การนำใบรับรอง Cybersecurity Maturity Model Certification (CMMC) ของกระทรวงกลาโหมไปปฏิบัตินั้นได้รับผลตอบรับที่หลากหลาย แต่ก็ไม่ใช่ว่าผลเสียทั้งหมดจะเป็นไปตามที่เห็นสมควร มีความกังวลที่ถูกต้องเกี่ยวกับความต้องการด้านต้นทุนสำหรับธุรกิจขนาดเล็กที่หวังว่าจะชนะสัญญากับ DoD แต่การพูดคุยนั้นมีปฏิกิริยามากกว่าเชิงกลยุทธ์ อย่าถูกครอบงำด้วยความกลัว ความไม่แน่นอน และความสงสัย ให้พิจารณาแทนว่า CMMC เป็นส่วนหนึ่งของความต้องการที่มากขึ้นสำหรับโปรแกรมความปลอดภัยทางไซเบอร์ภายในองค์กรของคุณ
การจัดการความเสี่ยงทางไซเบอร์เป็นต้นทุนในการทำธุรกิจในโลกดิจิทัล
ในปัจจุบัน การเปิดรับความปลอดภัยทางไซเบอร์ซึ่งเป็นส่วนหนึ่งของกลยุทธ์การจัดการความเสี่ยงโดยรวมของธุรกิจจะทำให้คุณอยู่ในตำแหน่งที่ดีขึ้นเพื่อคงเป็นสมาชิกที่ทำงานได้ของระบบนิเวศของ DoD
ไม่มีใครจำเป็นต้องได้รับการเตือนถึงความรุนแรงของการโจมตีทางไซเบอร์ในปีที่ผ่านมา ซึ่งเป็นการส่งสัญญาณถึงการเสริมสร้างมาตรการรักษาความปลอดภัยที่จำเป็นทั่วทั้งรัฐบาลกลาง ความมั่นคงของชาติเป็นเดิมพันและ CMMC พยายามที่จะวางความรับผิดชอบด้านความปลอดภัยบางอย่างกับผู้รับเหมาหลักและผู้รับเหมาช่วง ขึ้นอยู่กับระดับของข้อมูลที่มีความเสี่ยงที่พวกเขาทำงาน
ในแง่ของความพยายามที่จะใช้ประโยชน์จากการขยายตัวของพื้นผิวภัยคุกคามของรัฐบาลกลาง รูปแบบการรักษาความปลอดภัยที่เป็นมาตรฐานควรไม่สามารถต่อรองได้สำหรับทุกสิ่งที่จัดการข้อมูลของรัฐบาล การบล็อกข้อความบนเซิร์ฟเวอร์คิดเป็นมากกว่า 50% ของเป้าหมายของการโจมตีทางไซเบอร์ในสหรัฐอเมริกา การมีและจัดการข้อมูลสำคัญของรัฐบาล แต่มักขาดมาตรการรักษาความปลอดภัยทางไซเบอร์ที่ทันสมัยและมีประสิทธิภาพ ผู้รับเหมาธุรกิจขนาดเล็กเป็นเป้าหมายตามธรรมชาติสำหรับแฮ็กเกอร์และผู้ไม่หวังดี
ข้อมูลเชิงลึกโดย Eightfold: ค้นพบว่าข้อมูล เทคโนโลยี
และกลยุทธ์การสรรหาใหม่ช่วยให้ USDA, EPA, GSA, NASA และ NIH ประสบความสำเร็จในการแข่งขันหาผู้มีความสามารถได้อย่างไร โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของเทคโนโลยีขั้นสูง วิทยาศาสตร์ และตำแหน่งอื่น ๆ ที่ยากต่อการบรรจุ
แม้ว่าการได้รับการรับรอง CMMC จะดูน่ากลัว แต่ก็มีขั้นตอนที่สมเหตุสมผลที่ธุรกิจสามารถดำเนินการได้ในขณะนี้เพื่อเริ่มกระบวนการและจัดการเส้นทางการปฏิบัติตามกฎระเบียบให้มีประสิทธิภาพสูงสุด รวมถึงการออกแบบโปรแกรมความเสี่ยงทางไซเบอร์ที่สร้างสมดุลระหว่างความปลอดภัยกับความต้องการและความสามารถของธุรกิจของคุณ
พิจารณารูปแบบธุรกิจของคุณในบริบทของงานและบริการที่คุณมอบให้กับรัฐบาล ธุรกิจของคุณเหมาะสมกับห่วงโซ่อุปทานของรัฐบาลกลางตรงไหน? ตัวอย่างเช่น ธุรกิจที่ได้รับมอบหมายให้ให้บริการด้านภูมิทัศน์แก่ทรัพย์สินของรัฐบาลกลาง มีแนวโน้มที่จะไม่จัดการกับ CUI ดังนั้นความเสี่ยงทางไซเบอร์ของพวกเขาจะต่ำกว่าธุรกิจที่ได้รับมอบหมายให้พัฒนาระบบอาวุธอย่างมาก
ระหว่าง 70-80% ของฐานอุตสาหกรรมกลาโหมต้องการ CMMC ระดับ 1 เท่านั้น — เลยทีเดียว สำหรับองค์กรที่ต้องปฏิบัติตาม CMMC ระดับ 3 ขึ้นไป ค่าใช้จ่ายที่เกี่ยวข้องกับทั้งทรัพยากรและระบบอัตโนมัติที่จำเป็นในการจัดการความเสี่ยงทางไซเบอร์ของบริษัทของคุณจะเพิ่มขึ้น การบรรลุวุฒิภาวะในระดับที่สูงขึ้นภายใต้ CMMC นั้นจำเป็นต้องมีการจัดการอย่างต่อเนื่องของการดำเนินงานประจำวันของความสามารถด้านความปลอดภัยในโลกไซเบอร์ของคุณ เมื่อมันแข็งแกร่งขึ้น (เช่น แก่เต็มที่) ค่าใช้จ่ายในการรักษาความสามารถนั้นก็เพิ่มขึ้นเช่นกัน อย่างไรก็ตาม มันไม่ได้ใกล้เคียงกับต้นทุนของการละเมิดข้อมูลในแง่ของการฟ้องร้อง การเรียกค่าไถ่ การกู้คืนความเสียหาย ชื่อเสียง และ/หรือค่าปรับ ที่มีราคาแพง
ไม่แน่ใจว่าจะเริ่มต้นที่ไหนหรืออย่างไร จ้างที่ปรึกษา นี่คือที่ซึ่งการจ้างที่ปรึกษาบริการที่ไม่เชื่อเรื่องพระเจ้าสำหรับเป้าหมายที่ตั้งไว้สามารถช่วยองค์กรของคุณได้จริงๆ ผู้ให้บริการที่ไม่เชื่อเรื่องพระเจ้าจะจัดลำดับความสำคัญของสิ่งที่ตอบสนองความต้องการทางธุรกิจของคุณได้ดีที่สุด แทนที่จะขายสูตรของสินค้าและบริการจากหุ้นส่วนรายเดียว มันไม่ได้เป็นการประหยัดต้นทุนอย่างที่คุณคิด พิจารณาภาพรวมทางไซเบอร์ทั้งหมดขององค์กรและจุดที่คุณเริ่มต้น ความต้องการทางธุรกิจของคุณอยู่ที่ใดและอย่างไรจากมุมมองด้านไอที — ในสถานที่ ในระบบคลาวด์ หรือทั้งสองอย่าง คุณใช้จ่ายเกินความจำเป็นในการจัดเก็บและรักษาความปลอดภัยหรือไม่?
CMMC ไม่ใช่สูตรสำเร็จขนาดเดียว ดังนั้นการมีความเห็นจากผู้เชี่ยวชาญเกี่ยวกับแนวทางการดำเนินการที่ดีที่สุดสำหรับธุรกิจและรูปแบบธุรกิจเฉพาะของคุณจึงช่วยได้ แม้ว่าคุณจะไม่แน่ใจว่าระดับ CMMC เป้าหมายของธุรกิจของคุณต้องอยู่ในระดับใดจึงจะประมูลสัญญา DoD ได้ สิ่งสำคัญคือต้องเริ่มกระบวนการรับรองในทุกวิถีทางที่คุณทำได้ อย่างน้อยที่สุด ให้เริ่มต้นที่ CMMC ระดับ 1 และพยายามปฏิบัติตามสุขอนามัยทางไซเบอร์ขั้นพื้นฐาน โดยไม่คำนึงว่าท้ายที่สุดแล้วบริษัทของคุณจะต้องผ่านการรับรองในระดับที่สูงกว่าหรือไม่ ดีกว่าดำเนินการตอนนี้ดีกว่าไม่ทำอะไรเลย
จากจุดนั้น คุณจะได้รับความเข้าใจที่ดีขึ้นเกี่ยวกับจุดที่คุณเหมาะสมกับกรอบงาน CMMC และกำหนดเป้าหมายด้านสุขอนามัยในโลกไซเบอร์ที่แข็งแกร่งยิ่งขึ้นตามนั้น การปฏิบัติตามมาตรฐานการปฏิบัติตาม
