microsoft
- milepæler
- minutt
- modell
- måneder
- mer
- mest
- flerårig
- nasjon
- nasjonal
- nasjonal sikkerhet
- nødvendig
- Trenger
- Ny
- nyheter
- neste
- nst
- November
- november 2021
- Antall
- Målet
- of
- Office
- on
- ONE
- Drift
- rekkefølge
- organisasjon
- organisasjoner
- original
- Annen
- skissert
- skisserer
- oversikt
- parti
- perspektiv
- fysisk
- bilde
- brikke
- rørledning
- fly
- planer
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- poeng
- politikk
- dårlig
- Praktisk
- praksis
- Forbered
- forbereder
- forebygge
- prosedyrer
- prosess
- Prosesser
- beskytte
- beskyttelse
- leverandør
- spørsmål
- ransomware
- heller
- realisere
- grunner
- anbefaler
- Regulering
- forskrifter
- relativt
- forblir
- husker
- fjerne
- erstatte
- krever
- påkrevd
- Krav
- Krever
- Risiko
- risikovurdering
- veikart
- regler
- kjennelse
- Kjør
- s
- samme
- sier
- Resultat
- sikring
- sikkerhet
- Sikkerhetsbevissthet
- forstand
- sensitive
- tjeneste
- Tjenesteyter
- bør
- lignende
- enkelt
- SIX
- mindre
- So
- Software
- noen
- fart
- stable
- Standard
- standarder
- startet
- Tilstand
- Trinn
- Still
- Styrker
- vellykket
- slik
- leverandører
- levere
- forsyningskjeden
- Forsyningskjeder
- system
- Systemer
- bord
- Ta
- ta
- Snakker
- Target
- Teknologi
- Det
- De
- Grunnleggende
- deres
- Dem
- Disse
- ting
- Tredje
- tredjeparts
- trodde
- trussel
- trusselaktører
- tre
- tid
- tidslinje
- til
- sammen
- også
- spor
- Kurs
- Til syvende og sist
- forstå
- oppdatering
- oppgradering
- oppgraderinger
- hastverk
- bruke
- vanligvis
- ulike
- leverandører
- vente
- Vann
- Hva
- hvilken
- mens
- vil
- vinduer
- med
- innenfor
- uten
- Vant
- ord
- skrive
- skriving
- år
- år
- Du
- Din
- deg selv
- zephyrnet
