La conformità DFARS è stata per qualche tempo in cima alle preoccupazioni degli appaltatori principali e dei fornitori del Dipartimento della Difesa. Oltre l’87% dei contratti del DoD scritti nel 2017 avevano già la clausola DFARS 252.204-7012 scritta in essi, e gli appaltatori del DoD grandi e piccoli stanno raccogliendo i benefici del premio per dimostrare “sicurezza adeguata” attraverso l’implementazione di NIST SP 800-171, come vediamo con la nostra base clienti. Dall’altra parte dell’arcobaleno della cyber conformità del DoD, alcuni stanno sperimentando il lato oscuro della rinuncia alla conformità, e attualmente si stanno affrettando a trovare una soluzione per rimuovere la barriera per vincere i premi. Abbiamo visto questo conto in prima persona, dato che abbiamo aiutato i clienti a usare CyberStrong per diventare conformi velocemente.
Secondo la pubblicazione del DoD Assessing the State of a Contractor’s Internal Information System in a Procurement Action, “I piani di azione, il monitoraggio continuo e il piano di sicurezza del sistema (NIST SP 800-171 Security Requirements 312.2-3.12.4) devono affrontare tutti i requisiti di sicurezza”.
Secondo lo stesso documento, uno degli obiettivi nella valutazione di un appaltatore per l’approvvigionamento è valutare l’implementazione di NIST SP 800-171 / DFARS 252.204-7012 come un fattore tecnico separato oltre alla “sicurezza adeguata”, quindi, il valutatore “incorporerà il piano di sicurezza del sistema (SSP) e il piano di azione nel contratto” stesso. Prendete nota: se non avete ancora un SSP o un POAM, potreste considerare di automatizzarli con la piattaforma CyberStrong.
Un altro obiettivo importante di cui prendere nota è l’organizzazione che assegna il contratto: “Valutare/tracciare l’implementazione dei requisiti di sicurezza NIST SP 800-171 dopo l’assegnazione del contratto”. Questo obiettivo ha un effetto sulle organizzazioni che stanno lottando con i fogli di calcolo per dimostrare la conformità – dovrebbero prendere in considerazione l’utilizzo di una piattaforma di conformità live e continua per la conformità DFARS come CyberStrong, che renderà la dimostrazione della conformità e il monitoraggio dei progressi facile, semplice e diretto. Non solo il subappaltatore ha bisogno di tracciare e dimostrare la conformità, ma il primo appaltatore deve anche tracciare tutte le sue sfaccettature e i suoi fornitori. CyberStrong rende facile sia per i fornitori che per le prime di vedere lo stato di conformità e di tracciare i loro progressi per mostrare la dovuta diligenza e dimostrare “un’adeguata sicurezza” se non meglio.
Con questo in mente, ecco una lista di rischi che si corrono quando si rimanda la conformità DFARS 252.204-7012 o la si gestisce in un modo che rende difficile l’aspetto di dimostrare la conformità, come i fogli di calcolo. Questi rischi provengono in modo credibile dalla National Law Review.
Offerte: La guida del DoD di cui sopra è chiaro che gli SSP e i POA&Ms giocano una parte nella qualificazione della “sicurezza adeguata”, ma non sappiamo quale parte giocheranno nelle proteste delle offerte. La prima bozza del documento di guida dice che il DoD può eseguire queste azioni basate su questi documenti: può fare una determinazione accettabile/non accettabile basata sullo stato di implementazione per assegnare o meno il contratto, o può valutare l’implementazione “come un fattore di valutazione tecnica separato.” Questo suggerisce, tuttavia, che possono essere richiesti più requisiti del minimo richiesto in NIST SP 800-171.
Come organizzazione nel processo di offerta, potreste essere negati a causa di incongruenze tra il vostro SSP e POAM e lo stato della vostra sicurezza informatica relativa a NIST 800-171. Se l’implementazione del premiato di NIST SP 800-171 non è coerente con i suoi documenti, il DoD o Prime probabilmente sceglierà un altro contratto. Indipendentemente da ciò, richiederanno l’SSP e il POAM per la revisione, poiché quelli fanno un conferimento al fornitore per il 2018. Se hai ricevuto un questionario in passato, sappi che quel documento non ti rende conforme e questi documenti di conformità sono fondamentali per il tuo successo.
Terminazione: Per valutare la conformità con il vostro SSP e POAM, la guida dice che il vostro contratto deve includere i requisiti dei dati del contratto (CDRL) che “richiedono la consegna del piano di sicurezza del sistema e qualsiasi piano di azione dopo l’aggiudicazione del contratto”. Ancora una volta, se non avete un modo vivo, trasparente e semplice di preparare questi documenti per ogni nuovo contratto, automatizzateli! L’accuratezza del vostro SSP e POAM, oltre a mostrare chiaramente che state tracciando verso la piena conformità, è fondamentale. La SSP e il POAM saranno nel vostro contratto, quindi, la mancata conformità potrebbe facilmente portare alla rescissione.
Audit DCMA: Il DoD ha chiarito nelle presentazioni e online che il DCMA verificherà che l’appaltatore abbia un SSP e un POA&M. Se non avete ancora fatto interagire il DCMA con la vostra organizzazione riguardo al NIST 800-171, questo potrebbe essere nel vostro futuro.
False Claims Act: Questo rischio è importante da prendere in considerazione. L’uso dell’SSP per valutare le vostre misure di sicurezza e usarlo come deliverable relativo a un contratto governativo può aumentare il rischio potenziale di una violazione del False Claims Act per la vostra azienda. Esempio: Una SSP può travisare il reale stato di sicurezza informatica di un appaltatore, e il DoD può intraprendere un’azione basata sulla frode nell’induzione. Il DoD può stabilire che lo stato di cybersicurezza di un appaltatore è stato incluso nella decisione di aggiudicazione, e questo potrebbe potenzialmente mettere a rischio tutti i guadagni sotto il contatto.