Halen siber güvenlik olgunluk modeli sertifikasını (CMMC) sadece BT endişesi olarak ele alan şirketler için riskler artmaktadır. ABD Savunma Bakanlığı (DOD) tarafından geliştirilen CMMC, bir kuruluşun yeteneklerini ölçen ve DOD’un tedarik zincirinin bir parçası olan şirketler için gerekli olan kapsamlı bir siber risk yönetimi modelidir. Bunu göz önünde bulundurarak, departman zaten daha katı uyum önlemlerini uygulamaya başladı ve tedarik zincirindeki denetimleri başarısız veya yanlış öz değerlendirmeler sağlayan işletmeler, sözleşme askıya alınmalarıyla karşılaşabilir.
CMMC uyumluluğunun elde edilmesi sadece tek seferlik bir proje değil, sürekli izleme, periyodik denetimler ve yönetim kurulu genelinde yüksek güvenlik seviyelerine bağlılık gerektiren devam eden bir süreçtir. ‘En zayıf bağlantı kadar güçlü’ ifadesi burada kesinlikle geçerlidir, çünkü olası güvenlik açıkları düşmanca aktörler tarafından kullanılabilir ve potansiyel olarak tüm DOD tedarik zincirlerini açık bırakır.
Sıkma düzenlemeleri
Sözleşmenin performansı sırasında DoD sözleşmeleri, görev emirleri, teslimat siparişleri veya yüklenici tarafından toplanan savunma bilgilerini ele alan herhangi bir şirket departmanı, davranışlarını ve süreçlerini buna göre ayarlamalıdır. Bu gereksinimler, DFARS maddesi 252.205-7012 kapalı savunma bilgilerini ve siber olay raporlamasını koruyan ve kontrollü sınıflandırılmamış bilgileri (CUI) veya federal sözleşme bilgilerini (FCI) ele alan tüm bireyleri, ekipleri ve şirketleri etkilemektedir.
Müteahhitler için Ulusal Standartlar ve Teknoloji Enstitüsü Özel Yayını 800-171, ‘Federal Olmayan Bilgi Sistemleri ve Kuruluşlarında Kontrollü Bilgilerin Korunması’ (NIST SP 800-171) Uygulanmasının yanı sıra 252.205-7012, Tedarik Zincirine daha fazla yer almaktadır.
Özellikle, yüklenici, sözleşmenin performansında kapsamlı bir savunma bilgilerini depolamak, işlemek veya iletmek için harici bir bulut hizmet sağlayıcısı kullanmayı planlıyorsa, daha fazla güvenlik önlemleri alınmalıdır. Bunlar, bulut servis sağlayıcının Federal Risk ve Yetkilendirme Yönetimi Programı (FedRamp) için hükümet tarafından sağlanan güvenlik gereksinimlerini karşılamasını sağlamaktır.
Bunun yanı sıra, bulut servis sağlayıcısı ayrıca DFARS maddesinde belirtilen siber olay raporlamasına, kötü amaçlı yazılım ve medya koruma ve koruma standartlarına da uymalıdır. Bu, adli analiz ve siber olay hasar değerlendirmesi için gerekli ek bilgi ve ekipmanlara erişim sağlamaya kadar uzanır.
Güvenlik ve Kendi Kendini Kertaniye
DFARS maddesi, yüklenicilerin NIST SP 800-171’i en geç 31 Aralık’ta uygulamaları gerektiğini ortaya koyuyorST2017’de tedarik zinciri kuruluşlarına ihtiyaç duyulan sistemleri ve protokolleri oluşturmak için 2020’ye bir pist verildi. En önemlisi, bu şirketlerin CMMC puanlama sistemi için, özellikle 14 alanda siber güvenlik duruşunu ve risk yönetimi uygulamalarını değerlendiren bir tedarikçi performans risk puanı (SPR) yoluyla kendi kendine katılmaları gerekiyordu.
+110 ila -203 arasında değişen bir skorda, ‘son derece güvenli’ ve ‘önemli endişe’ ye yayılan yüzlerce şirket süreçlerini gözden geçirdi ve kendilerine mükemmel bir puan verdi. Bununla birlikte, DOD Biden yönetimi sırasında bu şirketler üzerinde spot kontrolleri gerçekleştirdiğinde, işaretleri çılgınca farklılık gösterdi ve bazı puanlar -130 kadar düşük.
Köprü bilgisige boşlukları
Yönetici Emri 13556 tarafından kurulan ve 32 CFR Bölüm 170 tarafından uygulanan CUI programı şu anda yürütme şube ajansları ve departmanları için uygulanmaktadır. 15 Ekim 2024’te 32 CFR 170 Federal Kayıt’ta yayınlandı ve kodlandı. Daha sonra, kural 16 Aralık 2024’te yürürlüğe girdi. Kural, savunma yüklenicilerinin siber güvenlik duruşunu iyileştirmeyi amaçlayan CMMC programı için gereksinimleri özetliyor. Yürütme Şubesinde liderlik değişikliği ile 48 CFR, 28 Mart 2025’te yönetimin CMMC programına uyum sağlama isteğini yansıtmak üzere değiştirilmiştir.
Özellikle, Federal Yönetmeliğin (CFR) 48. Başlığı, federal hükümetin mal ve hizmetleri nasıl edindiğini belirleyen kural ve düzenlemeleri özetleyen Federal Satın Alma Yönetmeliği Sistemini (FAR) kapsamaktadır. Bu güncellemelerin temsil ettiği ilerlemeye rağmen, tedarik zincirinde belirsizlik ve yüklenicilerin benimsemesi gerektiği ve bunları ne kadar hızlı uygulamaları gerektiği devam etmektedir. Bu gerçek veya algılanan karışıklık, devam eden bir sorun yaratır. Yani, yükleniciler ve sorumlulukları arasında kabul edilebilir bir uygulamayı neyin oluşturduğu konusunda böyle bir kontrastla, tedarik zinciri ve DOD arasında bir bilgi boşluğu olduğu açıktır.
2017 gibi erken bir tarihten itibaren hazırlandıklarını düşünen kuruluşlar artık kendilerini CMMC uyumsuzluğuna düşebilirler. Federal sözleşmelere bağımlı şirketler için, bu beklenmedik maruziyet ve güvence eksikliği finansal ve itibar yankılarını belirledi.
Mevcut siber güvenlik uygulamalarını elden geçirme ihtiyacı, küçük ve orta ölçekli işletmeler için zorlu bir zamanda geliyor, çünkü birçoğu uyumluluk uygulamak için gerekli çalışmaları ele almak için kapsamlı ekipleri dağıtmak için kaynaklardan yoksundur. Bu nedenle beceri kıtlığı, şirketlerin CMMC uyumluluğuna geri dönmek için acele ettiği başka bir sorun olabilir, çünkü BT güvenlik uzmanları personeli gerekli yeterliliklerle işe alamayabilir.
Tedarik Zinciri Kaldıraç Uzmanlık
Yine de tedarik zincirinin engeller sunduğu yerlerde, çözümün bir parçası da olabilir. Uyumluluk gereksinimlerinin karmaşıklığı, bu bilgi boşluğu ile birleştiğinde, KOBİ’lerin CMMC olgunluklarını değerlendirmek ve mevcut protokollerin ayarlanması gerektiğini tavsiye etmek için üçüncü taraf uzmanlığından yararlandığı anlamına gelir.
Bu görevin aciliyeti göz önüne alındığında, etkilenen şirketlerdeki BT paydaşları, mümkün olan en iyi güvenceyi sağlamak için herhangi bir değerlendirmeden önce herhangi bir potansiyel ortağın kapsamlı bir inceleme sürecini gerçekleştirmelidir. İlk olarak, herhangi bir katılımcı uzmanın Minimum ve Tercihen CMMC Sertifikalı Profesyoneller (CCP’ler) ve CMMC Sertifikalı Değerlendiriciler (CCA’lar) tarafından Cyber-AB’den akreditasyon ile sertifikalı CMMC Kayıtlı Uygulayıcılar (RPS) olmasını sağlamalıdırlar. Bu, sonraki CMMC preparatlarının sertifikalı üçüncü taraf değerlendirme kuruluşları (C3PAOS) tarafından yürütülen resmi CMMC değerlendirmeleri ile tam olarak uyumlu olmasını sağlayacaktır.
Bir Yolu Açıklamak AP
Bu vakıftan, bir boşluk analizi anahtardır ve uygulayıcı, şirketin şu anda nerede iyi performans gösterdiğini tanımlamaktadır. Bu sürecin bir parçası olarak röportajlar, belgeler incelemeleri ve başka kanıtlar araştırmaları beklenmelidir.
Bu noktada, uzman ajansı tüm bulguları yönetici liderlik ve operasyonel ekip üyeleri tarafından gözden geçirilebilecek tek bir boşluk analizine ve pratik uyum yol haritası raporunda birleştirebilmelidir. Bu, ilerlemeyi izlemek için ayarlanan bir eylem planı ve kilometre taşı (POA & M) ile tutarlı bir formatta uygulama iyileştirmeleri ve iyileştirme faaliyetlerine ilişkin önerileri içermelidir.
Bir eylem planı açıkça ve etkili bir şekilde bir araya getirme yeteneği, genel güvence ve CMMC uyumlu protokollerin özel uygulanması için çok önemlidir. Böyle bir netlik fazla tahmin edilemez – en iyi uygulamanın şirket departmanları arasında, kendinden ve ötesinde inşa edildiği ve piyasaya sürüldüğü temeldir.
Ong sağlamakOing desteği
Bu planlama aşamasının ötesinde, iyi rasyonelleştirilmiş proje yönetimi, şirket çapında güvenceyi ve doğruluğu daha da artırmanın bir öncelik olması gerekir. CMMC uyumluluğunun DoD ile çalışan yükleniciler için önemi göz önüne alındığında, üçüncü taraf uzmanlığına danışma yeteneği, ekiplerin gereksinimleri karşılamak için en etkili iyileştirme önlemlerini belirlemelerine yardımcı olabilir. Ayrıca, bu tür kaynaklara erişim, üst düzey yönetim ve yönetici paydaşlarına yüksek kaliteli raporlama ve ilerleme güncellemelerinin oluşturulmasına yardımcı olabilir.
C3PAO’nun yaklaşımını ve tekniklerini doğrudan yansıtan tam kapsamlı bir CMMC ön değerlendirmesi, uyum sürecindeki bir başka kritik adımdır, çünkü bu BT güvenlik uzmanlarına ve üst yönetimine olası eksiklikler ve bunların nasıl ele alınabileceği hakkında kapsamlı raporlar sağlayacaktır. Bu uçtan uca süreci GAP analizinden denetime hazırlığa kadar benimseyerek, kuruluşlar CMMC uyumluluğu için gereken yüksek SPR’leri elde etmek için iyi konumlandırıldıklarından emin olabilirler.
CMMC uyumluluğunun elde edilmesi ve sürdürülmesi, kapsamlı bir yaklaşım gerektiren çok yönlü ve devam eden bir çabadır. Şirketler, kapsamlı boşluk analizleri yapmak ve iyi yapılandırılmış, aşamalı eylem planları uygulamak için üçüncü taraf uzmanlığından yararlanarak, DOD tarafından belirlenen katı gereksinimleri karşıladıklarından emin olabilirler.
Sürekli izleme, periyodik denetimler ve etkili proje yönetimi, yüksek seviyelerde siber güvenlik sağlamak ve hassas bilgilerin korunması için gereklidir. Nihayetinde, CMMC uyumluluğuna proaktif ve bilinçli bir yaklaşım, sadece tedarik zincirinin bütünlüğünü değil, aynı zamanda ilgili şirketlerin itibarını ve operasyonel istikrarını da koruyacaktır.
LRQA’nın CMMC Uyumluluk Hizmetleri hakkında daha fazla bilgi edinmek için bu bağlantıyı tıklayın
Yazar hakkında
Brian Rhodes, yönetişim, risk ve uyum (GRC) konusunda geniş deneyime sahip oldukça başarılı bir siber güvenlik uzmanıdır. Halen LRQA, Inc.’de CMMC, Americas’ın başkanı olarak görev yapıyor, Brian, kuruluşların Siber Güvenlik Olgunluk Modeli Sertifikası (CMMC) ve NIST SP 800-171’e uymasına yardımcı olmak için stratejik girişimlere liderlik ediyor. Sertifikalı bir CMMC Professional (CCP) olan Brian, savunma sanayi üssünde siber güvenlik direncini ilerletmeye adanmıştır.
Tanınmış bir endüstri düşünce lideri olarak Brian, LRQA personelinin uyumluluk en iyi uygulamaları konusunda eğitim ve mentorluk yaparken daha geniş CMMC ekosistemini bilgilendirmek ve bunlara dahil etmek için aylık eğitim web seminerleri yürütür. LRQA’ya katılmadan önce Brian, GRC sektöründe iş geliştirme konusunda uzmanlaşmış Ifortriss, Inc.’de liderlik pozisyonu düzenledi.
IFORTRISS’ten önce Brian, Comcast Business, Inc.’de Enterprise Solutions yöneticisi olarak görev yaptı. Bu rolde Fortune 100 şirketlerinde ülke çapında hesapları yönettiler ve perakende, sağlık, teknoloji ve konaklama sektörlerinde yenilikçi çözümler sundular. Kariyerlerinin başlarında Brian, yüksek öğrenim alanında lider ve eğitim alan ve eğitim alanında birkaç yıl geçirdi.
Olağanüstü performans ve siber güvenliğe derin bir bağlılıkla işaretlenen bir kariyer ile Brian, GRC alanında anlamlı bir etki yaratmaya devam ediyor. CMMC, yasal uyumluluk ve siber güvenlik stratejisindeki uzmanlıkları onları sektörde aranan bir lider ve danışman haline getirir. Bilgi paylaşımı ve mesleki büyüme konusunda tutkulu olan Brian, kuruluşların siber güvenlik duruşlarını güçlendirmeleri ve uyum mükemmelliği elde etmeleri için güçlendirmeye adanmıştır.