ซัพพลายเออร์ด้านการป้องกันประเทศได้รับการกระตุ้นให้ปฏิบัติตาม Cybersecurity Maturity Model Certification (CMMC) หากไม่เช่นนั้นจะเสี่ยงต่อการสูญเสียตำแหน่งในห่วงโซ่อุปทานของกระทรวงกลาโหม (DoD)
คำเตือนจาก LRQA มุ่งเป้าไปที่วิสาหกิจขนาดกลางและขนาดย่อม (SMEs) โดยเฉพาะ เพื่อให้แน่ใจว่ามีการกำหนดโปรโตคอลเพื่อให้มั่นใจถึงการปฏิบัติตาม
CMMC เป็นกรอบข้อกำหนดที่ออกแบบมาเพื่อบังคับใช้การคุ้มครองข้อมูลลับที่ไม่เป็นความลับซึ่งกระทรวงกลาโหมแบ่งปันกับผู้รับเหมาและผู้รับเหมาช่วง กรอบข้อกำหนดเวอร์ชันล่าสุดนี้มีมาตรฐานที่เข้มงวดยิ่งขึ้นสำหรับการตรวจสอบของกระทรวงกลาโหม และในไม่ช้าผู้รับเหมาอาจต้องแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนดผ่านการรับรองเพื่อให้ยังคงมีสิทธิ์ทำสัญญากับกระทรวงกลาโหมได้ เมื่อ CMMC 2.0 ถูกนำมาใช้เต็มรูปแบบ
SMEs อยู่ภายใต้แรงกดดันที่เพิ่มขึ้นในการปรับปรุงระบบความปลอดภัยเนื่องจากกฎระเบียบ CMMC เข้มงวดยิ่งขึ้น ในสภาพแวดล้อมที่มีการแข่งขันสูง บริษัทขนาดเล็กต้องเผชิญกับความท้าทายที่เพิ่มขึ้น ตั้งแต่ความเชี่ยวชาญภายในองค์กรที่จำกัดไปจนถึงความตึงเครียดทางการเงินจากการอัปเกรดโปรโตคอลความปลอดภัยอย่างต่อเนื่อง การเปลี่ยนจากการประเมินตนเองไปสู่การตรวจสอบที่เข้มงวดโดยรัฐบาลสำหรับมาตรฐานต่างๆ รวมถึง CMMC อาจทำให้ SMEs ที่ไม่มีทีมงานด้านความปลอดภัยทางไซเบอร์โดยเฉพาะมีความเสี่ยงเป็นพิเศษ
แม้ว่าบริษัทหลายแห่งจะบริหารจัดการความปลอดภัยภายในมาโดยตลอด โดยถือว่า CMMC เป็นขอบเขตอำนาจหน้าที่ของแผนกไอที แต่ความจริงก็คือ CMMC ได้ขยายขอบเขตออกไปไกลเกินกว่าไอที รวมไปถึงการรักษาความปลอดภัยทางกายภาพของเอกสารและสถานที่ต่างๆ ด้วย
ความซับซ้อนที่เพิ่มมากขึ้นของการปฏิบัติตามข้อกำหนดทำให้แนวทาง "ตรวจสอบทุกขั้นตอน" ไม่เพียงพออีกต่อไป หากไม่ได้รับการสนับสนุนเฉพาะทาง คาดว่า SMEs จะต้องดิ้นรนเพื่อจัดการกับความต้องการในการปฏิบัติตามข้อกำหนดและภัยคุกคามที่เปลี่ยนแปลงอย่างรวดเร็ว ซึ่งหมายความว่าพวกเขาอาจพลาดสัญญาที่มีกำไรและเสี่ยงต่อการถูกโจมตีทางไซเบอร์
Simon Payne กรรมการผู้จัดการฝ่ายความปลอดภัยทางไซเบอร์ระดับโลกของ LRQA กล่าวว่า “สำหรับ SME จำนวนมาก ความท้าทายไม่ได้อยู่ที่การใช้มาตรการรักษาความปลอดภัยเพียงอย่างเดียวเท่านั้น แต่ยังรวมถึงการก้าวให้ทันกับสภาพแวดล้อมด้านกฎระเบียบที่เปลี่ยนแปลงอยู่ตลอดเวลาอีกด้วย การมีส่วนร่วมกับผู้เชี่ยวชาญภายนอกช่วยให้ธุรกิจเหล่านี้สามารถใช้ประโยชน์จากทักษะเฉพาะทาง และมั่นใจได้ว่าแนวทางปฏิบัติด้านความปลอดภัยของพวกเขาไม่เพียงแต่เป็นไปตามข้อกำหนดในปัจจุบันเท่านั้น แต่ยังมีความยืดหยุ่นเพียงพอที่จะรับมือกับความท้าทายในอนาคตได้อีกด้วย”
ผู้ให้บริการภายนอกสามารถนำข้อมูลเชิงลึกจากผู้เชี่ยวชาญและความเข้าใจอย่างลึกซึ้งเกี่ยวกับข้อกำหนดการปฏิบัติตามข้อกำหนดปัจจุบันมาช่วยให้ธุรกิจสามารถตัดความซับซ้อนที่อาจเป็นอุปสรรคต่อการปฏิบัติตามข้อกำหนดได้ การสนับสนุนจากภายนอกนี้ช่วยให้ทีมงานภายในสามารถมุ่งเน้นไปที่ลำดับความสำคัญของตนเองได้ในขณะที่ยังคงมั่นใจได้ว่าความเสี่ยงทางไซเบอร์ได้รับการจัดการตามมาตรฐานสูงสุด แนวทางนี้สามารถนำไปสู่การจัดสรรทรัพยากรที่มีประสิทธิภาพมากขึ้นและช่วยให้ธุรกิจหลีกเลี่ยงต้นทุนที่อาจก่อให้เกิดความหายนะจากการละเมิดความปลอดภัยได้
Scott Dawson ซีอีโอของ Core Business Solutions (CBS) ซึ่ง ถูก LRQA เข้าซื้อกิจการ เมื่อไม่นานนี้ กล่าวว่า “การนำความเชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากภายนอกมาใช้ไม่ได้หมายถึงการมอบหมายความรับผิดชอบให้บุคคลภายนอกทำแทน แต่เป็นการเสริมความสามารถภายในองค์กรอย่างชาญฉลาด” CBS เป็นผู้ให้บริการที่ปรึกษาการปฏิบัติตามข้อกำหนดที่ตั้งอยู่ในสหรัฐอเมริกา ซึ่งช่วยลดความซับซ้อนของกระบวนการรับรอง โดยเน้นหนักไปที่มาตรฐานด้านคุณภาพ ความปลอดภัยทางไซเบอร์ สิ่งแวดล้อม และไอที
Scott กล่าวต่อว่า “CMMC เป็นชุดข้อกำหนดที่ซับซ้อนและมีรายละเอียด ซึ่งรวมถึงการควบคุมความปลอดภัยทางกายภาพโดยละเอียด เช่น วิธีจัดเก็บและเข้าถึงเอกสารสำคัญ ซึ่งต้องมีมาตรการต่างๆ เช่น การจัดเก็บแบบล็อกและจำกัดการเข้าถึง การปฏิบัติตาม CMMC ไม่ใช่อำนาจหน้าที่ของฝ่ายไอทีเพียงฝ่ายเดียว แต่เป็นความรับผิดชอบของธุรกิจโดยรวม โดยการทำงานร่วมกับพันธมิตรเฉพาะทาง SMEs สามารถเอาชนะข้อจำกัดโดยธรรมชาติของทรัพยากรของตนเองและเข้าถึงแนวทางปฏิบัติที่ดีที่สุดล่าสุดได้ นับเป็นการก้าวไปสู่การปรับปรุงและการรับรองอย่างต่อเนื่อง”
เนื่องจากภัยคุกคามทางไซเบอร์ทั่วโลกมีการพัฒนาและมาตรฐานต่างๆ เช่น CMMC เข้มงวดยิ่งขึ้น SMEs จึงต้องปรับตัว มิฉะนั้นอาจเสี่ยงต่อการล้าหลังได้ ด้วยการสนับสนุนจากบุคคลภายนอก ธุรกิจเหล่านี้สามารถรับมือกับกฎระเบียบที่ซับซ้อนได้ดีขึ้น ปกป้องข้อมูลที่สำคัญ และสุดท้ายก็สร้างอนาคตที่ยืดหยุ่นยิ่งขึ้น
