ข้อกำหนดด้านความปลอดภัยทางไซเบอร์ใหม่ภายใต้ Defense Federal Acquisition Regulations และ Cybersecurity Maturity Model Certification อาจเป็นขั้นตอนสำคัญในการเสริมการป้องกันทางไซเบอร์ของกระทรวงกลาโหม แต่ธุรกิจขนาดเล็กบางแห่งอ้างว่าพวกเขากำลังเพิ่มข้อกำหนดการปฏิบัติตามข้อกำหนดของธุรกิจขนาดใหญ่ในธุรกิจขนาดเล็ก แม้ว่าพวกเขาจะต้องปฏิบัติตามข้อกำหนดเดียวกัน แต่ธุรกิจขนาดเล็กมักจะไม่มีพนักงานภายใน วุฒิภาวะหรือทรัพยากรทางเทคโนโลยีที่ตรงตามตัวชี้วัดการปฏิบัติตามข้อกำหนดเดียวกัน
นั่นเป็นเหตุผลที่ Scott Edwards CEO ของ Summit 7 กล่าวว่า
ธุรกิจขนาดเล็กกำลังหันไปใช้ระบบคลาวด์ในจำนวนที่มากขึ้นเพื่อให้เป็นไปตามข้อกำหนดเหล่านี้
“สำหรับธุรกิจขนาดเล็กที่จะสามารถสร้างระบบภายในองค์กรเพื่อตอบสนองความต้องการเหล่านี้ได้นั้นเป็นภาระอย่างยิ่ง เพราะคุณกำลังพูดถึงระบบประเภทต่างๆ มากมาย ระบบอีเมล ระบบการแบ่งปันไฟล์ ระบบการทำงานร่วมกัน ระบบการส่งข้อความ ระบบเสียง” เขาพูดว่า. “ธุรกิจขนาดเล็กที่มีพนักงาน 20 คนไม่สามารถจ้างทีมงานห้าหรือหกคนเพื่อติดตั้ง กำหนดค่า บำรุงรักษา และสนับสนุนระบบไอทีประเภทต่างๆ ดังนั้นบริการคลาวด์จึงช่วยให้พวกเขาสามารถลัดส่วนใหญ่ของสิ่งนี้ได้โดยการว่าจ้างผู้ให้บริการระบบคลาวด์จากภายนอก เช่น Microsoft ที่มี Office 365”
ซึ่งช่วยให้ธุรกิจขนาดเล็กสามารถให้บริการในองค์กรได้สูงสุด 15 รายการโดยคิดค่าธรรมเนียมต่อผู้ใช้ ผู้ใช้และใบอนุญาตที่เกี่ยวข้องสามารถเพิ่มหรือลบออกได้เมื่อผู้รับเหมา DoD เติบโตหรือลดลงเนื่องจากรอบรางวัล ทำให้ง่ายต่อการจัดการในระยะยาว แต่ยังเพิ่มความเร็วให้กับกรอบเวลาด้วยการข้ามขั้นตอนการจัดซื้อจัดจ้าง ซึ่งอาจเป็นภาระโดยเฉพาะอย่างยิ่งสำหรับฮาร์ดแวร์ ผู้ให้บริการระบบคลาวด์มีแพลตฟอร์มอยู่แล้ว ส่วนใหญ่เป็นเรื่องของการกำหนดค่าและการจัดการที่เหมาะสม
และในขณะที่ธุรกิจขนาดเล็กบางแห่งอาจมีเจ้าหน้าที่ภายในเพื่อจัดการกับข้อกังวลด้านความปลอดภัยในโลกไซเบอร์หรือว่าจ้างบุคคลภายนอกเพื่อติดตามตรวจสอบอย่างต่อเนื่อง ทดสอบปากกา ควบคุมการเปลี่ยนแปลง และกิจกรรมอื่น ๆ แต่ก็ยังมีประโยชน์จากความเสี่ยงบางประการจากการใช้ระบบคลาวด์ หลายบริษัทกำลังเปลี่ยนไปใช้ระบบคลาวด์อันเป็นผลมาจากการขาดความซับซ้อน เป็นต้น
“เมื่อใดก็ตามที่คุณพยายามสร้างโครงสร้างพื้นฐานภาย
ในองค์กรด้วยซอฟต์แวร์ที่หลากหลาย คุณจะต้องซื้อเครื่องมือจากบริษัทหลายสิบแห่งเพื่อติดตั้ง ผสานรวม และจัดการ” Edwards กล่าว “หากคุณย้ายไปใช้บริการคลาวด์ คุณอาจสามารถดึงผู้ให้บริการจำนวนดังกล่าวให้เหลือสองหรือสามราย เมื่อมีผู้ขายจำนวนน้อย คุณจะมีความท้าทายในการรวมระบบที่ต้องจัดการน้อยลง สิ่งสำคัญคือบริษัทต่าง ๆ จะต้องคำนึงถึงการใช้ประโยชน์จากแพลตฟอร์มที่สร้างขึ้นตามมาตรฐานเฉพาะที่กำหนดโดยกฎระเบียบของรัฐบาลกลางและองค์กรด้านมาตรฐาน เช่น FedRAMP”
โดยเฉพาะอย่างยิ่งโครงสร้างพื้นฐานและแพลตฟอร์มบนคลาวด์ทั้งหมดควรสร้างขึ้นตามมาตรฐาน FedRAMP Moderate หากใช้โดยองค์กรที่สนับสนุน DoD และด้วยเหตุนี้จึงต้องเป็นไปตาม DFARS 7012 นอกจากจะเป็นข้อบังคับแล้ว ยังเป็นขั้นตอนสำคัญในการลดความเสี่ยงและภาระทางไซเบอร์อีกด้วย
นอกเหนือจากความเสี่ยงที่ลดลง การไปที่ระบบคลาวด์ยังมีประโยชน์ทั้งด้านเวลาและค่าใช้จ่าย เนื่องจากสามารถพิสูจน์ได้ว่ามีราคาไม่แพงและยากที่จะปฏิบัติตามข้อกำหนดของ DFARS และ CMMC ผู้ให้บริการคลาวด์กำลังดูแลข้อกำหนดด้านความปลอดภัยทางกายภาพและฮาร์ดแวร์และซอฟต์แวร์ส่วนใหญ่ในนามขององค์กร เมื่อคุณอยู่ที่นั่น การปฏิบัติตามข้อกำหนดก็จะง่ายขึ้น เพราะ CSP เปิดใช้งานความสามารถใหม่ๆ อย่างต่อเนื่องโดยอิงจากภัยคุกคามใหม่ๆ และที่กำลังพัฒนา ยิ่งกว่านั้น แพตช์เซิร์ฟเวอร์และการอัปเดตเครือข่ายได้รับการแยกตามความเป็นผู้นำด้านไอทีและต้องการการมีส่วนร่วมเพียงเล็กน้อยหรือไม่มีเลย ช่วยประหยัดเวลาและความพยายามของธุรกิจในการติดตามปัญหาแบบแบตช์หรืออัปเดตสภาพแวดล้อมด้วยตนเอง
CSP บางรายให้ความสนใจเป็นพิเศษกับการตอบสนองความต้องการเฉพาะของผู้รับเหมาในฐานอุตสาหกรรมกลาโหม
“ทั้งหมดนี้เกี่ยวกับการปกป้องข้อมูลที่ไม่เป็นความลับที่ถูกควบคุม และโดยการขยาย ข้อมูลการควบคุมการส่งออกหรือข้อมูล ITAR Microsoft ได้สร้างแพลตฟอร์ม Microsoft 365 Government Community Cloud High ( GCC High ) และโครงสร้างพื้นฐาน Azure Government โดยเฉพาะเพื่อให้ตรงตามข้อกำหนดเฉพาะเหล่านี้ที่กำหนดโดย National Archives and Records Administration และ DoD” Edwards กล่าว “พูดง่าย ๆ ก็คือศูนย์ข้อมูลของรัฐบาลโดยเฉพาะ ซึ่งมีพนักงานที่ผ่านการตรวจสอบประวัติและเป็นบุคคลในสหรัฐอเมริกา”
“พวกเขาเลือกที่จะลงทุนเหล่านี้เพื่อให้บริษัทต่างๆ สามารถย้ายไปยังระบบคลาวด์ด้วยความมั่นใจ และรู้ว่าพวกเขาสามารถปฏิบัติตามข้อกำหนดของ DFARS และข้อกำหนดในการประเมิน CMMC ในที่สุด” เอ็ดเวิร์ดกล่าวต่อ “นอกจากนี้ แพลตฟอร์มทั้งหมดสามารถกำหนดค่าเป็นมาตรฐาน CMMC ระดับ 3 และแม้แต่ CMMC ระดับ 5 หากคุณต้องการทำเช่นนั้น”
Microsoft ยังคงเป็นผู้นำความพยายามของอุตสาหกรรมเพื่อให้ธุรกิจขนาดเล็กสามารถปรับใช้เทคโนโลยีคลาวด์ผ่านโปรแกรม CMMC Acceleration ซึ่งเปิดตัวในปลายปี 2020 โปรแกรมนี้เป็นการ
