DFARS Compliance tem sido o ponto alto da mente para os empreiteiros principais, bem como para os fornecedores do Departamento de Defesa há já algum tempo. Mais de 87% dos contratos de DoD escritos em 2017 já tinham a cláusula DFARS 252.204-7012 escrita neles, e empreiteiros do DoD grandes e pequenos estão colhendo os benefícios da premiação de provar “segurança adequada” através da implementação do NIST SP 800-171, como vemos com nossa base de clientes. Na outra ponta do arco-íris de conformidade cibernética do DoD, alguns estão experimentando o lado negro de empurrar a conformidade, e estão atualmente correndo para encontrar uma solução para remover a barreira para ganhar prêmios. Vimos esta conta em primeira mão, pois ajudamos os clientes a usar CyberStrong para obter conformidade rapidamente.
De acordo com a publicação DoD Assessing the State of a Contractor’s Internal Information System in a Procurement Action, “Planos de ação, monitoramento contínuo e o plano de segurança do sistema (NIST SP 800-171 Security Requirements 312.2-3.12.4) deve atender a todos os requisitos de segurança”.
De acordo com o mesmo documento, um dos objectivos na avaliação de um contratante para aquisições é avaliar a implementação do NIST SP 800-171 / DFARS 252.204-7012 como um factor técnico separado para além da “segurança adequada”, portanto, o avaliador irá “incorporar o Plano de Segurança do Sistema (SSP) e o Plano de Acção no próprio contrato”. Tome nota: Se você ainda não tem um SSP ou POAM, talvez você queira considerar automatizá-los com a Plataforma CyberStrong.
Um outro objectivo importante a ter em conta é a organização que adjudica o contrato “Assess/track implementation of NIST SP 800-171 security requirements after contract award”. Este objetivo tem um efeito nas organizações que estão lutando com planilhas para provar a conformidade – elas devem considerar a utilização de uma plataforma de conformidade ao vivo e contínua para a conformidade DFARS como CyberStrong, que fará a prova de conformidade e o acompanhamento do progresso fácil, simples e direto. Nem só o subcontratado precisa rastrear e provar a conformidade, mas o contratante Prime também tem que rastrear todas as suas facetas e fornecedores. CyberStrong torna fácil para os fornecedores e primes ver o estado de conformidade e rastrear seu progresso para mostrar a devida diligência e provar “segurança adequada” se não melhor.
Com isso em mente, aqui está uma lista de riscos que você assume quando você empurra a conformidade DFARS 252.204-7012 ou está gerenciando-a de uma forma que dificulta o aspecto de prova de conformidade, como planilhas. Estes riscos são obtidos de forma credível através da National Law Review.
Licitações: A orientação do DoD mencionada acima é clara: SSPs e POA&Ms desempenham um papel na qualificação da “segurança adequada”, mas não sabemos que papel eles desempenharão nos protestos de licitação. O primeiro rascunho do documento de orientação diz que o DoD pode executar estas ações com base nestes documentos: ele pode fazer uma determinação aceitável/inaceitável com base no status de implementação para conceder ou não o contrato, ou pode avaliar a implementação “como um fator de avaliação técnica separado”. Isto sugere, entretanto, que mais requisitos do que o mínimo exigido no NIST SP 800-171 podem ser exigidos.
Como uma organização no processo de licitação, você pode ser negado por causa de inconsistências entre sua SSP e POAM e o estado de sua segurança cibernética relacionada ao NIST 800-171. Se a implementação do NIST SP 800-171 for inconsistente com seus documentos, o DoD ou Prime provavelmente irá escolher outro contrato. Independentemente disso, eles exigirão a SSP e POAM para revisão, já que estes fazem uma conferência de fornecedores para 2018. Se você recebeu um questionário no passado, saiba que esse documento não o torna compatível e esses documentos de conformidade são fundamentais para o seu sucesso.
Terminação: Para avaliar a conformidade com sua SSP e POAM, a orientação diz que seu contrato deve incluir requisitos de dados do contrato (CDRLs) que “exigem a entrega do Plano de Segurança do Sistema e de quaisquer Planos de ação após a adjudicação do contrato”. Mais uma vez, se você não tiver uma forma viva, transparente e simples de ter esses documentos prontos para cada novo contrato – automatize-os! A precisão do seu SSP e POAM, além de mostrar claramente que você está seguindo em direção à conformidade total, é fundamental. A SSP e POAM estarão em seu contrato, portanto, o não cumprimento pode facilmente levar à rescisão.
DCMA Audits: DoD deixou claro em apresentações e online que o DCMA irá verificar que o contratante tem um SSP e POA&M. Se você ainda não teve a DCMA a interagir com sua organização em relação ao NIST 800-171, isto pode ser no seu futuro.
False Claims Act: Este risco é importante de se tomar nota. O uso da SSP para avaliar suas medidas de segurança e usá-la como um produto relacionado a um contrato governamental pode aumentar o risco potencial de uma violação da Falsa Lei de Reclamações para sua empresa. Exemplo: Uma SSP pode deturpar o estado real de cibersegurança de um contratante, e a DoD pode tomar medidas baseadas em fraude na indução. O DoD pode estabelecer que o status de ciber-segurança de um contratante foi incluído na decisão de concessão, e isso pode potencialmente colocar todos os ganhos sob o contato em risco.