El Cumplimiento del DFARS ha sido lo más importante para los contratistas principales, así como para los proveedores del Departamento de Defensa desde hace algún tiempo. Más del 87% de los contratos del DoD escritos en 2017 ya tenían la cláusula DFARS 252.204-7012 escrita en ellos, y los contratistas del DoD, grandes y pequeños, están cosechando los beneficios de la adjudicación de probar la «seguridad adecuada» a través de la implementación de NIST SP 800-171, como vemos con nuestra base de clientes. En el otro extremo del arco iris de la conformidad cibernética del Departamento de Defensa, algunos están experimentando el lado oscuro de posponer la conformidad, y actualmente se están apresurando a encontrar una solución para eliminar la barrera para ganar premios. Hemos visto esta cuenta de primera mano, ya que hemos ayudado a los clientes a utilizar CyberStrong para cumplir con la normativa rápidamente.
Según la publicación del DoD Assessing the State of a Contractor’s Internal Information System in a Procurement Action, «los planes de acción, la supervisión continua y el plan de seguridad del sistema (NIST SP 800-171 Security Requirements 312.2-3.12.4) deben abordar todos los requisitos de seguridad».
Según el mismo documento, uno de los objetivos a la hora de evaluar a un contratista para la contratación es valorar la implementación del NIST SP 800-171 / DFARS 252.204-7012 como un factor técnico independiente además de la «seguridad adecuada», por lo que el evaluador «incorporará el Plan de Seguridad del Sistema (SSP) y el Plan de Acción en el propio contrato». Toma nota: si aún no tienes un SSP o POAM, podrías considerar automatizarlos con la Plataforma CyberStrong.
Otro objetivo importante a tener en cuenta es que la organización que adjudica el contrato «Evaluará/seguirá la implementación de los requisitos de seguridad del NIST SP 800-171 tras la adjudicación del contrato». Este objetivo tiene un efecto en las organizaciones que están luchando contra las hojas de cálculo para demostrar el cumplimiento – deben considerar el uso de una plataforma de cumplimiento en vivo y continua para el cumplimiento de DFARS como CyberStrong, que hará que demostrar el cumplimiento y el seguimiento del progreso sea fácil, simple y directo. No sólo el subcontratista tiene que hacer un seguimiento y demostrar el cumplimiento, sino que el contratista principal también tiene que hacer un seguimiento de todas sus facetas y proveedores. CyberStrong hace que sea fácil tanto para los proveedores como para las empresas principales ver el estado de cumplimiento y hacer un seguimiento de su progreso para mostrar la debida diligencia y demostrar una «seguridad adecuada», si no mejor.
Con esto en mente, aquí hay una lista de los riesgos que se corren cuando se posterga el cumplimiento del DFARS 252.204-7012 o se gestiona de una manera que hace que el aspecto de probar el cumplimiento sea difícil, como las hojas de cálculo. Estos riesgos proceden de forma creíble del National Law Review.
Licitaciones: La guía del DoD de la que hablamos anteriormente es clara en cuanto a que los SSP y los POA&M juegan un papel en la calificación de la «seguridad adecuada», pero no sabemos qué papel jugarán en las protestas de ofertas. El primer borrador del documento de orientación dice que el DoD puede ejecutar estas acciones basadas en estos documentos: puede hacer una determinación aceptable/inaceptable basada en el estado de implementación para adjudicar el contrato o no, o puede evaluar la implementación «como un factor de evaluación técnica separado.» Esto sugiere, sin embargo, que se pueden requerir más requisitos que el mínimo exigido en el NIST SP 800-171.
Como organización en el proceso de licitación, podría ser rechazada debido a las inconsistencias entre su SSP y POAM y el estado de su ciberseguridad relacionada con el NIST 800-171. Si la implementación del NIST SP 800-171 por parte del adjudicatario es inconsistente con sus documentos, el DoD o el Prime probablemente elegirán otro contrato. En cualquier caso, requerirán la SSP y el POAM para su revisión, ya que estos hacen una concesión al proveedor para 2018. Si ha recibido un cuestionario en el pasado, sepa que ese documento no le hace cumplir y que estos documentos de cumplimiento son primordiales para su éxito.
Terminación: Para evaluar el cumplimiento de su SSP y POAM, la guía dice que su contrato debe incluir requisitos de datos del contrato (CDRL) que «requieren la entrega del Plan de Seguridad del Sistema y cualquier Plan de acción después de la adjudicación del contrato.» Una vez más, si no tiene una forma viva, transparente y sencilla de tener esos documentos listos para cada nuevo contrato, ¡automatice los mismos! La exactitud de su SSP y POAM, además de mostrar claramente que está avanzando hacia el cumplimiento total, es primordial. El SSP y el POAM estarán en su contrato, por lo tanto, el incumplimiento podría conducir fácilmente a la terminación.
Auditorías de la DCMA: El DoD ha dejado claro en presentaciones y en línea que la DCMA verificará que el contratista tenga un SSP y POA&M. Si aún no ha hecho que la DCMA interactúe con su organización en relación con el NIST 800-171, esto podría estar en su futuro.
Ley de Reclamaciones Falsas: Este riesgo es importante tenerlo en cuenta. El uso de la SSP para evaluar sus medidas de seguridad y utilizarla como un entregable relacionado con un contrato gubernamental puede aumentar el riesgo potencial de una violación de la Ley de Reclamaciones Falsas para su empresa. Ejemplo: Un SSP puede tergiversar el estado real de ciberseguridad de un contratista, y el DoD puede tomar medidas basadas en el fraude en la inducción. El DoD puede establecer que el estado de ciberseguridad de un contratista fue incluido en la decisión de adjudicación, y esto podría potencialmente poner en riesgo todas las ganancias bajo el contacto.