CMMC 2.0:Panduan Penting untuk Produsen Kecil &Menengah di Basis Industri Pertahanan

Bagi produsen kecil dan menengah (SMM) di Pangkalan Industri Pertahanan (DIB), Sertifikasi Model Kematangan Keamanan Siber (CMMC) tidak lagi menjadi persyaratan di masa depan, namun kini menjadi standarnya.

Pada bulan Desember, Departemen Pertahanan AS menyelesaikan CMMC 2.0 , secara resmi memasukkannya ke dalam kontrak Departemen Pertahanan. Jika Anda memasok, mensubkontrakkan, atau berencana melakukan pekerjaan terkait pertahanan, hal ini akan memengaruhi Anda.

Dari sekitar 300.000 perusahaan di DIB, sebagian besar harus mencapai sertifikasi Level 2 untuk terus menangani Informasi Tidak Rahasia Terkendali (CUI).

Inilah yang membuat hal ini mendesak:

• Penerapan dapat memakan waktu 6 bulan hingga 3 tahun
• Biayanya berkisar antara $20.000 hingga $200.000 , tergantung kompleksitas
• Penyedia TI Anda mungkin tidak memiliki keahlian keamanan siber yang diperlukan
• Organisasi Penilai Pihak Ketiga Bersertifikat (C3PAO) masih bermunculan, ini adalah betapa barunya ekosistem ini

CMMC bukan sekadar peningkatan TI. Ini adalah perubahan operasional dan budaya.

Kabar baiknya? Anda tidak harus menavigasinya sendirian. IMEC diposisikan untuk memandu produsen melalui proses yang rumit ini.

Memahami Kerangka CMMC

CMMC 2.0 adalah kerangka kerja Departemen Pertahanan untuk melindungi informasi pertahanan sensitif di seluruh rantai pasokan.

Istilah penting yang perlu dipahami adalah Informasi Tidak Rahasia Terkendali (CUI) , data sensitif pemerintah yang memerlukan pengamanan tetapi tidak dirahasiakan.

CMMC 2.0 terdiri dari tiga level:

• Tingkat 1 – Dasar: Kebersihan keamanan siber dasar
• Tingkat 2 – Lanjutan: Penyelarasan dengan NIST SP 800-171 (persyaratan paling umum bagi produsen yang menangani CUI)
• Tingkat 3 – Pakar: Perlindungan lanjutan untuk program prioritas tinggi

Sebagian besar SMM yang mendukung DIB harus memenuhi Level 2 .

Bagaimana Anda Mengetahui Level yang Anda Butuhkan?

Mulailah dengan meninjau kontrak dan komunikasi pelanggan Anda. Apakah Anda melihat bahasa CMMC disertakan dalam:

• Kontrak utama?
• Persyaratan aliran ke bawah dari pelanggan?
• Permintaan proposal yang merujuk pada NIST 800-171 atau CMMC Level 2?

Jika iya, persiapannya harus dimulai sekarang.

Anda juga dapat mempertimbangkan apakah pekerjaan terkait CMMC dapat disegmentasikan dari operasi Anda lainnya. Dalam beberapa kasus, memisahkan alur kerja CUI dari sistem bisnis lain dapat mengurangi cakupan dan biaya.

Untuk informasi terbaru tentang akreditasi resmi dan penilai bersertifikat, kunjungi The Cyber AB, badan akreditasi resmi untuk CMMC.

Tentukan Sumber Daya yang Dibutuhkan

Salah satu kesalahpahaman terbesar tentang CMMC adalah bahwa ini adalah “proyek TI”.

Bukan.

CMMC merupakan komitmen organisasi yang menyentuh:

• Kepemimpinan eksekutif
• Sumber Daya Manusia
• Operasi
• Teknik
• Pembelian
• Penjualan
• IT

Manajemen puncak memegang tanggung jawab utama, namun implementasi yang sukses memerlukan keterlibatan lintas fungsi.

Keahlian Internal vs. Eksternal

Sebagian besar produsen kecil tidak memiliki spesialis keamanan siber internal. Meskipun banyak perusahaan bekerja sama dengan Penyedia Layanan Terkelola (MSP), penting untuk memahami:

Dukungan TI dan keamanan siber merupakan sinergi, namun tidak sama.

Anda mungkin memerlukan:

• Penyedia Layanan Keamanan Terkelola (MSSP)
• Konsultan CMMC
• Praktisi Terdaftar (RP)
• Seorang Ahli Subjek (UKM) keamanan siber

Pertimbangan biaya tambahan meliputi:

• Pembaruan asuransi siber
• Peningkatan sistem
• Perangkat lunak keamanan dan alat pemantauan
• Pelatihan karyawan
• Pengembangan dokumentasi

Dan mungkin yang paling penting:waktu. Kepemimpinan harus mengalokasikan waktu dan sumber daya yang cukup untuk mencapai kemajuan yang berkelanjutan.

Lakukan Analisis Kesenjangan dan Dokumentasikan Skor SPRS Anda

Sebelum menerapkan kontrol, Anda perlu memahami posisi Anda saat ini.

Analisis kesenjangan membandingkan postur keamanan siber Anda saat ini dengan kontrol yang diperlukan untuk tingkat CMMC target Anda, biasanya NIST SP 800-171 untuk Tingkat 2.

Banyak organisasi yang melebih-lebihkan kesiapan mereka. Penilaian mandiri yang terstruktur sering kali mengungkapkan kerentanan yang terabaikan.

Langkah-langkah utamanya meliputi:

• Evaluasi kebijakan, proses, dan kontrol teknis saat ini
• Nilai kepatuhan Anda terhadap NIST 800-171
• Masukkan skor Anda ke dalam Sistem Risiko Kinerja Pemasok (SPRS)
• Identifikasi kekurangan dalam dokumentasi dan perlindungan teknis

Jika keahlian internal terbatas, UKM eksternal dapat memberikan penilaian dasar yang lebih obyektif dan akurat.

Skor SPRS Anda akan terlihat oleh Departemen Pertahanan, akurasi itu penting.

Rencanakan, Implementasikan, Pantau, dan Sertifikasi

Setelah kesenjangan teridentifikasi, pekerjaan sebenarnya dimulai.

Penerapannya harus mengikuti rencana tindakan terstruktur dengan kepemilikan dan jadwal yang jelas.

Memprioritaskan Penerapan Kontrol

Fokus dulu pada area yang berdampak tinggi, seperti:

• Perlindungan Fisik: Menjaga fasilitas dan membatasi akses fisik ke CUI
• Otentikasi Multi-Faktor (MFA)
• Enkripsi data sensitif
• Deteksi dan perlindungan titik akhir
• Manajemen kontrol akses

Identifikasi dan Petakan Alur CUI Anda

Dokumentasikan bagaimana CUI masuk, berpindah, dan keluar dari sistem Anda.

Jika memungkinkan, pisahkan alur kerja terkait CUI dari sistem perusahaan yang lebih luas untuk meminimalkan cakupan dan kompleksitas.

Kembangkan Dokumentasi Inti

Dua dokumen penting meliputi:

• Rencana Keamanan Sistem (SSP): Detail cara penerapan dan pengelolaan kontrol keamanan
• Rencana Aksi dan Pencapaian (POA&M): Mengidentifikasi kesenjangan kepatuhan, menetapkan tanggung jawab, dan menguraikan jadwal remediasi

Anda juga harus:

• Menetapkan dan mempublikasikan kebijakan keamanan siber yang diperlukan
• Melaksanakan pelatihan kesadaran keamanan siber di seluruh organisasi
• Memberikan pelatihan tambahan bagi karyawan yang menangani CUI
• Pantau sistem secara terus-menerus untuk mengetahui kepatuhan dan risiko yang muncul

Sertifikasi:Libatkan C3PAO

Untuk sertifikasi Tingkat 2, banyak perusahaan memerlukan penilaian oleh Organisasi Penilai Pihak Ketiga Bersertifikat (C3PAO) .

C3PAO adalah segmen baru dalam ekosistem keamanan siber, yang merupakan pengingat akan betapa barunya CMMC. Perencanaan awal sangat penting, karena ketersediaan penilai mungkin terbatas.

Mengapa Hal Ini Penting Saat Ini

CMMC bukanlah persyaratan teoritis. Hal ini semakin tertanam dalam bahasa kontrak saat ini.

Menunggu hingga kontrak memerlukan bukti sertifikasi dapat membuat perusahaan Anda kacau atau tidak memenuhi syarat.

Bagi produsen yang berkomitmen untuk melayani rantai pasokan pertahanan, kepatuhan CMMC bukanlah suatu pilihan. Ini adalah biaya masuk.

Bagaimana IMEC Dapat Membantu

IMEC memahami operasi manufaktur dan ekspektasi keamanan siber di Pangkalan Industri Pertahanan.

Kami membantu produsen:

• Menafsirkan persyaratan kontrak
• Melakukan penilaian kesenjangan
• Kembangkan peta jalan implementasi yang realistis
• Terhubung dengan sumber daya keamanan siber yang berkualitas
• Mempersiapkan penilaian C3PAO

CMMC bisa terasa luar biasa. Dengan panduan yang tepat, hal ini dapat dikelola dan bermanfaat secara strategis.

Keamanan siber bukan lagi sekadar soal kepatuhan. Ini tentang melindungi bisnis Anda, pelanggan Anda, dan masa depan Anda di pasar pertahanan.

Ambil Langkah Pertama Menuju Kesiapan CMMC

Penerapan CMMC membutuhkan waktu dan menunggu hingga hal tersebut tercantum dalam kontrak dapat membahayakan pekerjaan pertahanan Anda.

Jika Anda tidak yakin tingkat apa yang berlaku untuk bisnis Anda, apakah Anda menangani CUI, atau seberapa siap Anda sebenarnya, sekaranglah saatnya untuk mencari tahu.

IMEC dapat membantu Anda menilai kondisi Anda saat ini, memperjelas persyaratan, dan membangun peta jalan praktis menuju sertifikasi.

Terhubung dengan IMEC hari ini untuk menjadwalkan diskusi kesiapan CMMC dan melindungi posisi Anda dalam rantai pasokan pertahanan.