Yang Perlu Anda Ketahui Tentang Sertifikasi CMMC
Saat Sertifikasi Model Kematangan Cybersecurity (CMMC) mendekati implementasi penuh, organisasi yang terpengaruh bergegas untuk memastikan mereka akan lulus proses sertifikasi.
Tujuannya sederhana:organisasi harus memenuhi standar keamanan siber minimum, dan dalam melakukannya, mereka melakukan bagian mereka untuk meningkatkan keamanan nasional. Taruhannya luar biasa tinggi untuk perkiraan 300.000 organisasi basis industri pertahanan (DIB) yang akan segera perlu disertifikasi ke salah satu dari lima tingkat CMMC agar memenuhi syarat untuk diberikan kontrak federal. Sederhananya:tidak ada sertifikasi, tidak ada kontrak. Dari perspektif Pemerintah AS dan Departemen Pertahanan, taruhannya selalu tinggi karena DIB memainkan peran penting dalam pertahanan negara kita. Satu-satunya cara untuk memastikan perlindungan data kami dan integritas rantai pasokan adalah dengan mempertahankan standar industri yang lebih tinggi.
Bagaimana Kami Sampai Di Sini?
Aktivitas permusuhan dari aktor negara dan non-negara terus meningkat, dan biaya ekonominya mengejutkan — $5 triliun secara global — menurut beberapa perkiraan. Perkiraan lain menunjukkan bahwa biaya ekonomi AS berkisar antara $57 miliar dan $109 miliar pada tahun 2016. Namun, kebutuhan CMMC bukan hanya tentang kepentingan ekonomi, ini tentang membela diri secara kolektif. Perusahaan besar dan kecil berkontribusi pada keberhasilan pejuang Amerika dan mereka semua akan dimintai pertanggungjawaban yang sama dengan CMMC.
Di ruang federal, hanya perlu melihat sekilas jet tempur tertentu untuk menghubungkan titik-titik betapa pentingnya mengamankan organisasi yang pada akhirnya mengamankan dan membela negara kita. Di ruang komersial, pelanggaran Target menunjukkan bagaimana mitra bisnis dapat menjadi mata rantai yang lemah yang pada akhirnya memfasilitasi serangan. Dengan membuat DIB lebih akuntabel, kami membantu memenuhi tidak hanya persyaratan bisnis baru, tetapi kami akan memenuhi keharusan strategis untuk lebih tahan terhadap serangan. Waktu telah berubah dan begitu pula cara kita menjalankan bisnis. Suka atau tidak, kita bermanuver di medan perang modern di mana kata-kata seperti "perang", "spionase", dan "kejahatan" diawali dengan "cyber", yang berarti entitas swasta dan publik harus siap dengan respons modern.
Apa itu CMMC?
CMMC memiliki lima tingkat kontrol teknis dan prosedural yang bertujuan untuk melindungi Controlled Unclassified Information (CUI) dan Federal Contract Information (FCI) untuk kontraktor DoD. Untuk mencapai CMMC level 5, organisasi harus melalui implementasi dan penilaian dari 171 kontrol teknis dan prosedural. Sebagian besar profesional keamanan siber di ruang federal akan menemukan bahwa sebagian besar kontrol CMMC sudah familiar. Bahkan, untuk mencapai CMMC level 3, hampir semua kontrol terdapat di NIST SP 800-171. Organisasi yang akan segera memerlukan sertifikasi di bawah CMMC telah diamanatkan untuk memenuhi kontrol yang digariskan dalam NIST SP 800-171 sejak 2016. Perbedaan utamanya adalah bahwa organisasi tidak dapat lagi melakukan sertifikasi sendiri dan menyerahkan Rencana Tindakan dan Tonggak untuk mengatasi kekurangan . Organisasi yang mencari sertifikasi harus dinilai secara formal oleh Organisasi Penilai Pihak Ketiga CMMC atau penilai yang disertifikasi oleh Badan Akreditasi CMMC, sebuah organisasi nirlaba yang bertugas mensertifikasi kesiapan para penilai. Meskipun tidak ada tanggal yang diberikan untuk kapan penilaian akan dimulai, pelatihan baru-baru ini telah dimulai untuk kelompok pertama penilai CMMC.
Apa yang Harus Dilakukan Sekarang?
Kesiapsiagaan CMMC adalah latihan dalam menerapkan dasar-dasar keamanan siber dan peningkatan berkelanjutan untuk mencapai ketahanan yang lebih besar. Level CMMC bersifat kumulatif dan berjenjang sehingga satu level meningkat ke level berikutnya, jadi untuk mencapai level 4, Anda harus sepenuhnya mematuhi level 3. Setiap level berkorelasi dengan tingkat kecanggihan praktik keamanan Anda mulai dari kebersihan dasar dan peningkatan ke tindakan yang lebih maju dan proaktif seperti berburu ancaman di Level 5. Dengan 171 kontrol yang semakin kompleks, Anda bertanya harus mulai dari mana?
- Mendidik diri sendiri: Memahami kontrol teknis dan kebijakan yang digariskan oleh CMMC.
- Ini adalah Versi 1 dari CMMC.
- Berikut adalah FAQ CMMC.
- Tentukan level mana yang tepat untuk Anda: Organisasi perlu memutuskan tingkat sertifikasi mana yang mereka cari. Organisasi yang hanya menyimpan FCI mungkin konten yang mencapai CMMC Level 1 dan organisasi yang menyimpan dan menangani CUI atau berkontribusi pada upaya yang lebih sensitif mungkin ingin disertifikasi di CMMC Level 3 atau lebih tinggi. Departemen Pertahanan akan mencantumkan persyaratan level CMMC pada permintaan proposal.
- Kenali diri Anda: Pahami dan dokumentasikan lingkungan Anda dari jaringan internal hingga mitra bisnis Anda. Sering dikatakan bahwa “Anda tidak dapat mempertahankan apa yang tidak Anda ketahui”, dan itu benar. Anda harus memahami segmentasi, sistem, dan permukaan serangan Anda sebelum Anda dapat berharap untuk mempertahankannya.
- Menilai diri sendiri: Tentukan bagaimana Anda menyusun kontrol untuk tingkat sertifikasi yang dicari organisasi Anda. Identifikasi kontrol apa pun yang saat ini tidak terpenuhi, rencanakan cara mengatasi masalah, dan nilai kembali. Untuk fleksibilitas di masa mendatang, identifikasi apa yang diperlukan organisasi Anda untuk mencapai tingkat berikutnya.
- Beli di: Kami hanya sekuat mata rantai terlemah kami; memahami bahwa CMMC dirancang untuk membantu mengurangi risiko melakukan bisnis di sektor pertahanan. Beberapa kontrol akan sederhana atau sedang dilakukan, dan yang lain mungkin memerlukan dukungan dari berbagai bagian organisasi Anda. Anda mungkin memerlukan persetujuan, peningkatan anggaran, atau sponsor eksekutif. Beberapa kontrol mungkin terbukti menjadi beban berat dari perspektif teknis. Seluruh organisasi perlu mendukung, bersikap pragmatis, dan melakukan bagian mereka untuk mendukung dan melindungi misi.
- Bersikaplah fleksibel: CMMC baru dan menciptakan jembatan antara entitas kompleks besar dengan DoD dan DIB. Ini adalah organisasi besar, masih ada yang tidak diketahui dengan CMMC, dan apa yang diketahui sebulan yang lalu dapat berubah. Jadi, bersikaplah fleksibel, bersabarlah, dan ketahuilah bahwa kita semua perlu berbuat lebih baik untuk melindungi apa yang kita hargai.
Apakah Anda perlu disertifikasi ke CMMC Level 1 atau 5, atau mungkin organisasi Anda bahkan tidak berbisnis dengan DoD, standar yang ditetapkan oleh CMMC adalah peta jalan bagi organisasi mana pun untuk mematangkan postur keamanan siber mereka. Terlepas dari titik awal Anda, mencapai kepatuhan CMMC akan menimbulkan tantangan bagi organisasi kecil dan besar, tetapi hasilnya adalah peningkatan yang sangat kami butuhkan. Mengamankan data dan kekayaan intelektual kita adalah logis dan mutlak diperlukan untuk mempertahankan keunggulan teknologi atas musuh kita. Penilaian dan peningkatan berkelanjutan dalam praktik dasar-dasar keamanan siber sangat penting untuk mencapai tingkat ketahanan digital yang memungkinkan kita memerangi ancaman modern.
Wayne Lloyd adalah kepala petugas teknologi federal di RedSeal.