Trabalhando em colaboração para obter conformidade:Como duas premissas importantes de segurança cibernética estão impactando os fornecedores do DoD

Estima-se que existam cerca de 300.000 empresas na Base Industrial de Defesa (“DIB”) nos setores de manufatura e não manufatura. Aproximadamente 99% do DIB é formado por pequenas e médias empresas, que são empresas com menos de 500 funcionários.
Desde dezembro de 2017, todas as empresas do DIB têm a cláusula do Suplemento de Regulamentação de Aquisição Federal de Defesa (“DFARS”) (252.204-7012 - Proteção de Informações de Defesa Cobertas e Relatórios de Incidentes Cibernéticos) em seus contratos. Depois de quase três anos, parece haver uma série de suposições incorretas no DIB, duas das quais trazem uma discussão mais profunda ...

A primeira suposição:auto-atestados Não é Grande coisa

Como resultado da aceitação dos termos de um contrato com o DoD, os fabricantes atestam que usam “segurança cibernética adequada” para proteger as Informações Não Classificadas Controladas (“CUI”). A segurança cibernética adequada é definida pela cláusula DFARS como a implementação completa dos 110 requisitos de segurança descritos na Publicação Especial NIST 800-171.

Muitos fabricantes presumem que seu programa de segurança cibernética é suficiente. A maioria dos clientes CMTC geralmente começa seu compromisso de segurança cibernética estimando que eles são 70% - 80% compatíveis. No entanto, a média de execução após uma análise de lacuna básica é de cerca de 34% compatível.

Postagens anteriores em blogs cobriram os riscos legais frequentemente esquecidos associados à não conformidade com os requisitos de segurança cibernética. Em última análise, se uma empresa deseja fazer negócios com o Departamento de Defesa (DoD), ela deve aceitar os termos do contrato e, portanto, atestar sua postura de conformidade com a segurança cibernética.

A segunda premissa:somente os provedores de TI externos são a resposta

Muitas pequenas empresas carecem de pessoal e recursos de TI dedicados. Como resultado, muitos fabricantes utilizam provedores de serviços de TI terceirizados. Para que essas pequenas empresas operem, os provedores de serviços externos têm acesso administrativo tremendo aos sistemas de informação da empresa. Freqüentemente, os fabricantes presumem que tudo está ocorrendo conforme planejado. Os fabricantes precisam supervisionar seus provedores de TI terceirizados para entender quais ações estão sendo tomadas. A jornada cibernética do fabricante com um provedor de TI é colaborativa com a empresa envolvida nas atividades e resultados do trabalho de um provedor.

Além disso, em termos de exposição, cerca de metade dos 110 requisitos de segurança estão diretamente relacionados às operações técnicas e soluções tecnológicas normalmente fornecidas por um provedor de TI terceirizado. Algumas medidas de segurança cibernética são tão fundamentais para as operações comerciais que o governo presumiu razoavelmente que todos os fornecedores do DoD estariam gerenciando proativamente seus próprios riscos. É obrigatório que o fabricante e o provedor de TI trabalhem juntos para obter conformidade com o DoD. O fornecedor do DoD assumirá a responsabilidade pela conformidade em uma base de longo prazo.

Juntas, essas duas suposições principais e incorretas podem criar uma enorme dívida técnica e de conformidade.

A auditoria de conformidade de segurança cibernética do governo está a caminho, portanto, o melhor caminho a seguir é supervisionar seu provedor de TI e trabalhar colaborativamente para contribuir com sua conformidade geral.

Recomendado Próximas etapas

1) Concentre-se em seus requisitos DFARS existentes.

2) Reserve um tempo para entender completamente as premissas subjacentes ao NIST SP 800-171.

3) Estabelecer um processo robusto de gerenciamento de fornecedores terceirizados.

4) Reserve um tempo para entender completamente as obrigações contratuais de fluxo.

Para uma breve visão geral do ecossistema regulatório geral e uma discussão mais aprofundada dos tópicos descritos nesta postagem, você pode assistir ao webinar on-demand do CMTC aqui.