Si usted es un cliente o una empresa que apoya a los clientes que sirven al Departamento de Defensa (DoD) como contratista o subcontratista, es probable que haya oído hablar del Suplemento del Reglamento de Adquisición Federal de Defensa (DFARS). La protección de la información sensible de la defensa nacional compartida, creada y mantenida por las organizaciones privadas que apoyan los contratos del gobierno federal es vital para nuestra seguridad nacional. Los contratistas del DoD que procesan, difunden, almacenan o transmiten información no clasificada controlada (CUI) están obligados a cumplir con las normas mínimas de seguridad del DFARS o se arriesgan a perder los contratos existentes del DoD y la elegibilidad para futuros contratos.
Los requisitos de cumplimiento de seguridad del DFARS deben ser aplicados tanto por los contratistas como por los subcontratistas, siguiendo las directrices de la Publicación Especial 800-171 del Instituto Nacional de Estándares y Tecnología (NIST) «Protección de la información no clasificada controlada en sistemas y organizaciones de información no federales.» Afortunadamente, los requisitos de cumplimiento del DFARS son un conjunto de controles de seguridad estándar basados en las mejores prácticas que ya se utilizan para la seguridad de la información, por lo que el cumplimiento no es un reto desalentador. La Subparte 204.73 de la Regla de Ciberseguridad del DFARS (revisada el 28 de diciembre de 2017), «Salvaguarda de la Información de Defensa Cubierta y Reporte de Incidentes Cibernéticos» se puede encontrar aquí: http://www.acq.osd.mil/dpap/dars/dfars/html/current/204_73.htm
- Protección de la Información de Defensa Cubierta
- Minimum Requirements for Federal Contractors
- Gestión de subcontratistas y de la cadena de suministro
- Notificación de incidentes de ciberseguridad
- Proveedores de servicios en la nube
- Demostrar el cumplimiento del DFARS
- Prepárese – Se acercan las auditorías de cumplimiento
- Lo que los contratistas pueden hacer para estar preparados
- Ofertas de RSI Security:
Protección de la Información de Defensa Cubierta
Para lograr el cumplimiento de la ciberseguridad del DFARS, los sistemas de información de un contratista de defensa deben proporcionar las mismas protecciones y cumplir los mismos requisitos de cumplimiento del DFARS para los datos federales que un sistema de información federal interno. La protección de la Información de Defensa Cubierta (CDI) es un requisito fundamental del DFARS, y la CDI es un subconjunto de la Información No Clasificada Controlada (CUI). La CDI es proporcionada a un contratista por el DoD, y se convierte en la responsabilidad del contratista para proteger la seguridad e integridad de la información. La CDI tiene cuatro subcategorías, la información técnica controlada (CTI), la información de seguridad de las operaciones, la información controlada para la exportación y otra información marcada que requiere protección.
Evalúe su cumplimiento del DFARS
La CTI es información técnica relacionada con las operaciones militares, sin embargo, no se considera información general del DoD. Ver CTI no requiere una autorización de seguridad sin embargo no es información disponible al público. La CTI está sujeta a controles sobre su acceso, visualización, uso, divulgación, reproducción, modificación, ejecución o difusión. El DFARS proporciona una definición adicional para la CTI que incluye:
|
|
|
|
|
|
|
|
|
|
Minimum Requirements for Federal Contractors
DFARS (Defense Federal Acquisition Regulation Supplement) standards were rolled out in an interim rule published in August 2015 with the rule amended in October 2016. DFARS provides a regulatory structure for DoD contractors to proactively comply with certain security frameworks in order to reinforce cybersecurity for the DoD supply chain. En virtud de la cláusula 252.204-7012 del DFARS, «Salvaguarda de la información de defensa cubierta e informe de incidentes cibernéticos», los contratistas del DoD deben cumplir con la publicación especial 800-171 del NIST que proporciona un marco de requisitos para que los contratistas protejan la información de defensa sensible en sistemas no clasificados y no federales e informen de los incidentes de ciberseguridad.
El marco normativo de la cláusula 252.204-7012 del DFARS requiere que los contratistas de defensa documenten específicamente cómo se cumplen los siguientes componentes de los requisitos:
- El primer componente implica proporcionar una seguridad adecuada para cualquier sistema de información del contratista no federal cubierto. La seguridad adecuada se define como las medidas de protección en consonancia con los daños que podrían producirse debido al acceso no autorizado, la pérdida, el mal uso o la modificación de la información debido a un incidente de seguridad. El cumplimiento de las directrices del NIST SP 800-171 proporciona efectivamente una «seguridad adecuada»
- El segundo componente implica la notificación de incidentes de ciberseguridad. Los elementos mínimos requeridos del informe de incidentes cibernéticos se pueden encontrar aquí: http://dibnet.dod.mil. El portal DIBNet es una puerta de entrada para que los contratistas y subcontratistas del DoD reporten incidentes cibernéticos y participen voluntariamente en el Programa de Ciberseguridad del DoD.
- Un contratista que utiliza una solución en la nube para alojar o procesar datos para un contrato del DoD debe asegurarse de que el proveedor de servicios en la nube cumple con los requisitos de seguridad establecidos en la línea de base moderada del Programa Federal de Gestión de Riesgos y Autorizaciones («FedRamp») y debe cumplir con los requisitos específicos del DFARS, incluidos los requisitos de notificación de incidentes.
- Las normas NIST SP 800-171 son aplicables cuando un contratista utiliza la computación en la nube interna (no una plataforma de terceros) en un sistema empresarial para alojar o procesar datos para apoyar un contrato del DoD.
- Un contratista que utiliza la computación en la nube para proporcionar servicios de TI al DoD debe cumplir con los requisitos de la «Guía de requisitos de seguridad de la computación en la nube» (SRG) https://iasecontent.disa.mil/cloud/SRG/index.html. La SRG esboza un modelo de seguridad que proporciona controles y requisitos de niveles de servicio y seguridad para que los contratistas implementen y mantengan los controles de seguridad físicos, administrativos y técnicos necesarios para utilizar los servicios basados en la nube.
- Verificar que el contratista tiene un SSP
- Verificar que el contratista ha presentado una notificación de 30 días que enumera cualquier control de seguridad que aún no se ha implementado.
- Verificar que el contratista tiene un certificado de infraestructura de clave pública (PKI) de garantía media válido requerido para la notificación de incidentes cibernéticos (Política de Certificados ECA https://iase.disa.mil/pki/eca/Pages/index.aspx).
- Revisar los controles de seguridad del NIST SP 800-171 para verificar que los controles de seguridad de su organización proporcionan una protección adecuada contra una amplia gama de posibles ciberataques.
- Realizar una evaluación de las deficiencias para determinar si no se cumplen los controles de seguridad requeridos y remediar las deficiencias identificadas mediante el desarrollo de un SSP y POA&M
- Si su organización trabaja con subcontratistas y proveedores, desarrollar un plan para evaluar su cumplimiento y garantizar que todos los CDI que fluyen hacia los subcontratistas están protegidos con los controles de seguridad adecuados.
- Desarrolle un plan para el seguimiento de los requisitos de flujo descendente de CDI para compartir información con los subcontratistas y proveedores a través de toda la cadena de suministro.
Si se determina que el software malicioso es parte del incidente reportado, también se debe enviar una descripción del evento al Centro de Cibercrimen del DoD. Las directrices para la notificación de incidentes requieren la conservación y protección de las imágenes de todos los sistemas de información afectados conocidos y de todos los datos relevantes de monitorización/captura de paquetes durante un mínimo de 90 días desde la presentación de un informe de incidente cibernético. Si el DoD decide llevar a cabo una evaluación formal de los daños causados por un evento de ciberseguridad, un contratista estaría obligado a presentar los medios y otros materiales que apoyan esa evaluación.
Los requisitos específicos del DFARS se exploran con más detalle a continuación.
Gestión de subcontratistas y de la cadena de suministro
La cláusula 252.204-7012 del DFARS se modificó para limitar el cumplimiento del flujo a los subcontratistas y proveedores cuyos esfuerzos implican CDI o se consideran apoyo operacionalmente crítico. Los contratistas principales del DoD bajo el DFARS están obligados a ser proactivos mediante el fortalecimiento de toda la cadena de suministro, asegurando no sólo su propio cumplimiento del DFARS, sino asegurando que los subcontratistas demuestren el cumplimiento también. En consecuencia, los subcontratistas son responsables de informar de cualquier práctica que pueda desviarse de las directrices del DFARS y del NIST 800-171 antes de compartir cualquier CDI con el subcontratista. Es importante que un contratista principal controle qué información fluye hacia los subcontratistas basándose en los datos CDI a los que un subcontratista necesitará acceder para realizar su trabajo asignado bajo un contrato federal.
Notificación de incidentes de ciberseguridad
La responsabilidad de un contratista según las normas DFARS en caso de un incidente de ciberseguridad que comprometa la integridad de la información o un sistema de información es la notificación rápida, que requiere informar del incidente al DoD en un plazo de 72 horas. Para determinar el alcance de un posible compromiso, se requiere una evaluación que, como mínimo, debe incluir una lista de sistemas, datos técnicos y usuarios comprometidos, así como una lista de cualquier otro sistema que pudiera haber sido comprometido. La evaluación también debe proporcionar una revisión exhaustiva del sistema y proporcionar métodos para prevenir cualquier incidente futuro.
Los eventos de ciberseguridad experimentados por los subcontratistas deben ser reportados al contratista principal o al subcontratista del siguiente nivel, con pruebas proporcionadas según los requisitos del DFARS. El contratista principal es responsable de la notificación de incidentes del DoD con pruebas presentadas como se detalla para los contratistas anteriormente.
Proveedores de servicios en la nube
Si un contratista utiliza un proveedor de servicios en la nube para almacenar, procesar o transmitir CDI para un contrato del DoD, hay tres normas de seguridad que pueden ser relevantes para el cumplimiento del DFARS:
Demostrar el cumplimiento del DFARS
Actualmente se considera que la autocertificación es suficiente para demostrar el cumplimiento del DFARS, por lo que una auditoría de terceros no es un requisito. Un SSP bien documentado basado en el NIST 800-171 que conecte los controles con su implementación, o un control compensatorio, es suficiente para resolver cualquier duda que pueda surgir. La evaluación técnica de una propuesta de contrato gubernamental puede utilizar el SSP y también puede solicitar un Plan de Acción e Hitos (POA&M) para documentar el cumplimiento como parte de la consideración para la adjudicación de un contrato del DoD.
Para los fabricantes que proporcionan productos dentro de las cadenas de suministro para el DoD, el NIST proporciona un manual de autoevaluación, el Manual NIST 162, «Manual de autoevaluación de ciberseguridad NIST MEP para evaluar los requisitos de seguridad NIST SP 800-171 en respuesta a los requisitos de ciberseguridad de cumplimiento DFARS.» El manual proporciona una guía paso a paso para evaluar los sistemas de información de un pequeño fabricante frente a los requisitos de seguridad del NIST SP 800-171.
Prepárese – Se acercan las auditorías de cumplimiento
En enero de 2019, el Subsecretario de Defensa emitió un memorando que documenta la intención de auditar la cadena de suministro del DoD para el cumplimiento del DFARS. El memorando encarga a la Agencia de Gestión de Contratos de Defensa (DCMA) la auditoría de todos los contratistas de primer nivel para validar el cumplimiento del contratista con los requisitos de la cláusula 252.204-7012 del DFARS. Una auditoría de la DCMA para una organización con un contrato del DoD con CDI generalmente incluirá lo siguiente:
Los requisitos de auditoría sólo requieren la evaluación directa de la DCMA de los proveedores de primer nivel, sin embargo se espera que esto afecte a toda la cadena de suministro del DoD para los socios comerciales de los contratistas también. Si una organización quiere competir por contratos del DoD en el mercado de la cadena de suministro y ser capaz de demostrar su responsabilidad con un fácil «Sí» en una encuesta de proveedores del DFARS, sea proactiva y contacte con un Proveedor de Servicios de Seguridad Gestionada (MSSP) de terceros experto en seguridad. Un MSSP con experiencia especializada en los requisitos de cumplimiento del DFARS para contratistas del Departamento de Defensa ayudará a su organización a realizar la evaluación y la auditoría requeridas, y a llevar a cabo cualquier trabajo de corrección necesario para lograr el cumplimiento del DFARS.
Conseguir el cumplimiento del DFARS/NIST SP 800-171 no es una solución única. Se trata de un proceso continuo de evaluación, supervisión y mejora para garantizar que su organización mantenga el cumplimiento de los requisitos de seguridad en constante evolución y, por tanto, la elegibilidad como contratista del Departamento de Defensa. Un MSSP como RSI Security, con experiencia especializada en servicios de cumplimiento para contratistas del DoD que deben cumplir con el DFARS y la ciberseguridad supervisada, ayudará a su organización a realizar la evaluación y la auditoría requeridas, y a llevar a cabo cualquier trabajo de corrección necesario para lograr el cumplimiento del DFARS/NIST SP 800-171. Póngase en contacto con nosotros hoy para obtener ayuda personal con todas sus necesidades de servicios de asesoramiento sobre el cumplimiento.
Un contratista de defensa que es auditado por el DoD y se encuentra que no está en cumplimiento probablemente se enfrentaría a una orden de suspensión de trabajo. Esto significaría que cualquier trabajo realizado para un contrato del DoD se suspendería hasta que se implementen las medidas de seguridad adecuadas para proteger eficazmente la CDI. El DoD también podría imponer sanciones económicas que podrían incluir daños y perjuicios por incumplimiento de contrato o reclamaciones falsas. En los casos de incumplimiento grave, el DoD podría rescindir los contratos o incluso suspender al contratista para que no vuelva a trabajar con el DOD.
Lo que los contratistas pueden hacer para estar preparados
Para estar preparados bajo los requisitos actuales y futuros del DFARS, los contratistas pueden ser proactivos con lo siguiente:
La lista de verificación de cumplimiento del DFARS también puede ser una herramienta útil en la preparación para el cumplimiento del DFARS.
Un MSSP como RSI Security que tiene experiencia especializada en servicios de cumplimiento para los contratistas del Departamento de Defensa puede ayudar a su organización en la evaluación del cumplimiento actual y la realización de cualquier trabajo de remediación necesario para lograr el cumplimiento del DFARS/NIST SP 800-171. Póngase en contacto con nosotros hoy para obtener ayuda personal con todas sus necesidades de evaluación y cumplimiento.
Ofertas de RSI Security:
RSI Security ha estado ayudando a todos, desde corporaciones hasta contratistas individuales, a pasar el cumplimiento del DFARS durante 10 años. Somos uno de los líderes en seguridad digital y consultoría. Estamos bien versados en todos los aspectos del cumplimiento de la seguridad y lo tendremos en conformidad con el DFARS de manera oportuna. También tenemos una relación positiva con el DoD que puede facilitar algunos de los obstáculos que vienen un esfuerzo tan complicado.
Nuestros servicios de seguridad son de primera clase todo el camino, utilizando las mejores herramientas, disposiciones y prácticas para mantener su empresa a salvo de las violaciones de datos de seguridad perjudiciales. Las evaluaciones de vulnerabilidad, la supervisión del comportamiento en tiempo real, la detección de intrusiones, el seguimiento de patrones digitales sofisticados y una comprensión inherente de cómo operan los hackers son sólo algunas de las razones por las que RSI Security es un líder en soluciones de ciberseguridad digital.
Consulte nuestro sitio web para obtener más información y conocer los diversos servicios que ofrecemos.