Pemasok pertahanan telah didesak untuk memastikan kepatuhan terhadap Cybersecurity Maturity Model Certification (CMMC) atau berisiko kehilangan tempatnya dalam rantai pasokan Department of Defense (DoD).
Peringatan dari LRQA secara khusus ditujukan kepada usaha kecil dan menengah (UKM) untuk memastikan adanya protokol untuk memastikan kepatuhan.
CMMC adalah kerangka kerja persyaratan yang dirancang untuk menegakkan perlindungan informasi sensitif yang tidak diklasifikasikan yang dibagikan oleh Dephan dengan kontraktor dan subkontraktornya. Versi terbaru dari kerangka kerja ini memiliki standar yang lebih ketat dengan Dephan yang melakukan audit, dan kontraktor mungkin akan segera diminta untuk menunjukkan kepatuhan melalui sertifikasi agar tetap memenuhi syarat untuk kontrak Dephan, setelah CMMC 2.0 diimplementasikan sepenuhnya.
UKM berada di bawah tekanan yang semakin besar untuk meningkatkan sistem keamanan seiring dengan semakin ketatnya peraturan CMMC. Dalam lingkungan yang sangat kompetitif, perusahaan yang lebih kecil menghadapi tantangan yang semakin besar, mulai dari keahlian internal yang terbatas hingga tekanan keuangan untuk terus meningkatkan protokol keamanan mereka. Pergeseran dari penilaian mandiri ke audit ketat yang dipimpin pemerintah untuk standar termasuk CMMC, dapat membuat UKM tanpa tim keamanan siber yang berdedikasi menjadi sangat rentan.
Meskipun banyak perusahaan secara historis mengelola keamanan secara internal, dengan menganggap CMMC sebagai bagian dari departemen TI, namun kenyataannya CMMC jauh lebih luas daripada TI, hingga ke keamanan fisik dokumen dan bangunan.
Semakin berkembangnya kerumitan kepatuhan berarti bahwa pendekatan “check-the-box” tidak lagi memadai. Tanpa dukungan khusus, UKM diperkirakan akan kesulitan mengelola tuntutan kepatuhan dan ancaman yang berkembang pesat, yang berarti mereka dapat kehilangan kontrak yang menguntungkan dan membuat mereka rentan terhadap serangan siber.
Simon Payne, Direktur Pelaksana Global Divisi Keamanan Siber di LRQA, mengatakan: "Bagi banyak UKM, tantangannya bukan hanya tentang menerapkan serangkaian tindakan keamanan; tetapi juga tentang mengimbangi lingkungan peraturan yang terus berubah. Dengan melibatkan para ahli eksternal, bisnis-bisnis ini dapat memanfaatkan keahlian khusus dan memastikan bahwa praktik keamanan mereka tidak hanya patuh hari ini, tetapi juga cukup tangguh untuk menghadapi tantangan di masa depan."
Penyedia pihak ketiga dapat memberikan wawasan khusus dan pemahaman mendalam tentang persyaratan kepatuhan saat ini, sehingga membantu bisnis untuk mengatasi kerumitan yang mungkin menghalangi kepatuhan. Dukungan eksternal ini memungkinkan tim internal untuk fokus pada prioritas mereka sendiri sambil tetap memastikan bahwa risiko siber dikelola dengan standar tertinggi. Pendekatan ini dapat menghasilkan alokasi sumber daya yang lebih efektif dan membantu bisnis menghindari biaya yang berpotensi melumpuhkan akibat pelanggaran keamanan.
Scott Dawson, CEO Core Business Solutions (CBS), yang baru-baru ini diakuisisi oleh LRQA, mengatakan, “Mengadopsi keahlian keamanan siber eksternal bukanlah tentang mengalihdayakan tanggung jawab - ini tentang melengkapi kemampuan internal secara cerdas.” CBS adalah penyedia layanan penasihat kepatuhan yang berbasis di Amerika Serikat yang menyederhanakan proses sertifikasi, dengan fokus yang kuat pada kualitas, keamanan siber, lingkungan, dan standar TI.
Scott melanjutkan: "CMMC adalah serangkaian persyaratan yang rumit dan terperinci, termasuk kontrol keamanan fisik yang mendetail seperti bagaimana dokumen sensitif disimpan dan diakses, yang membutuhkan langkah-langkah seperti penyimpanan terkunci dan akses terbatas. Kepatuhan terhadap CMMC bukanlah yurisdiksi TI saja, tetapi merupakan tanggung jawab bisnis secara keseluruhan. Dengan bekerja sama dengan mitra khusus, UKM dapat mengatasi keterbatasan sumber daya yang melekat pada sumber daya mereka sendiri dan mendapatkan akses ke praktik terbaik terbaru. Ini adalah langkah strategis menuju peningkatan dan jaminan yang berkelanjutan."
Seiring berkembangnya ancaman siber global dan semakin ketatnya standar seperti CMMC, UKM harus beradaptasi atau berisiko tertinggal. Dengan merangkul dukungan pihak ketiga, bisnis-bisnis ini dapat menavigasi lanskap peraturan yang kompleks dengan lebih baik, melindungi data penting, dan pada akhirnya mengamankan masa depan yang lebih tangguh.
