Seu MSP / MSSP é um incêndio de lixo?

CMMC - Incêndio de Dumpster MSP

Qual é o ponto fraco do seu programa CMMC?

Para muitas empresas, não é o que elas pensam que é e a razão é baseada principalmente em suposições equivocadas. Muitas pessoas e empresas veem o CMMC e suas atividades de conformidade como estritamente um problema de TI, quando essa é uma suposição muito equivocada. Para a maioria das Pequenas e Médias Empresas (PMEs) dentro da Base Industrial de Defesa (DIB), a TI raramente é totalmente gerenciada internamente, em vez disso, geralmente é terceirizada para um local Managed Service Providers (MSP) ou Managed Security Service Providers (MSSP) pensando que esses “especialistas em TI” lidarão com isso para eles. A realidade é que o modelo tradicional usado pelo MSP/MSSP não é propício à conformidade com o CMMC, com base na natureza centrada em dados das práticas que as Organizações que buscam Certificação (OSC) devem implementar e governar para alcançar e manter a conformidade com o CMMC. Existem alguns MSP / MSSP que entendem fundamentalmente esse conceito, mas a grande maioria está operando um modelo de negócios que valoriza economias de escala para fornecer serviços de segurança acessíveis a empresas menores que não têm pessoal dedicado. Nesse modelo, a conformidade não é a principal preocupação e isso não é bom para a conformidade com o CMMC. Levi Kapilevich, daNeqter Labs, me juntou a mim para esclarecer esse modelo de negócios de falhas, como isso afeta os esforços de conformidade de um OSC e o que pode ser feito para remediar a situação.

Quando você olha para o modelo MSP/MSSP tradicional, ele favorece o MSP/MSSP sobre seus clientes. Alguns destaques incluem:

  • Contratos unilaterais de MSPs são mais focados em Acordos de Nível de Serviço (SLAs) do que em segurança e conformidade.
  • Papéis e responsabilidades geralmente são inexistentes quando se trata de segurança cibernética e questões relacionadas à conformidade.
  • Há uma falta geral de controles técnicos para evitar o abuso de privilégios para ferramentas de gerenciamento remoto.
  • Os contratos MSP/MSSP atuais não exigem que o MSP/MSSP atinja um nível igual de proteção CMMC e passe por uma avaliação C3PAO.

Se você olhar para o gráfico abaixo, verá que o CMMC representa um potencial ganho inesperado pelo MSP / MSSP, uma vez que a grande maioria das práticas do CMMC são expectativas de “boa higiene de TI” ou requisitos focados em segurança cibernética. O fascínio é que, se um MSP/MSSP puder atender a esses requisitos técnicos/processuais, o cliente poderá se concentrar nos requisitos relacionados à prática de negócios. Em teoria, parece ótimo. No entanto, é “comprador cuidado” para o que realmente está sendo fornecido.

Nenhum texto alternativo fornecido para esta imagem

Um dos equívocos comuns de muitos MSP / MSSP é em torno do conceito de conformidade com o CMMC de seus clientes por meio da “herança” de controles mais amplos. Do ponto de vista da conformidade com o CMMC, a mentalidade requer uma abordagem centrada em dados que avalie como os controles protegem a confidencialidade e a integridade dos dados regulamentados (FCI/CUI), independentemente de onde eles são armazenados, transmitidos e/ou processados. Infelizmente, essa é uma barra mais alta do que a maioria dos MSP / MSSP estão acostumados a lidar. Por exemplo, um MSP/MSSP pode ter documentado processos de controle de alterações sobre como ele gerencia sua infraestrutura de TI, mas que processos amplos não seriam suficientes para “fluir” para o OSC, a fim de cobrir seus requisitos específicos de gerenciamento de mudanças. O MSP/MSSP pode abordar parcialmente o conceito, mas a conformidade parcial com o CMMC equivale a uma avaliação falhada.

Identificando a causa raiz

A questão se resume ao dinheiro. O modelo de TI terceirizado do qual o MSP/MSSP se beneficia existe porque as economias de escala tornam mais econômico para um terceiro gerenciar os recursos de TI de uma organização. Para torná-lo econômico, o MSP/MSSP geralmente arquiteta os processos e tecnologias mais eficientes disponíveis para fornecer “serviços de melhor esforço” a vários clientes. Esse processo envolve que os funcionários do MSP / MSSP façam suposições informadas sobre o que é minimamente aceitável para a prestação de serviços a clientes onde o MSP / MSSP provavelmente tem apenas uma compreensão parcial dos processos de negócios do cliente e seus aplicativos, sistemas e processos.

Para muitas organizações, elas percebem que os “serviços de melhor esforço” são melhores do que não fazer nada ou passar pelo processo de insourcing de seus serviços de TI e segurança cibernética, por isso é um ato de equilíbrio de riscos e custos que faz parte dos processos normais de negócios, independentemente do setor. Onde esse modelo tradicional de MSP/MSSP se decompõe é a higiene de TI aleatória e as práticas de segurança cibernética não são compatíveis com os requisitos de conformidade do CMMC. O MSP/MSSP que realmente entende e implementa práticas para ajudar seus clientes a obter e manter a conformidade será, sem dúvida, mais caro, uma vez que há claramente mais tempo e requisitos intensivos em tecnologia para fornecer serviços terceirizados de TI e segurança cibernética compatíveis com CMMC.

Problemas críticos do CMMC com MSP/MSSP

Os problemas críticos de conformidade do CMMC com MSP/MSSP que precisam ser avaliados incluem as seguintes práticas que podem ter um efeito em cascata sobre as práticas relacionadas:

  1. Documentação específica de conformidade (Apêndice E dos controles do NIST SP 800-171 – Organização Não Federal (NFO))
  2. Supervisão de Governança, Risco e Conformidade (GRC) (múltiplos controles de NFO – NIST SP 800-171)
  3. Consciência situacional (AU. L2-3.3.3)
  4. Controle de acesso (lógico e físico) (AC. L1-3.1.2)
  5. Gestão de alterações (CM.L2-3.4.3)
  6. Resposta a incidentes (RI. L2-3.6.1)
  7. Gestão de Ativos de TI (ITAM) (MA. L2-3.7.1)

1. Documentação Específica de Conformidade (NFO Controls – NIST SP 800-171)

Qual é o problema que você deve estar ciente? Do ponto de vista da conformidade, se não estiver documentado, não existe. Especificamente para o CMMC, isso significa que políticas documentadas, padrões e procedimentos precisam existir que abranjam os controles NIST SP 800-171 / CMMC. Seu MSP/MSSP deve ter políticas, padrões e procedimentos documentados que cubram especificamente a totalidade dos sistemas, aplicativos e/ou processos no escopo que o MSP/MSSP está contratualmente vinculado a abordar (controles NFO). O escopo de sua documentação precisa abordar o MSP/MSSP em nível corporativo, bem como como suas próprias políticas, padrões e procedimentos são implementados especificamente para proteger dados regulamentados (FCI/CUI) no ambiente do OSC. Além de apenas políticas, padrões e procedimentos, isso inclui o desenvolvimento e a manutenção de um Plano de Segurança do Sistema (SSP) (CA). L2-3.12.4) e Plano de Ação e Marcos (POA&M) (CA. L2-3.12.2) que abranja suficientemente os sistemas, aplicações e/ou processos no âmbito de aplicação.

Essa copropriedade da documentação específica de conformidade é onde as suposições levam à não conformidade e, eventualmente, terminarão em uma avaliação do CMMC com falha para o OSC. Para sistemas, aplicativos e/ou processos no escopo, o MSP/MSSP não deve apenas ser contratualmente obrigado a desenvolver a documentação necessária, mas também mantê-la adequadamente. Em última análise, como OSC, é sua responsabilidade avaliar a precisão e a integridade de qualquer documentação gerada por MSP/MSSP para garantir que ela atenda às suas obrigações específicas de conformidade.

O que pode ser feito sobre esta questão? O OSC precisa se apropriar da documentação específica de conformidade. Isso começa com a atribuição da função e da responsabilidade de gerenciar a documentação ao funcionário que “possui” as operações de conformidade do CMMC dentro do OSC. Esse indivíduo (ou equipe) precisa trabalhar com o MSP/MSSP para criar e manter a documentação para garantir que o OSC esteja pronto para avaliação. À medida que ocorrem mudanças nos negócios ou na tecnologia, é necessário existir um processo para garantir que a documentação reflita com precisão essas alterações.

Este processo começa com uma perspectiva contratual, o MSP / MSSP precisa ter requisitos claros para manter a documentação que suportará as necessidades de conformidade com o CMMC da OSC. Se o MSP/MSSP não estiver claro sobre esses requisitos, é uma boa indicação de que o MSP/MSSP é uma responsabilidade para seus esforços de conformidade com o CMMC e você deve pesquisar um substituto para eles que possa ajudá-lo a obter a certificação CMMC.

2. Supervisão de Governança, Risco e Conformidade (GRC) (múltiplos controles NFO)

Qual é o problema que você deve estar ciente? Um MSP/MSSP não pode gerenciar todas as suas necessidades de segurança cibernética, pois provavelmente não conhece todos os seus requisitos. É necessário que haja um funcionário do OSC que tenha alguma forma de supervisão para todas as operações de conformidade com o CMMC. No final do dia, o OSC é responsável por garantir a confidencialidade e a integridade dos dados regulamentados (FCI/CUI). Isso requer a compreensão da natureza de copropriedade dos controles de segurança e a manutenção de uma imagem unificada dos esforços de conformidade, de modo que quaisquer deficiências possam ser corrigidas prontamente.

Essa função de supervisão é onde as funções e responsabilidades documentadas e específicas de segurança cibernética são cruciais. Ao documentar e educar as partes interessadas sobre seus papéis e responsabilidades para o CMMC, elimina suposições e equívocos sobre quem é responsável por quais práticas e processos. Não espere que seu MSP / MSSP venha até você com funções e responsabilidades prontas para CMMC - esse é o seu trabalho como OSC para definir quem possui o quê. Também é importante entender que quanto mais trabalho você atribuir a um MSP/MSSP, mais sua fatura de serviços gerenciados aumentará.

Seu MSP/MSSP deve ter um programa de segurança (controles NFO) estabelecido e com recursos que cubra especificamente o monitoramento de controles de segurança (CA. L2-3.12.3) e a avaliação periódica desses controlos de segurança (CA. L2-3.12.1). Isso está ligado ao conceito mais amplo de desenvolvimento e implementação de planos de mitigação de riscos (AR. L2-3.11.1) que precisam ser aplicadas às necessidades de conformidade do OSC. Todas essas ações precisam estar vinculadas aos seus papéis e responsabilidades para o CMMC.

O que pode ser feito sobre esta questão? O MSP/MSSP precisa implementar e gerenciar um programa formal de segurança cibernética. Isso começa com o recurso ao programa de segurança cibernética e seu processo contínuo de identificação e gerenciamento de riscos operacionais e técnicos. Isso começa com a participação do MSP/MSSP no processo de SSP e POA&M, para que o MSP/MSSP esteja intimamente familiarizado com os processos e tecnologias de negócios do OSC. Sem essa familiaridade, a consciência situacional é um conceito de fantasia que não existirá na realidade.

Do ponto de vista contratual, o MSP/MSSP precisa ter requisitos claros para realizar a supervisão da governança que vai muito além do relatório genérico de patches ou da verificação de vulnerabilidades. Se o MSP/MSSP não tiver um programa de segurança cibernética proativo e com recursos, é uma boa indicação de que o MSP/MSSP é uma responsabilidade para seus esforços de conformidade com o CMMC e você deve pesquisar um substituto para eles.

3. Consciência Situacional (AU. L2-3.3.3)

Qual é o problema que você deve estar ciente? Apoiar o conceito de supervisão da governança é manter a consciência situacional. O reconhecimento situacional vai além dos logs de revisão MSP/MSSP (AU. L2-3.3.3), executando varreduras de vulnerabilidade (RA. L2-3.11.2), onde envolve manter-se atualizado sobre as ameaças em evolução e realizar avaliações de risco para entender os riscos específicos da organização. Esta é uma área em que os “serviços de melhor esforço” do modelo MSP/MSSP tradicionais falham nas necessidades do CMMC, uma vez que há uma necessidade inerente de entender os processos de negócios de uma organização para poder revisar os logs, monitorando o tráfego de rede (SI. L2-3.14.6) e identificar comportamentos anômalos (SI. L2-3.14.7). Uma coisa é monitorar os logs de um dispositivo de perímetro (SC. L1-3.13.1) para logins com falha óbvia, mas é totalmente diferente gerenciar proativamente o dispositivo para mantê-lo atualizado e gerenciar ACLs (Listas de Controle de Acesso) com base em práticas comerciais e ser capaz de estabelecer linhas de base de atividade de rede que permitam que comportamentos anômalos sejam identificados.

O que pode ser feito sobre esta questão? O MSP/MSSP precisa implementar e gerenciar uma abordagem de defesa profunda para a consciência situacional que cubra as necessidades de conformidade do OSC. Isso começa com a participação do MSP/MSSP no processo de SSP e POA&M, para que o MSP/MSSP esteja intimamente familiarizado com os processos e tecnologias de negócios do OSC. Sem essa familiaridade, a consciência situacional é um conceito de fantasia que não existirá na realidade.

Do ponto de vista contratual, o MSP/MSSP precisa ter requisitos claros para manter a consciência situacional e compartilhá-la com o OSC. Se o MSP/MSSP não tiver um processo viável para manter a consciência situacional, é claramente evidente que o MSP/MSSP é uma responsabilidade para seus esforços de conformidade com o CMMC e você precisa substituí-los.

4. Controle de Acesso (Lógico e Físico) (AC. L1-3.1.2)

Qual é o problema que você deve estar ciente? O controle de acesso (lógico e físico) não é sobre o que o MSP / MSSP diz que fará ou não, mas está focado no que pode fazer. Se o seu MSP/MSSP tiver direitos administrativos de domínio ou empresa, ele terá as chaves do seu reino e poderá fazer o que quiser (IA. L1-3.5.1). Controles administrativos que prometem que o MSP/MSSP não usará seus direitos de administrador para acessar dados regulamentados (FCI/CUI) não têm sentido (AC. L2-3.1.5), uma vez que realmente requer controles técnicos para provar que o MSP/MSSP não pode acessar dados aos quais está proibido de ter acesso. É aqui que ter um inventário abrangente de seus ativos e dados de TI é crucial para que você possa controlar adequadamente os sistemas e repositórios que contêm dados regulamentados (FCI/CUI) (MP. L2-3.8.1 e MP. L2-3.8.4).

Um relatório SOC 2 para um MSP/MSSP que cobre seu data center para evidências de controles físicos não cobre adequadamente os controles CMMC/NIST SP 800-171. O controle de acesso se estende além de apenas um datacenter, mas em qualquer lugar os dados regulamentados (FCI/CUI) são armazenados, transmitidos e/ou processados (PE). L1-3.10.1-136). O MSP/MSSP só realiza operações em um Centro de Operações de Segurança (SOC) seguro e segmentado ou seus funcionários podem fazer o trabalho em sua rede de qualquer lugar que tenham uma conexão com a Internet e seu laptop? Quando você começa a descascar camadas da cebola de conformidade, você pode começar rapidamente a ver como o controle de acesso pode ser o calcanhar de Aquiles do modelo tradicional MSP / MSSP.

O que pode ser feito sobre esta questão? O MSP/MSSP precisa implementar e gerenciar práticas capazes de atender aos requisitos de controle de acesso lógico e físico do CMMC. Semelhante aos problemas com a consciência situacional, isso começa com a obtenção do MSP / MSSP envolvido no processo SSP e POA & M, para que o MSP / MSSP esteja intimamente familiarizado com os processos de negócios e tecnologias do OSC para que os mecanismos de controle de acesso apropriados possam ser implementados e gerenciados. Sem essa familiaridade, o controle de acesso será ad hoc.

Do ponto de vista contratual, o MSP/MSSP precisa ter requisitos claros para manter controles de acesso lógicos e físicos. Se o MSP/MSSP não tiver um processo viável para controlar o controle de acesso, é evidente que o MSP/MSSP é uma responsabilidade para seus esforços de conformidade com o CMMC e você precisa substituí-los.

5. Gestão da Mudança (CM.L2-3.4.3)

Qual é o problema que você deve estar ciente? No modelo MSP/MSSP tradicional, o controle de alterações é focado na disponibilidade, em vez de confidencialidade e integridade. Isso é centrado em atender às metas do Acordo de Nível de Serviço (SLA) para o tempo de atividade, onde alterações inesperadas podem levar ao tempo de inatividade e à perda de produtividade. Na maioria das vezes, o CMMC não se preocupa com a disponibilidade além de um OSC ter backups – ele está focado na confidencialidade e integridade dos dados regulamentados (FCI / CUI). É aqui que você precisa olhar para o gerenciamento de mudanças de uma perspectiva de segurança e menos de uma perspectiva de TI operacional. O CMMC exige que as alterações sejam analisadas, aprovadas e documentadas (CM.L2-3.4.3-066) quando o escopo dessas alterações envolver os sistemas, aplicativos e serviços que armazenam, transmitem e/ou processam dados regulamentados (FCI/CUI). A abordagem deve ser uma visão holística do gerenciamento de mudanças em todos os ativos no escopo.

Seu MSP/MSSP tem um Conselho de Controle de Alterações (CCB) do qual você participa como proprietário do ativo/processo? Existe uma análise escrita da mudança proposta a partir de uma perspectiva de segurança? A pessoa que revisa a alteração está qualificada para avaliar as implicações de segurança? Essas são todas as perguntas que você precisa fazer a si mesmo sobre as considerações de controle de alterações MSP/MSSP.

O que pode ser feito sobre esta questão? O MSP/MSSP precisa operar um CCB formal que governe o processo de controle de alterações para si mesmo e seus ambientes de cliente. O OSC precisa identificar um ou mais indivíduos que são capazes de representar o OSC em questões de MSP/MSSP CCB, independentemente de ser pessoalmente, uma teleconferência, e-mails ou uma ferramenta de gerenciamento de mudanças.

Do ponto de vista contratual, o MSP/MSSP precisa ter requisitos claros e escopo apropriado para suas operações de controle de mudanças. Se o MSP/MSSP não tiver um programa formal de gerenciamento de alterações que governe exclusivamente o ambiente do cliente, é claramente evidente que o MSP/MSSP é uma responsabilidade para os esforços de conformidade do CMMC e você precisa substituí-los.

6. Resposta a Incidentes (RI. L2-3.6.1)

Qual é o problema que você deve estar ciente? De acordo como Suplemento de Regulamentação de Aquisição Federal de Defesa (DFARS) 252.204-7012(c), um contratante principal tem a obrigação de “relatar rapidamente” incidentes de segurança cibernética ao DoD dentro de 72 horas após a descoberta de qualquer incidente de segurança cibernética. Isso significa que, dentro de 72 horas, o DoD deve receber um relatório sobre o incidente que inclua, mas não se limite a:

  • Identificação de computadores, servidores, dados específicos e contas de usuário comprometidos; e
  • Analisar sistemas, aplicativos e serviços que fizeram parte do incidente, bem como outros sistemas na(s) rede(s) do contratado, que podem ter sido acessados como resultado do incidente para identificar informações de defesa cobertas comprometidas ou que afetam a capacidade do contratado de fornecer suporte operacionalmente crítico.

Se você é um subcontratado de um prime, você pode ter a obrigação contratual de notificar o prime dentro de 24 horas após a descoberta de um incidente de segurança cibernética. Se você estiver usando um MSP/MSSP, talvez seja necessário ter um requisito de notificação de 12 a 18 horas para que você possa atender ao seu requisito de notificação para o prime, que então tem que relatar ao DoD dentro de 72 horas após a descoberta do MSP/MSSP. Seu MSP é capaz de atender a esse cronograma de relatórios e fornecer evidências para apoiar os requisitos de relatórios do DoD?

Embora seja possível co-possuir o gerenciamento de incidentes com um MSP / MSSP, no final do dia a responsabilidade de garantir que os incidentes sejam detectados, rastreados, relatados e resolvidos (IR. L2-3.6.2) cai sobre o OSC. Há também a necessidade de testar as capacidades de resposta regularmente (RI. L2-3.6.3) e execute a Análise de Causa Raiz (RCA) ao fechar um incidente para aprender com ele na esperança de evitar um incidente semelhante no futuro.

O que pode ser feito sobre esta questão? Tanto o OSC quanto o MSP/MSSP precisam operar um Plano de Resposta a Incidentes (IRP) formal que aborde legitimamente incidentes “razoavelmente previsíveis” para que exista um plano viável para abordar o(s) cenário(s) que seja capaz de atender aos requisitos de resposta a incidentes e continuidade de negócios da organização.

Do ponto de vista contratual, o MSP/MSSP precisa ter uma capacidade robusta de resposta a incidentes que possa atender aos requisitos do CMMC e do DFARS. Se o MSP/MSSP não tiver uma capacidade robusta de resposta a incidentes, é claramente evidente que o MSP/MSSP é uma responsabilidade para seus esforços de conformidade com o CMMC e você precisa substituí-los.

7. Gestão de Ativos de TI (MA. L2-3.7.1)

Qual é o problema que você deve estar ciente? O Gerenciamento de Ativos de TI (ITAM) é a categoria mais ampla para MSP / MSSP que realmente se encaixa no conceito de “boa higiene de TI” que o CMMC está tentando realizar. Portanto, ele coloca o ônus sobre o MSP/MSSP para manter uma arquitetura segura e uma infraestrutura associada para realizar as práticas e processos CMMC necessários (SC. L2-3.13.2). É aqui que o MSP/MSSP precisa fornecer orientação e soluções de nível especializado para:

  • Diagramas de rede que podem demonstrar onde a CUI é armazenada, processada e/ou transmitida (AC. L2-3.1.3)
  • Configurações de linha de base para todas as plataformas de tecnologia que empregam o princípio da menor funcionalidade (CM.L2-3.4.1-062).
  • Manutenção proativa com as ferramentas corretas (MA. L2-3.7.1-112).
  • Realize backups e teste regularmente a capacidade de recuperação desses backups (MP. L2-3.8.9).
  • Monitorar comunicações de rede (SC. L1-3.13.1).
  • Implemente sub-redes físicas ou lógicas para separar os dados regulamentados (FCI/CUI) do restante da rede (SC). L1-3.13.5).
  • Realize uma revisão contínua do log que alimenta os processos de resposta a incidentes (SI. L2-3.14.3).
  • Realizar gerenciamento de patches e outras ações de manutenção preventiva (SI. L1-3.14.1).

O que pode ser feito sobre esta questão? O ITAM não pode ser deixado apenas para o MSP / MSSP, uma vez que é muito importante para ser “hands-off”, na medida em que afeta mais do que apenas o CMMC, mas a viabilidade geral de sua organização para funcionar. Isso deve ser visto da perspectiva da “boa higiene de TI” que sua organização deve querer fazer, não resmungando que você deve fazê-lo para atender a um requisito de conformidade. As boas práticas de ITAM podem tornar sua organização mais eficiente, reduzir o tempo de inatividade e torná-la mais segura. Pense no ITAM como comer seus vegetais – é bom para você e o mantém saudável.

Do ponto de vista contratual, o MSP / MSSP precisa ter domínio das práticas ITAM - se eles não são mestres no ITAM, então você deve fugir gritando na direção oposta. Se o MSP/MSSP não tiver um recurso de ITA robusto, ele não deve se considerar um MSP/MSSP e é um prejuízo para seus esforços de conformidade com o CMMC, portanto, você precisa substituí-los.

Orientação para MSPs/MSSPs

Embora muitos MSP / MSSP provavelmente esperem que este artigo nunca tenha sido escrito, ele também fornece um vislumbre do potencial de crescimento para MSP / MSSP empreendedores que querem se distinguir da concorrência. O CMMC abre algumas ofertas criativas do MSP/MSSP:

  • Gerenciamento de mudanças como um serviço
  • Gerenciamento do ciclo de vida como um serviço

Perguntas que você deve fazer ao seu MSP / MSSP

Queremos ver o DIB ter sucesso! Também sabemos que há muitos praticantes de CMMC muito competentes, mas também há muitos charlatães que só querem o seu dinheiro. Isso vem para o problema de “apropriação de dinheiro”, onde há pessoas e empresas não qualificadas com crachás de aparência legítima do CMMC-AB (por exemplo, programa RPO) que muitas vezes podem fornecer aos OSCs uma falsa sensação de segurança, permitindo que os consultores literalmente acenem com um emblema para fins de marketing, mesmo que os emblemas RP / RPO não equivalham à competência com o CMMC. Infelizmente, o programa de badging é essencialmente um esquema de fazer dinheiro pelo CMMC-AB para pagar suas contas, onde consultores, MSPs e MSSPs pagaram ansiosamente dinheiro por uma falsa sensação de legitimidade com os emblemas RP / RPO.

Se a primeira coisa que você ouve de um MSP / MSSP é: “Somos um RPO e temos [número x] ou RPs na equipe [blá blá blá]…” basta ir embora e continuar procurando uma opção melhor. Se você quiser continuar conversando com eles, concentre-se na competência e faça estas perguntas:

  1. Há quanto tempo sua empresa se especializa em segurança cibernética relacionada ao DFARS? (dica – NIST SP 800-171 existe desde 2016, então se eles são novos no jogo que é uma bandeira de alerta)
  2. Quantos clientes DIB você suporta atualmente?
  3. Quantas avaliações de lacunas CMMC/NIST SP 800-171 você já realizou? (siga com uma solicitação para ver um relatório e certifique-se de fazer quantas perguntas a avaliação de lacunas cobre)
  4. Algum de seus clientes DIB passou com sucesso por uma avaliação DIBCA?
  5. Por que sua empresa gastou o dinheiro para obter os emblemas de RPO e RP?
  6. O que o torna diferente de outros RPOs? Por que devemos trabalhar com você?
  7. Como você aborda os controles de Organização Não Federal (NFO)? (dica – se eles perguntarem o que é um controle NFO, considere isso uma bandeira vermelha)

Se você quer economizar um monte de dinheiro e possível frustração, é isso que recomendamos:

  1. Passe pelo Guia de Avaliação de Nível 2 do CMMC (também conhecido como NIST SP 800-171A) para responder a cada Objetivo de Avaliação (AO) com o melhor de suas habilidades. Se você preferir o Excel, você pode baixar uma planilha bonita e gratuita doCMMC Center of Awesomeness. Se você não tem 100% de certeza sobre a resposta, considere que ela não foi atendida. Se você não tem certeza, você pode ter certeza de que você é deficiente nesse controle.
  2. Com essa lista de deficiências, você deve dar uma olhada noCMMC Kill Chain, que é um plano de projeto de 23 etapas para começar do nada para chegar onde você pode ir para uma avaliação.
  3. Você pode nos agradecer por economizar de US $ 30.000 a US $ 80.000, fornecendo uma avaliação de lacunas e um plano de projeto. Você é bem-vindo, América!

Sobre os autores

Se você tiver alguma dúvida sobre isso, sinta-se à vontade para entrar em contato.

Tom Corneliusé sócio sênior daComplianceForge, líder do setor em documentação de segurança cibernética e privacidade. Ele também é o fundador doSecure Controls Framework (SCF), uma iniciativa sem fins lucrativos para ajudar as empresas a identificar e gerenciar seus requisitos de segurança cibernética e privacidade.

Levi Kapileviché diretor de desenvolvimento de negócios daNeQter Labs, uma empresa de software de segurança cibernética que se concentra em ajudar os empreiteiros DIB a navegar em seu processo de conformidade com DFARS, NIST SP 800-171 e CMMC. Focando principalmente na gestão das práticas de Auditoria e Prestação de Contas das normas.

*crédito de arte gráfica -https://www.deviantart.com/inkoalawetrust/art/Dum…

Artigo Original