Fondatorul Charles IT, Foster Charles, vorbește despre CMMC 2.0 pe fondul reglementării DoD

Republicat de Platon

Urmaritori: 0

Nouă din cei 13 transportatori de asigurări pe care îi urmărim nu vor scrie o poliță decât dacă aveți MFA. La fel și cu CMMC 2.0 — și un plan de acțiune și repere (POA&M) nu va fi acceptat dacă nu aveți noțiuni de bază, cum ar fi MFA, antivirus și instruire de conștientizare a securității. – Foster Charles, fondator și CEO, Charles IT

MIDDLETOWN, Connecticut (PRWEB) Martie 27, 2023

Departamentul Apărării (DoD) a anunțat noua certificare a modelului de maturitate a securității cibernetice, CMMC 2.0, în noiembrie 2021. Schimbarea a venit după ce s-a stabilit că modelul original CMMC 1.0 era prea greoi și confuz pentru antreprenori. Intenția, totuși, rămâne aceeași: să se asigure că contractanții Bazei Industriale de Apărare (DIB) au măsurile și procedurile adecvate pentru a proteja informațiile sensibile, inclusiv informațiile controlate neclasificate (CUI) și informațiile privind contractele federale (FCI).

Ceea ce este important de înțeles este că CMMC 2.0 nu este de fapt nimic nou. Cerințele se bazează pe Institutul Național de Standarde și Tehnologie (NIST) SP 800-171 și sunt direct aliniate cu Suplimentul de reglementare a achizițiilor federale pentru apărare (DFARS), care este necesar de ceva timp.

Ceea ce contează este cât de strict implementați aceste bune practici pentru securitatea IT, deoarece noile reglementări vor fi aplicate ferm în 2023. Pentru a avea succes, contractanții trebuie să își schimbe abordarea față de conformitate sau riscă să piardă din contractele profitabile sau să suporte amenzi mari.

Modificări la nivel înalt în CMMC 2.0

CMMC 1.0 a avut ca scop agregarea diferitelor cerințe de securitate într-un singur standard de conformitate pentru guvernul federal. Deși intenția a fost bună, regulile au fost foarte complicate. CMMC 2.0 este o simplificare a CMMC 1.0 - facilitând realizarea conformității contractorilor DIB pentru a îmbunătăți securitatea apărării federale.

Nivelul unu necesită o autoevaluare a 17 bune practici similare cadrului de securitate cibernetică (CSF) al NIST. Nivelul doi se aliniază cu NIST SP 800-171 și necesită certificare de la o organizație de evaluare terță parte CMMC (C3PAO). În cele din urmă, contractorii DIB care gestionează informații extrem de secrete trebuie să atingă nivelul trei de conformitate bazat pe NIST 800-172.

CMMC 2.0 elimină cerințele care nu sunt incluse în NIST SP 800-171 pentru a face realizarea și impunerea conformității mai practice. De asemenea, acoperă subcontractanții DIB pentru a asigura securitatea pe întreg lanțul de aprovizionare, deoarece actorii mai rău intenționați vizează companii mai mici care contractează cu giganții din industrie (de exemplu, Lockheed Martin). „Hackerii pot obține doar o singură bucată de CUI de la un furnizor. Dar dacă stivuiesc o grămadă de ele împreună, pot obține o imagine destul de completă - așa se scurg secretele. CMMC 2.0 este despre securizarea secretelor de stat”, spune Charles.

Războiul cibernetic este cea mai recentă preocupare și din motive întemeiate. De exemplu, actorii amenințărilor pot lansa un atac cibernetic asupra infrastructurii (de exemplu, atacul Colonial Pipeline), apoi pot profita de timpul de nefuncționare extins pentru a lansa un atac fizic mai devastator - care ar putea opri întreaga națiune.

Care este concluzia cheie a acestor modificări și ce trebuie să știți când vă actualizați procesele?

Un obiectiv cheie al CMMC 2.0 este acela de a aduce claritate și de a elimina complexitatea. De exemplu, necesită o certificare terță parte la fiecare trei ani (în loc de o evaluare anuală) pentru conformitatea nivelurilor doi și trei.

În plus, procedurile sunt mai ușor de înțeles, astfel încât să vă concentrați pe actualizarea poziției de securitate.

Cum beneficiază CMMC 2.0 Contractorii DIB

CMMC 2.0 permite o mai bună protecție a CUI pentru a preveni scurgerile de date și spionajul. Întărește securitatea națională și ajută la protejarea împotriva lanțului de aprovizionare sau a atacurilor sponsorizate de stat. Cu toate acestea, înțelegeți că beneficiază și contractorii DIB în operațiunile lor: „Industria de producție este foarte în urmă în IT și securitate. Companiile încă rulează multe procese manual, ceea ce este foarte nesigur. Igiena lor slabă de securitate IT duce adesea la ransomware costisitor și alte atacuri. CMMC 2.0 îi obligă pe acești contractori să stabilească obiceiuri bune de afaceri care sunt în cele din urmă bune pentru organizațiile lor”, spune Charles.

Gândul la încă un alt regulament poate fi intimidant. Vestea bună este că jumătate din CMMC 2.0 este deja în NIST SP 800-171 — care detaliază practicile de securitate cibernetică pe care contractanții DIB ar trebui să le urmeze deja, de exemplu, utilizarea software-ului antivirus, implementarea autentificării cu mai mulți factori (MFA) și maparea și etichetarea tuturor CUI. .

În mod critic, companiile nici măcar nu pot obține o acoperire de asigurare de securitate cibernetică fără a implementa multe dintre măsurile prezentate în CMMC 2.0. „Nouă din cei 13 transportatori de asigurări pe care îi urmărim nu vor scrie o poliță decât dacă aveți MFA. La fel și cu CMMC 2.0 – și un Plan de acțiune și repere (POA&M) nu va fi acceptat dacă nu aveți elemente de bază, cum ar fi MFA, antivirus și instruire de conștientizare a securității”, spune Charles.

CMMC 2.0 este un pas înainte necesar pentru ca întreaga industrie de apărare să se lase la curent din perspectiva tehnologiei.

De ce este cheia schimbarea abordării

După cum am menționat, cea mai comună concepție greșită despre CMMC 2.0 este că este un nou standard de conformitate când, de fapt, nu este.

Cealaltă concepție greșită crucială este că mulți contractori presupun că pot aștepta până când hotărârea CMMC 2.0 este aprobată înainte de a lua măsuri. Mulți contractori subestimează cât timp va dura să-și evalueze poziția de securitate, să implementeze acțiuni de remediere și să obțină evaluarea de la terți. Unii apreciază greșit, de asemenea, cât de tehnic sunt în spatele sistemelor și proceselor lor și investițiile necesare pentru a atinge conformitatea. De asemenea, este esențial să ne amintim că îndeplinirea acestor standarde necesită coordonare cu furnizorii, care poate dura timp. „Mulți contractori trec cu vederea complexitatea lanțurilor lor de aprovizionare și numărul de furnizori terți pe care îi folosesc. De exemplu, puteți descoperi că câțiva furnizori încă mai folosesc Windows 7 și refuză să facă upgrade. Așa că te-ai putea găsi în dificultate dacă furnizorii tăi nu sunt conforme și trebuie să așteptați ca aceștia să își actualizeze tehnologia”, spune Charles.

Există și probleme legate de conformitatea cu cloud-ul, subliniază Charles. Mulți contractori, de asemenea, nu realizează că nu pot procesa CUI pe niciun cloud - platforma dvs. trebuie să se afle pe un nor Fedramp mediu sau înalt Fedramp. De exemplu, în loc de Office 365, trebuie să utilizați Microsoft 365 Government Community Cloud High (GCC High).

Cum să vă pregătiți pentru CMMC 2.0

Începeți să vă pregătiți cât mai curând posibil, dacă nu ați făcut-o deja și așteptați-vă ca procesul să dureze un an sau doi. CMMC 2.0 va intra probabil în vigoare în 2023 și, de îndată ce va apărea, va apărea pe toate contractele în termen de 60 de zile. Nu vă puteți permite să așteptați până în ultimul moment.

Cu alte cuvinte, antreprenorii vor beneficia de un sentiment de urgență. „Atingerea conformității dintr-o singură mișcare poate fi un șoc major pentru o organizație și pentru procesele sale de afaceri de zi cu zi. Recomand efectuarea unei evaluări și proiectarea unei foi de parcurs pe mai mulți ani”, spune Charles. Acest plan ar trebui să răspundă la întrebări precum: Ce mașini/hardware trebuie să înlocuiți? Ce furnizori terți necesită upgrade-uri? Au planuri să facă acest lucru în următorii trei ani?”

Trimiterea unui plan de securitate a sistemului (SSP) este esențială pentru conformitatea cu CMMC 2.0. SSP este, de asemenea, un document esențial care a furnizor de servicii gestionate (MSP) puteți folosi pentru a vă ajuta compania în ceea ce privește conformitatea. Foaia de punctaj subliniază cerințele de securitate ale CMMC și vă ajută să obțineți o imagine de ansamblu asupra actualizărilor de care aveți nevoie. „Primul lucru pe care îl întreb de obicei este: „știi scorul tău SSP?””, spune Charles. Alte companii s-ar putea să nu fie la fel de departe. În acest caz, Charles IT poate efectua o evaluare a decalajului sau a riscurilor pentru clienții noștri, ca prim pas către scrierea unui SSP și a unui plan de acțiune și etape (POA&M). "Ii spunem o evaluare a decalajului. Trebuie să știm cât de adâncă este apa, apoi o vom identifica și îi vom ajuta să scrie un SSP”, ne sfătuiește Charles.

Dacă aveți o poziție de securitate relativ matură și urmați cele mai recente bune practici de securitate cibernetică, atingerea conformității CMMC 2.0 ar trebui să dureze aproximativ șase până la nouă luni. Dacă nu, ați putea să vă uitați la o cronologie de 18 luni. Din nou, nu așteptați până când un contract este pe masă - începeți acum pentru a evita pierderea afacerilor.