ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับเสียงสัมภาษณ์ประจำวันของ Federal Drive ใน Apple Podcasts หรือ PodcastOneในแง่ของ Pentagon นั้นเร็วปานสายฟ้าแลบ การรับรอง Cybersecurity Maturity Model Certification ใหม่ก็ออกมาแล้ว แล้วตอนนี้ล่ะ? แขกคนต่อไปของฉันติดตามโครงการนี้อย่างใกล้ชิดตั้งแต่เริ่มต้น บริษัทกฎหมาย Rogers Joseph O’Donnell หุ้นส่วน PC Bob Metzger เข้าร่วม Federal Drive กับ Tom Temi n
เข้าร่วมกับเราในช่วงบ่ายสองวันที่ 26 และ 27 เมษายน ซึ่งเราจะสำรวจเทคโนโลยี
นโยบาย และกระบวนการที่สนับสนุนความพยายามของหน่วยงานในการให้บริการสาธารณะ ธุรกิจ และเจ้าหน้าที่ของรัฐอย่างมีประสิทธิภาพมากขึ้นTom Temin: เริ่มจากครั้งสุดท้ายที่คุณอยู่ที่นี่ และเมื่อไม่กี่เดือนที่ผ่านมา เรากำลังพูดถึงเวอร์ชัน .6 และ .7 คุณรู้อะไร? พวกเขาออกมาพร้อมกับ 1.0
Bob Metzger:อืม มันน่าทึ่งมาก ทอม พวกเขากล่าวว่าภายในสิ้นเดือนมกราคมพวกเขาจะออกใบรับรอง Cybersecurity Maturity Model Certification อย่างเป็นทางการพร้อมแนวทางปฏิบัติและกระบวนการที่ฐานอุตสาหกรรมการป้องกันทั้งหมดควรปฏิบัติตาม และพวกเขาก็ทำ
Tom Temin:มันเป็นงานหยาบหรือพวกเขาต้องพัฒนาอีกมาก? มันอบอย่างเต็มที่?
บ็อบ เมตซ์เกอร์: พวกเขาประสบความสำเร็จในจำนวนที่เหลือเชื่อ แต่ก็ยังมีหนทางอีกยาวไกลระหว่างการผลิตหนังสือเล่มนี้ซึ่งอธิบายถึงกระบวนการและแนวทางปฏิบัติ จากนั้นจึงนำไปปฏิบัติจริงและนำไปใช้กับผู้รับเหมาและ RFP จริง และมีผู้ประเมินที่ ได้รับการฝึกอบรมและได้รับการรับรองและมีการประเมินเสร็จแล้ว หากคุณดูตารางเวลาของทอม คุณจะเห็นว่ามีกิจกรรมที่ทำพร้อมกันจำนวนมากพอสมควรซึ่งคาดว่าจะเกิดขึ้นในปีนี้ เพื่อให้ทั้งระบบทำงานได้ ไม่มากก็น้อย กิจกรรมเหล่านั้นทั้งหมดต้องทำให้เสร็จ และหากมีการล่าช้าหรือหยุดชะงักในหลายๆ กิจกรรม สิ่งทั้งหมดอาจเลื่อนไปทางขวา มีความทะเยอทะยานและพวกเขาได้ทำมากกว่าที่หลายคนคาดไว้ แต่ก็ยังมีความทะเยอทะยานอยู่ และเรามีวิธีดำเนินการก่อนที่จะดูว่าได้ผลจริงหรือไม่
ทอม เทมิน:คุณคิดว่าอะไรคือช่องว่างที่ใหญ่ที่สุดระหว่างสิ่ง
ที่พวกเขาผลิตในตอนนี้ กับสิ่งที่พวกเขาต้องทำเพื่อทำให้รายการนี้สมบูรณ์จริงๆบ็อบ เมตซ์เกอร์: ฉันจะบอกว่ามีสามสิ่ง อันดับแรกคือผู้ประเมิน ทฤษฎีทั้งหมดของ CMMC คือบริษัทต่างๆ จะได้รับการประเมินและจะได้รับใบรับรองว่ามีความปลอดภัยทางไซเบอร์ในระดับใดที่พวกเขาได้แสดงให้เห็นและผ่านการประเมิน ตอนนี้เราไม่รู้ว่าผู้ประเมินจะถูกเลือกอย่างไร เราไม่รู้ว่าเขาเป็นใคร เราไม่รู้ว่าเราพอหรือเปล่า เราไม่มีคู่มือการประเมินสำหรับพวกเขาหรือสำหรับบริษัท เราไม่มีหน่วยงานรับรองที่ค่อนข้างพร้อม นั่นคืออันดับหนึ่ง คุณต้องมีผู้ประเมินเพื่อให้ระบบการประเมินทำงานได้ ประเด็นใหญ่ประการที่สองคือธุรกิจขนาดเล็กและขนาดกลางในฐานอุตสาหกรรมกลาโหมสามารถรองรับสิ่งนี้ได้ดีเพียงใด พวกเราบางคนควรกังวลเกี่ยวกับบริษัทขนาดใหญ่อย่าง Lockheed Martin หรือ Raytheon และบริษัทขนาดกลางส่วนใหญ่ที่พึ่งพา DoD กำลังทำงานอย่างหนักเพื่อให้มีความปลอดภัยซึ่งน่าจะดีกว่าที่ CMMC คาดไว้ แต่จุดประสงค์ในที่นี้ไม่ใช่แค่เพื่อปกป้องผู้ที่ป้องกันตนเองได้ดีอยู่แล้วเท่านั้น แต่ยังเป็นการปกป้องฐานอุตสาหกรรมทั้งหมด รวมถึงผู้คิดค้นนวัตกรรมในระดับขนาดเล็กและขนาดกลางด้วย และยังคงมีคำถามอยู่พอสมควรว่าสิ่งนี้มีราคาไม่แพงหรือไม่ และมีความยืดหยุ่นเพียงพอในวิธีการทำงานของ CMMC หรือไม่ ซึ่งจะสามารถปฏิบัติได้ ไม่ใช่แค่ในทางทฤษฎีเท่านั้น แต่อยู่บนพื้นฐานนั้นด้วย สิ่งสุดท้ายคือการออกกฎ มีการประกาศเมื่อไม่กี่เดือนที่ผ่านมาว่า CMMC จะต้องมีกฎระเบียบใหม่ และจะมีการประกาศและแสดงความคิดเห็นเกี่ยวกับกฎ ซึ่งหมายความว่าประชาชนจะมีโอกาสแสดงความคิดเห็นเกี่ยวกับเรื่องนี้ อาจมีความคิดเห็นมากมาย และไม่ใช่ทั้งหมดจะเป็นที่ชื่นชอบ และกระบวนการสร้างกฎนั้นสามารถพิสูจน์ได้ว่าเป็นการดึงเต็นท์ที่ยาวนานกว่าที่บางคนคาดไว้
Tom Temin:กลับไปที่คำถามเกี่ยวกับธุรกิจขนาดเล็ก หากผู้รับเหมาหรือผู้รับเหมาช่วงคนใด หรือสำหรับเรื่องนั้น ผู้ใต้บังคับบัญชากำลังถือครองข้อมูลของรัฐบาลหรือทางการทหาร การควบคุมของพวกเขาสามารถคาดหวังได้อย่างมีเหตุผลว่าค่อนข้างจะง่ายกว่าหรือครอบคลุมน้อยกว่าของผู้รับเหมารายใหญ่รายใหญ่หรือไม่?
บ็อบ เมตซ์เกอร์:นั่นเป็นคำถามที่ดี นั่นคือหัวใจของความท้าทายที่ยากที่สุดสำหรับ CMMC จากมุมมองด้านความปลอดภัย เป็นที่ยอมรับกันอย่างกว้างขวางว่าศัตรูของเราสนใจมากกว่าบริษัทขนาดใหญ่ พวกเขารู้ว่าผู้สร้างนวัตกรรมของเราอยู่ที่ไหน พวกเขากำหนดเป้าหมายไปที่ผู้ที่มีการป้องกันอ่อนแอกว่า ดังนั้นเราจึงไม่สามารถให้บัตรผ่านฟรีแก่บริษัทขนาดเล็กได้ ในทางกลับกัน เมื่อคุณไปถึงบริษัทขนาดเล็ก ผลตอบแทนจากการลงทุนจากการรักษาความปลอดภัยที่ดีจะลดลง และเมื่อถึงจุดหนึ่ง ถ้ามันมีค่าใช้จ่ายสูงเกินกว่าที่ธุรกิจของคุณจะจ่ายได้ คุณจะไม่ทำมัน ดังนั้นคุณจึงต้องเผชิญกับทางเลือกที่อาจเป็นไปได้ว่าจะออกจากอุตสาหกรรมกลาโหม แม้ว่าคุณจะมีสิ่งที่ยอดเยี่ยมที่กระทรวงกลาโหมหรือนายกรัฐมนตรีต้องการก็ตาม และฉันไม่คิดว่าปัญหาจะได้รับการแก้ไขที่นี่ ส่วนหนึ่งของประเด็นตรงไปตรงมา เป็นแบบที่เรียกว่า One Size Fits All Approach วิธีการทำงานของ CMMC ในปัจจุบันคือ หากคุณถูกคาดหวังให้ผ่านระดับสาม นั่นคือระดับพื้นฐานสำหรับคนที่จะทำงาน DoD คุณคาดว่าจะพบ สมมติว่ามี 120 แนวทางปฏิบัติส่วนบุคคล หากคุณได้รับสิทธิ์ 118 ข้อในขณะที่ทำการประเมิน แสดงว่าคุณสอบตกและไม่ได้รับใบรับรองนั้น