Wat u moet weten over CMMC-certificering

Nu de Cybersecurity Maturity Model Certification (CMMC) zijn volledige implementatie nadert, haasten de betrokken organisaties zich om ervoor te zorgen dat ze het certificeringsproces doorstaan.

Het doel is simpel:organisaties moeten voldoen aan minimale cybersecurity-normen en dragen daarmee bij aan het verbeteren van de nationale veiligheid. Er staat buitengewoon veel op het spel voor de naar schatting 300.000 defensie-industriële basisorganisaties (DIB), die binnenkort moeten worden gecertificeerd voor een van de vijf CMMC-niveaus om in aanmerking te komen voor een federaal contract. Simpel gezegd:geen certificering, geen contract. Vanuit het perspectief van de Amerikaanse regering en het ministerie van Defensie is de inzet altijd hoog geweest sinds de DIB zo'n cruciale rol speelt in de verdediging van onze natie. De enige manier om de bescherming van onze gegevens en de integriteit van de toeleveringsketen te garanderen, is door de industrie aan een hogere standaard te houden.

Hoe zijn we hier gekomen?

De vijandige activiteit van statelijke en niet-gouvernementele actoren blijft toenemen, en de economische kosten zijn volgens sommige schattingen duizelingwekkend - $ 5 biljoen wereldwijd. Andere schattingen laten zien dat de kosten voor de Amerikaanse economie ergens tussen $ 57 miljard en $ 109 miljard lagen in 2016. De behoefte aan CMMC gaat echter niet alleen over economische belangen, het gaat over het collectief verdedigen van onszelf. Grote en kleine bedrijven dragen bij aan het succes van de Amerikaanse oorlogsjager en ze zullen allemaal op hetzelfde niveau van verantwoordelijkheid worden gehouden bij CMMC.

In de federale ruimte is er maar een snelle blik op een bepaalde straaljager nodig om de punten te verbinden van hoe belangrijk het is om de organisaties te beveiligen die uiteindelijk ons ​​land beveiligen en verdedigen. In de commerciële ruimte liet de Target-inbreuk zien hoe zakenpartners de zwakke schakel kunnen zijn die uiteindelijk een aanval faciliteert. Door de DIB meer verantwoordelijk te houden, helpen we niet alleen aan een nieuwe zakelijke vereiste te voldoen, maar komen we ook tegemoet aan een strategische noodzaak om beter bestand te zijn tegen aanvallen. De tijden zijn veranderd en dat geldt ook voor de manier waarop we zaken doen. Of we het nu leuk vinden of niet, we manoeuvreren op het moderne slagveld waar woorden als 'oorlog', 'spionage' en 'misdaad' worden voorafgegaan door 'cyber', wat betekent dat particuliere en openbare entiteiten moeten worden voorbereid met een modern antwoord.

Wat is CMMC?

CMMC heeft vijf niveaus van technische en procedurele controles die gericht zijn op het beschermen van gecontroleerde niet-geclassificeerde informatie (CUI) en federale contractinformatie (FCI) voor DoD-contractanten. Om CMMC-niveau 5 te bereiken, moeten organisaties de implementatie en beoordeling van 171 technische en procedurele controles doorlopen. De meeste cyberbeveiligingsprofessionals in de federale ruimte zullen merken dat het grootste deel van de CMMC-controles bekend is. Om CMMC-niveau 3 te bereiken, zijn bijna alle bedieningselementen te vinden in NIST SP 800-171. De organisaties die binnenkort certificering onder CMMC nodig hebben, hebben sinds 2016 al het mandaat gekregen om te voldoen aan de controles die zijn beschreven in NIST SP 800-171. Het belangrijkste verschil is dat organisaties niet langer zelf kunnen certificeren en een actieplan en mijlpalen kunnen indienen om tekortkomingen aan te pakken. . Organisaties die certificering willen, moeten formeel worden beoordeeld door een externe CMMC-beoordelaarsorganisatie of een beoordelaar die is gecertificeerd door de CMMC-accreditatie-instantie, een non-profitorganisatie die is belast met het certificeren van de gereedheid van de beoordelaars. Hoewel er geen data zijn waarop de assessments zullen beginnen, is onlangs begonnen met de training voor de eerste groep CMMC-assessoren.

Wat nu te doen?

CMMC-paraatheid is een oefening in het implementeren van de basisprincipes van cyberbeveiliging en continue verbetering om meer veerkracht te bereiken. De CMMC-niveaus zijn cumulatief en gelaagd, zodat het ene niveau zich opstapelt naar het volgende, dus om niveau 4 te bereiken, moet u volledig voldoen aan niveau 3. Elk niveau correleert met het niveau van verfijning van uw beveiligingspraktijken, te beginnen met basishygiëne en verhoging tot meer geavanceerde en proactieve maatregelen zoals het opsporen van bedreigingen in niveau 5. Met 171 controles van toenemende complexiteit, vraagt ​​u zich af waar u moet beginnen?

• Onderwijs jezelf: Begrijp de technische controles en het beleid zoals uiteengezet door de CMMC.
  • Hier is versie 1 van CMMC.
  • Hier is de veelgestelde vragen van CMMC.
• Bepaal welk niveau voor u geschikt is: Organisaties zullen moeten beslissen welk niveau van certificering ze willen. Organisaties die alleen FCI opslaan, kunnen inhoud zijn die CMMC-niveau 1 bereikt en organisaties die CUI opslaan en verwerken of die bijdragen aan meer gevoelige inspanningen, zullen waarschijnlijk gecertificeerd willen worden op CMMC-niveau 3 of hoger. Het DoD vermeldt de eis van het CMMC-niveau op het verzoek tot het indienen van voorstellen.
• Ken uzelf: Begrijp en documenteer uw omgeving van uw interne netwerk tot uw zakenpartners. Er wordt vaak gezegd dat "je niet kunt verdedigen wat je niet weet", en dat is waar. U moet uw segmentatie, systemen en aanvalsoppervlak begrijpen voordat u kunt hopen het te verdedigen.
• Zelfbeoordeling: Bepaal hoe u zich verhoudt tot de controles voor het certificeringsniveau dat uw organisatie zoekt. Identificeer eventuele controles waaraan momenteel niet wordt voldaan, plan hoe de problemen op te lossen en evalueer opnieuw. Bepaal voor toekomstige flexibiliteit wat er nodig is voor uw organisatie om het volgende niveau te bereiken.
• Koop in: We zijn zo sterk als onze zwakste schakel; begrijpen dat CMMC is ontworpen om de risico's van zakendoen in de defensiesector te helpen beperken. Sommige controles zijn eenvoudig of worden al uitgevoerd, en andere vereisen mogelijk ondersteuning van verschillende delen van uw organisatie. Mogelijk hebt u goedkeuringen, een verhoogd budget of sponsoring door het management nodig. Sommige bedieningselementen kunnen vanuit technisch oogpunt een zware last blijken te zijn. De hele organisatie moet zich inkopen, pragmatisch zijn en haar steentje bijdragen om de missie te ondersteunen en te beschermen.
• Wees flexibel: CMMC is nieuw en slaat bruggen tussen de grote complexe entiteiten met de DoD en DIB. Dit zijn enorme organisaties, er zijn nog onbekenden met CMMC en wat een maand geleden bekend was, kan veranderen. Dus wees flexibel, wees geduldig en weet dat we allemaal beter moeten doen om te beschermen wat we waarderen.

Of u nu gecertificeerd moet zijn voor CMMC Level 1 of 5, of misschien doet uw organisatie niet eens zaken met de DoD, de normen die door CMMC zijn uiteengezet, zijn een routekaart voor elke organisatie om hun cyberbeveiligingshouding te rijpen. Ongeacht uw startpunt, het bereiken van CMMC-compliance zal een uitdaging vormen voor zowel kleine als grote organisaties, maar het resultaat is de verbetering die we hard nodig hebben. Het beveiligen van onze gegevens en intellectueel eigendom is zowel logisch als absoluut noodzakelijk om een ​​technologische voorsprong op onze tegenstanders te behouden. Voortdurende beoordeling en verbetering van de praktijk van de basisprincipes van cyberbeveiliging zijn van het grootste belang om een ​​niveau van digitale weerbaarheid te bereiken waarmee we moderne dreigingen kunnen bestrijden.

Wayne Lloyd is federaal hoofd technologie bij RedSeal.