Cubra sus bases: ciberseguridad para el contratista del gobierno
La orientación y los requisitos de ciberseguridad para los contratistas gubernamentales continúan evolucionando y tendrán un gran impacto en el cumplimiento de los contratistas. Se espera que los contratistas de defensa y los contratistas civiles cumplan con los nuevos requisitos de Suplemento del Reglamento de Adquisiciones Federales de Defensa (DFARS) 252.204-7012. Es importante tener en cuenta que estos nuevos requisitos se aplican a todos los contratistas y proveedores gubernamentales, independientemente de su tamaño. Específicamente, cubre la protección de la información de defensa cubierta (CDI), la notificación de incidentes cibernéticos y el 32 Código de Regulaciones Federales (CFR).
Contratistas y computación en la nube
Existen obligaciones para los contratistas que planean implementar la computación basada en podría. Las propuestas de los contratistas deben incluir soluciones basadas en la nube que cumplan con los requisitos de TI del Departamento de Defensa. Los requisitos impuestos incluyen:
- Almacenamiento de todos los datos gubernamentales basados en la nube en EE. UU.
- Proporcionar acceso a los datos durante cualquier investigación, inspección o auditoría del gobierno.
- Obtención de autorización de la Agencia de Sistemas de Información de Defensa
Además, los contratistas que brindan servicios de información basados en la nube deben seguir los requisitos de notificación de cualquier software malicioso, incidentes cibernéticos o solicitudes de información de terceros, incluidas las agencias estatales y federales locales. Toda la información debe proporcionarse para un análisis forense.
El diablo está en los detalles
Los contratistas deberán cumplir con las líneas de base de seguridad y determinar su propio perfil de riesgo. Los contratistas que desarrollen un producto o servicio deberán seguir las pautas de NIST SP 800-171. Los contratistas del gobierno deberán usar software de monitoreo continuo desarrollado por Homeland Security o desarrollar software propietario que cumpla con los requisitos de la agencia. Para aquellos que usan sus propios sistemas, debe cumplir con la guía NIST-800-171. También se espera que los contratistas estén sujetos a una inspección y auditoría más intensas.
Cubriendo sus bases
Los contratistas que operan o poseen sistemas de información que procesan, almacenan o transmiten información federal deben realizar una evaluación de brechas para saber qué cambios deben implementarse para cumplir con los nuevos requisitos básicos. Es posible que sea necesario llenar los vacíos con contratos presentes o futuros.
Si no cumple con las nuevas regulaciones, su negocio está en riesgo. El DOD puede imponer sanciones al burlador. Se puede suspender una orden de trabajo hasta que se asegure CDI. También puede dar lugar a sanciones contractuales, civiles y penales. Las consecuencias pueden incluir:
- Suspensión
- Daños y perjuicios
- Incumplimiento de daños contractuales
- Terminacion por conveniencia
- Daños de la Ley de Reclamaciones Falsas
- Terminación por Incumplimiento
- Desempeño pasado deficiente
No importa si es una pequeña empresa o una gran empresa. No importa si proporciona productos o servicios. No importa si es un subcontratista o un contratista principal. Su empresa debe cumplir con las medidas de seguridad cibernética DFARS 252.204-7012.
Hoy, el gobierno depende de contratistas externos para procesar y almacenar datos sensibles que pueden amenazar la seguridad nacional del país. “El conjunto de estándares mínimos de ciberseguridad se describe en la Publicación especial 800-171 del NIST y se divide en catorce áreas. En cada una de estas áreas, existen requisitos de seguridad específicos que los contratistas del DOD deben implementar. Se requiere el cumplimiento total a más tardar el 31 de diciembre de 2017. El contratista debe notificar al CIO del DoD dentro de los 30 días posteriores a la adjudicación del contrato, de cualquier requisito de seguridad que no se haya implementado en el momento de la adjudicación del contrato. El contratista puede proponer medidas alternativas igualmente efectivas al CIO del Departamento de Defensa a través de su oficial de contratación. El NIST SP 800-37, Las secciones 3.3 a 3.6 de la Guía para aplicar el marco de gestión de riesgos a los sistemas de información federales pueden proporcionar a las pequeñas empresas un enfoque sistemático paso a paso para implementar, evaluar y monitorear los controles ".
Además, la Oficina de Programas para Pequeñas Empresas del DOD ha reunido una lista detallada de recursos de ciberseguridad para pequeñas empresas en su sitio web en http://business.dodrif.com/resources.php.
Deja una respuesta
Publicaciones similares