Dan Firrincili, Kıdemli Müdür, Deltek Ürün Pazarlama
2021’de Başkan Biden, hükümetin satın aldığı yazılımlar için yeni güvenlik standartları belirleyen ve devlet yüklenicileri için siber güvenlik uygulamalarının önemini vurgulayan Siber Güvenlik İcra Emri 14028’i yasalaştırdı.
Başkan Biden’ın yürütme emri ve NIST 800-171 gibi mevzuat, federal yükleniciler için çıtayı açıkça yükseltiyor. Bir yüklenicinin güvenlikle ilgili düzenlemelere uyma yeteneği, ajanslar potansiyel ortakları değerlendirirken artık önemli bir faktördür. Federal sözleşmeleri kazanma ihtimalini artırmak için yükleniciler, değişen hükümet düzenlemelerine uymaya devam etmek için siber güvenliği iyileştirmeye öncelik vermelidir.
- Hangi gereksinimlerin en alakalı olduğunu belirleyin
Uyumluluk son tarihleri, şüphelenmeyen yüklenicileri kör edebilir ve onları kaybedilen zamanı telafi etmek için çabalamaya bırakabilir. Kuruluşların uyması gereken uzun bir yönergeler listesiyle, ayrıntıların gözden kaçması kolaydır, bu nedenle ekibinizin karşılaması gereken gereksinimleri anlaması gerekir.
Öncelikle, birlikte çalışmak istediğiniz federal kurumları ve kuruluşunuzun uygun olduğu sözleşmeleri belirlemek isteyeceksiniz. Örneğin, Dell Technologies (bir BT yüklenicisi), Boeing’den (bir havacılık yüklenicisi) farklı gereksinimleri karşılamalıdır. DoD’nin ötesinde, İç Güvenlik Bakanlığı (DHS) ve Genel Hizmetler İdaresi (GSA) gibi sivil kurumlar da genişletilmiş düzenlemeleri değerlendiriyor. Bu, dahili siber güvenliğin, savunma sanayi dışındaki herhangi bir yüklenici için de yüksek bir öncelik haline geleceği anlamına geliyor.
Diğer bir husus, istediğiniz sözleşmeyi güvence altına almak için bir Siber Güvenlik Olgunluk Modeli Sertifikası (CMMC) almanız gerekip gerekmediğidir. CMMC’ye ihtiyacınız varsa, son tarih olan Mayıs 2023’e kadar birinci düzey, ikinci düzey veya üçüncü düzey sertifikasyonu takip edip etmeyeceğinize karar vermeniz gerekir.
- bulutu düşünün
Savunma Bakanlığı, Kasım 2021’de orijinal CMMC’yi askıya alan ve onu CMMC 2.0 ile değiştiren bir basın açıklaması yayınladı. CMMC 2.0, CUI’yi korumak için yeni öncelikler belirledi ve 2025 yılına kadar bu yeni gereksinimleri karşılamak için dönmeniz gerekecek. Bu değişikliklerle birlikte, şirketlerin uyumluluğu sürdürmek için adımlar attığına dair göstergeler var. 2022 Clarity raporu, şirketlerin çoğunluğunun (%59) CMMC gerekliliklerinin işleri için geçerli olduğunu kabul ettiğini ve bu grubun çoğunun (%83) Seviye 2 veya 3’e ulaşmak için planlar yaptığını ortaya koydu.
Düzenlemeler geliştikçe, sürekli olarak benzer şekillerde dönmeniz gerekecek ve bulut tabanlı bir sistem yardımcı olabilir. Bulut, şirket içi çözümlerden daha fazla veri görünürlüğü sağlar ve doğru sağlayıcı, CUI’yi güvende tutmanıza olanak tanır. Bazı bulut sağlayıcıları, ITAR, CDI ve CTI gibi daha hassas CUI veri türleri için gelişmiş destek sunar. Bulut, düzenleyici kurumlar için önemli bir odak noktası olan erken tehdit algılamayı da etkinleştirebilir.
Son olarak, hassas uygulamaları ve CUI’yi şirket içinde bırakmak, Başkan Biden’ın yürütme emrinde ele alınan bilgilerin hükümetle uygun şekilde paylaşılması için bir engel oluşturuyor. Öte yandan, bir bulut ortamı size bilgileri zamanında bulmanız ve iletmeniz için görünürlük sunar.
- Saygın bir sağlayıcıyla ortak olun
Bir uyumluluk yolculuğunda gezinmek tek başına zordur, bu nedenle kuruluşunuzun belirli uyumluluk gereksinimlerini karşılamasına yardımcı olabilecek güvenilir bir proje yönetimi sağlayıcısıyla ortaklık kurmalısınız. Sağlayıcı, hükümet düzenlemelerini izleme ve sektördeki diğer kuruluşlarla çalışma konusunda kanıtlanmış bir geçmişe sahip olmalıdır. Potansiyel bir ortaktan istenecek iyi bir veri noktası, müşterilerinin resmi federal kurum değerlendirmelerini geçmedeki başarı oranıdır.
Daha güçlü güvenlik, müteahhitlerin Savunma Bakanlığı dolarlarını almasına yardımcı oluyor
Bir Savunma Bakanlığı (DoD) sözleşmesi, herhangi bir federal yüklenici için bir ödüldür. Ancak, küçük işletmelerin yerine getirdiği federal sözleşmelerin sayısı 2010’dan 2020’ye yaklaşık %40 düştüğünden, daha az yerleşik yükleniciler bu sözleşmeleri elde etmek için mücadele edebilirler. Daha da geriye gidersek, havacılık ve savunma ana yüklenicilerinin sayısı 51’den yalnızca 1990’lardan beri beş.
DoD sözleşmeleri için rekabet yeterince şiddetli, ancak federal yükleniciler daha fazla güvenlik ve uyumluluk önlemlerine yatırım yapmazlarsa, kendilerini değerlendirme dışı bırakacaklar. Bununla birlikte, daha küçük yükleniciler, yüksek başlangıç maliyetleri ve federal kurumların düzenlemelerini güncelleme sıklığı nedeniyle genellikle siber güvenlik uygulamalarını iyileştirmekte zorlanıyor.
Federal yüklenicilerin kişisel veriler, ekipman özellikleri ve fikri mülkiyet gibi kontrollü, sınıflandırılmamış bilgileri (CUI) nasıl ele alması gerektiğini ayrıntılarıyla anlatan NIST 800-171’i göz önünde bulundurun. NIST, sertifikayı 2020 ve 2018’de revize ettikten sonra muhtemelen 2022’de yeni bir SP 800-171 revizyonu duyuracaktır. Her yeni sürüm değiştirilmiş kontroller içerir — şu an itibariyle 110 adet yürürlüktedir. Yükleniciler, yedekleri ve harici sürücüleri güvenli bir şekilde ele almalı, personelini CUI işleme konusunda eğitmeli, bir veri ihlali müdahale planı oluşturmalı ve uyumlu kalmak için çok daha fazlasını yapmalıdır.
Toplam uyumun söylenmesi yapmaktan daha kolaydır. Bir 2020 raporu, kuruluşların yalnızca %53’ünün her NIST-800 gereksinimini karşıladığını ortaya koydu. Ancak ileriye dönük olarak, müteahhitler, özellikle yeni müteahhitler için giriş engeli bu kadar yüksekken, artık kayıtsız kalmayı göze alamazlar. Siber güvenliğe daha fazla ilgi gösterildiğinden, yüklenicinin sunduğu ürün türü ne olursa olsun, rakip yüklenicilerin önünde tam uyum sağlama yeteneği hayati önem taşımaktadır.
Yüklenicilerin tam uyumluluğa ulaşmak için atabilecekleri 3 adım
SolarWinds tedarik zinciri saldırısı ve Colonial Pipeline fidye yazılımı saldırısı gibi yüksek profilli güvenlik ihlalleri, Başkan Biden’ın yürütme emrine yol açtı – ve bunun iyi bir nedeni var. Bu saldırılara karışan bilgisayar korsanları, algılamayı atlamak ve değerli verilere erişim elde etmek için karmaşık yöntemler kullandı.
Daha küçük yükleniciler genellikle büyük kuruluşların başına bela olan aynı saldırıların kurbanı olmayacaklarını varsaysalar da, kuruluşunuz da dahil olmak üzere herkesin başına bir siber saldırı gelebilir. Deltek’in yakın tarihli 2022 Clarity Devlet Müteahhitlik Sektörü Araştırmasında, işletmelerin çoğunluğunun aynı veya daha az siber güvenlik olayı yaşadığı 2020 yılına kıyasla, yanıt verenlerin yarısından fazlası 2021 takvim yılında siber güvenlik olaylarında artış bildirdi. Güvenlik zorlukları açısından, %41 Yanıtlayanların oranı, eylem veya düzeltme gerektiren güvenlik sorunları yaşadı. Örneğin, en sık bahsedilenler veri ihlalleri (%59), fidye yazılımı ve kimlik avı (%50) ve virüslerdir (%48). Kuruluşunuz, kurumsal siber güvenlik uygulamalarını iyileştirmeyi ve tam uyumluluğu sürdürmeyi taahhüt etmedikçe, nihai olarak bir saldırı kaçınılmazdır.
Neyse ki, sizin ve ekibinizin siber güvenliği güçlendirmek ve tam uyumluluk göstermek için atabileceğiniz birkaç adım var:
- Hangi gereksinimlerin en alakalı olduğunu belirleyin
Uyumluluk son tarihleri, şüphelenmeyen yüklenicileri kör edebilir ve onları kaybedilen zamanı telafi etmek için çabalamaya bırakabilir. Kuruluşların uyması gereken uzun bir yönergeler listesiyle, ayrıntıların gözden kaçması kolaydır, bu nedenle ekibinizin karşılaması gereken gereksinimleri anlaması gerekir.
Öncelikle, birlikte çalışmak istediğiniz federal kurumları ve kuruluşunuzun uygun olduğu sözleşmeleri belirlemek isteyeceksiniz. Örneğin, Dell Technologies (bir BT yüklenicisi), Boeing’den (bir havacılık yüklenicisi) farklı gereksinimleri karşılamalıdır. DoD’nin ötesinde, İç Güvenlik Bakanlığı (DHS) ve Genel Hizmetler İdaresi (GSA) gibi sivil kurumlar da genişletilmiş düzenlemeleri değerlendiriyor. Bu, dahili siber güvenliğin, savunma sanayi dışındaki herhangi bir yüklenici için de yüksek bir öncelik haline geleceği anlamına geliyor.
Diğer bir husus, istediğiniz sözleşmeyi güvence altına almak için bir Siber Güvenlik Olgunluk Modeli Sertifikası (CMMC) almanız gerekip gerekmediğidir. CMMC’ye ihtiyacınız varsa, son tarih olan Mayıs 2023’e kadar birinci düzey, ikinci düzey veya üçüncü düzey sertifikasyonu takip edip etmeyeceğinize karar vermeniz gerekir.
- bulutu düşünün
Savunma Bakanlığı, Kasım 2021’de orijinal CMMC’yi askıya alan ve onu CMMC 2.0 ile değiştiren bir basın açıklaması yayınladı. CMMC 2.0, CUI’yi korumak için yeni öncelikler belirledi ve 2025 yılına kadar bu yeni gereksinimleri karşılamak için dönmeniz gerekecek. Bu değişikliklerle birlikte, şirketlerin uyumluluğu sürdürmek için adımlar attığına dair göstergeler var. 2022 Clarity raporu, şirketlerin çoğunluğunun (%59) CMMC gerekliliklerinin işleri için geçerli olduğunu kabul ettiğini ve bu grubun çoğunun (%83) Seviye 2 veya 3’e ulaşmak için planlar yaptığını ortaya koydu.
Düzenlemeler geliştikçe, sürekli olarak benzer şekillerde dönmeniz gerekecek ve bulut tabanlı bir sistem yardımcı olabilir. Bulut, şirket içi çözümlerden daha fazla veri görünürlüğü sağlar ve doğru sağlayıcı, CUI’yi güvende tutmanıza olanak tanır. Bazı bulut sağlayıcıları, ITAR, CDI ve CTI gibi daha hassas CUI veri türleri için gelişmiş destek sunar. Bulut, düzenleyici kurumlar için önemli bir odak noktası olan erken tehdit algılamayı da etkinleştirebilir.
Son olarak, hassas uygulamaları ve CUI’yi şirket içinde bırakmak, Başkan Biden’ın yürütme emrinde ele alınan bilgilerin hükümetle uygun şekilde paylaşılması için bir engel oluşturuyor. Öte yandan, bir bulut ortamı size bilgileri zamanında bulmanız ve iletmeniz için görünürlük sunar.
- Saygın bir sağlayıcıyla ortak olun
Bir uyumluluk yolculuğunda gezinmek tek başına zordur, bu nedenle kuruluşunuzun belirli uyumluluk gereksinimlerini karşılamasına yardımcı olabilecek güvenilir bir proje yönetimi sağlayıcısıyla ortaklık kurmalısınız. Sağlayıcı, hükümet düzenlemelerini izleme ve sektördeki diğer kuruluşlarla çalışma konusunda kanıtlanmış bir geçmişe sahip olmalıdır. Potansiyel bir ortaktan istenecek iyi bir veri noktası, müşterilerinin resmi federal kurum değerlendirmelerini geçmedeki başarı oranıdır.
Tipik olarak yeni teknolojilerin uygulanmasıyla ilgili zorluklar göz önüne alındığında, aramanızda sağlayıcının müşteri hizmetleri yeteneklerine de öncelik vermelisiniz. Uygulama aşamasında, bir sağlayıcıdan geciken bir yanıt, başka bir kuruluşa binlerce dolarlık sözleşme parası gitmesi anlamına gelebilir. Doğru sağlayıcı, potansiyel aksaklıklara hızlı bir şekilde yanıt vererek, tam uyumluluğu rakiplerinizin önüne geçirmeniz için size rehberlik edebilir.
Uyumluluk yalnızca daha zor ve daha önemli hale gelecek
Siber suçlular, CUI’ye erişme girişimlerinde devlet ortaklarını hedef almanın yeni yollarını bulmaya devam edecek. Durum böyle olduğu sürece, sürekli genişleyen bir siber güvenlik uyumluluk standartları listesiyle uğraşmayı bekleyebilirsiniz.
Ancak birkaç en iyi uygulamayı takip ederek kuruluşunuz, kendisini siber güvenlik gecikmelerinden ayırarak ve kârlılığı artıran değerli sözleşmeleri güvence altına alma becerinizi artırarak tam uyumluluğa ulaşmak için çalışabilir.
yazar hakkında
Deltek Ürün Pazarlama Kıdemli Müdürü Dan Firrincili. Deltek’te Ürün Stratejisi ve Yönetimi grubunda Ürün Pazarlama Müdürüdür. Rolünde, devlet müteahhitlik firmalarının Deltek’in proje muhasebesi ve bilgi ürünlerine yapılan yatırımların daha uyumlu, kârlı bir kamu sektörü deneyimini desteklemeye nasıl yardımcı olabileceğini anlamalarına yardımcı oluyor. Dan ayrıca, Deltek Clarity de dahil olmak üzere devlet müteahhitlik sektörü için analiz ve fikir liderliği kaynakları üretmekle ilgileniyor.
Dan’e online olarak Linkedin’den ve şirketimizin web sitesi https://www.deltek.com/en adresinden ulaşılabilir.