การผลักดันเพื่อปฏิรูปโปรแกรมความปลอดภัยในโลกไซเบอร์ที่แทบจะไม่เกิดขึ้นเลย

การผลักดันเพื่อปฏิรูปโปรแกรมความปลอดภัยในโลกไซเบอร์ที่แทบจะไม่เกิดขึ้นเลย

ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับเสียงสัมภาษณ์ประจำวันของ Federal Drive ใน  Apple Podcasts  หรือ  PodcastOneโปรแกรม Cybersecurity Maturity Model Certification ของกระทรวงกลาโหม หรือ CMMC นั้นแทบจะเป็นไปไม่ได้เลย แต่ก็ต้องอยู่ต่อไปเพราะบางกลุ่มก็ตั้งหน้าตั้งตาปฏิรูปแล้ว กรณีตัวอย่าง: สภาที่ปรึกษาการได้มาซึ่งไอทีที่ได้รับใบอนุญาตจากสภาคองเกรสได้ร่วมมือกับหน่วยงานรับรอง CMMC เพื่อจัดตั้งศูนย์ความเป็นเลิศ Federal Drive กับ Tom Teminได้รับเพิ่มเติมจากทนายความและผู้เชี่ยวชาญด้าน CMMC Robert Metzger

ทอม เทมิน:เกิดอะไรขึ้นกับ CMMC? มีการทบทวน

และหยุดชั่วคราวเล็กน้อยเมื่อฝ่ายบริหารของ Biden เข้ามา เรากำลังเห็นอะไรอยู่ตอนนี้

        ข้อมูลเชิงลึกโดย Eightfold: ค้นพบว่าข้อมูล เทคโนโลยี และกลยุทธ์การสรรหาใหม่ช่วยให้ USDA, EPA, GSA, NASA และ NIH ประสบความสำเร็จในการแข่งขันหาผู้มีความสามารถได้อย่างไร โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของเทคโนโลยีขั้นสูง วิทยาศาสตร์ และตำแหน่งอื่น ๆ ที่ยากต่อการบรรจุ

โรเบิร์ต เมตซ์เกอร์:มีการตรวจสอบที่สำคัญในสองสามเดือนที่ผ่านมา เรารู้ว่ามีการตรวจสอบครั้งแรกใน 30 วัน และตามมาด้วยการทบทวนในระดับสูง ซึ่งฉันเข้าใจว่าเกี่ยวข้องกับเจ้าหน้าที่อาวุโสทั่วทั้งแผนก รวมถึงอาจมีบางคนจากหน่วยบัญชาการรบ พวกเขาไม่ได้ดูเฉพาะประเด็นที่เกี่ยวข้องกับการจัดทำกฎและข้อบังคับขั้นสุดท้าย รวมถึง CMMC . แต่ในบางประเด็น ขอเรียกปัญหาเหล่านี้ว่าโครงสร้างหรือสถาปัตยกรรม มีเรื่องน่ากังวลสองสามประเด็นที่โผล่ขึ้นมาในการพิจารณาของสภาคองเกรส และอื่น ๆ มีความสนใจอย่างมากในการดูว่าโปรแกรมนี้สามารถสร้างความน่าเชื่อถือหรือธุรกิจขนาดเล็กได้อย่างไร นอกจากนี้ยังมีความกังวลเกี่ยวกับความชัดเจนของกฎระเบียบและกระบวนการกำกับดูแล

Tom Temin:ใช่แล้ว จนถึงตอนนี้มีผู้ประเมินเพียงไม่กี่คนที่ออกมายิง

โรเบิร์ต เมตซ์เกอร์:จริงแท้แน่นอน. นั่นทำให้เกิดประเด็นอื่น CMMC มีความทะเยอทะยานอยู่เสมอ อาจจะทะเยอทะยานเกินไป ความคิดดั้งเดิมคือคุณจะต้องฝึกอบรมผู้ประเมินกลุ่มใหญ่นี้ และในช่วงเวลาห้าปี คุณจะต้องออกไปประเมินบริษัทมากถึง 300,000 แห่งโดยใช้สองมาตรฐานเป็นหลัก มาตรฐานระดับที่ 1 ซึ่งเกี่ยวกับข้อมูลสัญญาของรัฐบาลกลาง และมาตรฐานระดับ 3 ซึ่งเกี่ยวข้องกับข้อมูลการป้องกันและข้อมูลที่ควบคุมและไม่เป็นความลับ แม้ว่าเราจะรับแค่กลุ่มหลังที่มีประมาณ 20,000 คน การได้ผู้ประเมินมามากพอที่จะทำให้สำเร็จนั้นค่อนข้างน่ากลัว และดำเนินไปอย่างช้าๆ และเป็นไปตามที่หวังไว้ และสิ่งนี้บอกฉัน ทอม ประการแรกคือโปรแกรมจะเปิดตัวช้ากว่าที่บางคนพูดไว้ คือจะยืดออกไปในระยะเวลาที่นานขึ้น

Tom Temin:สถานการณ์ด้านความปลอดภัยในโลกไซเบอร์นั้นดูเหมือนว่าจะทวีความรุนแรงขึ้นในระดับประเทศ เมื่อพิจารณาจากจำนวนการโจมตีและประเภทของแรนซัมแวร์ และสิ่งเหล่านี้ทั้งหมดที่เกิดขึ้น คุณรู้สึกถึงความเร่งด่วนในส่วนของ DoD หรือไม่?

โรเบิร์ต เมตซ์เกอร์:สิ่งหนึ่งที่เรากำลังเรียนรู้คือกฎระเบียบและโครงสร้างการกำกับดูแลที่ซับซ้อนมีแนวโน้มที่จะเคลื่อนไหวช้าและยากต่อการดำเนินการ โชคไม่ดีที่ภัยคุกคามทั้งหมดเกิดขึ้นอย่างรวดเร็ว และเรายังคงประสบปัญหาจากการเจาะระบบที่ไม่เพียงแต่ขโมยข้อมูลทางเทคนิคที่ละเอียดอ่อนเท่านั้น แต่เราเห็นว่าบริษัทต่างๆ ในฐานอุตสาหกรรมการป้องกันประเทศและภายนอกระบบข้อมูลของตนถูกปฏิเสธหรือถูกขัดขวางโดยผู้โจมตีแรนซัมแวร์มากขึ้นเรื่อยๆ ความจริงแล้ว นับตั้งแต่ CMMC เริ่มต้น ภาพภัยคุกคามมีแต่แย่ลง ศัตรูมีความหลากหลายมากขึ้นในการโจมตี นอกจากนี้ยังมีวัตถุประสงค์ที่แตกต่างจากที่เราอาจเคยเห็นมาก่อน คุณพูดถูก สิ่งที่สำคัญกว่าคือเราต้องปกป้องไม่เพียงแค่ฐานอุตสาหกรรมการป้องกันเท่านั้น แต่ยังรวมถึงองค์กรการค้าอื่นๆ ด้วย และเราพบว่ามันยากที่จะทำให้สำเร็จ ตามระเบียบว่า

Tom Temin:เรากำลังคุยกับ Robert Metzger เขาเป็นหุ้นส่วนที่สำนักงานกฎหมาย Rogers, Joseph O’Donnell และในหลายๆ วิธีที่ CMMC ไม่ใช่เพื่อลบล้างการเปรียบเทียบ แต่เป็นเหมือน FISMA เล็กน้อย และอาจกลายเป็นการปฏิบัติตามกฎข้อบังคับและการรายงาน แต่ยังไม่จำเป็นต้องมีการรักษาความปลอดภัยทางไซเบอร์ที่ดีอย่างแท้จริงในส่วนของบริษัทเหล่านั้น

Robert Metzger:ในขณะที่อยู่ที่นั่น มีความตึงเครียดอยู่เสมอระหว่างการปฏิบัติตามซึ่งทุกคนรู้สึกว่าต้องทำ กับความสำเร็จและความยั่งยืนของการรักษาความปลอดภัย จะมีช่วงเวลาหนึ่งหลังจากการประเมินเมื่อคุณได้รับการรับรองเมื่อข้อเท็จจริงของการรับรองจะยืนยันถึงความพึงพอใจของคุณต่อข้อกำหนดด้านความปลอดภัยในเวลานั้น แต่บริษัทที่รอบคอบไม่ควรมองหาเพียงการทำเครื่องหมายในช่องที่ต้องปฏิบัติตามแม้ว่านั่นอาจเป็นเรื่องยาก เนื่องจากภัยคุกคามมีวิวัฒนาการและช่องโหว่ใหม่ ๆ ถูกเปิดเผยและถูกโจมตี บริษัทที่รอบคอบจะต้องมองไปรอบ ๆ ทะเล สภาพแวดล้อมปัจจุบัน และปรับปรุงการรักษาความปลอดภัยอยู่เสมอเพื่อตอบสนอง นั่นเป็นความจริงสำหรับบริษัทต่างๆ เช่นเดียวกับหน่วยงานและแผนกต่างๆ ของรัฐบาลกลาง

ฝากถอนไม่มีขั้นต่ำ / สล็อตแตกง่าย