Las empresas que hacen negocios con el Departamento de Defensa (DoD) a menudo se convierten en blanco de diferentes ciberataques. Los contratistas de defensa se convierten en objetivos porque el Departamento de Defensa los contrata para llevar a cabo diversas tareas, incluido el almacenamiento y el intercambio de información confidencial. Por lo tanto, sin las salvaguardias de seguridad adecuadas, puede amenazar las vidas de los miembros del servicio y la seguridad nacional.
Es por eso que las regulaciones de ciberseguridad y privacidad se han cambiado o actualizado durante la última década. Los piratas informáticos están encontrando formas nuevas y sofisticadas de lanzar ataques cibernéticos a los sistemas de información de contratistas y subcontratos. Como resultado, el Departamento de Defensa ha implementado leyes y regulaciones para proteger sus datos.
Varios estándares de ciberseguridad pueden provenir de agencias federales, estatales, locales o tribales. Por lo tanto, este artículo servirá como una breve guía de algunas regulaciones de ciberseguridad del Departamento de Defensa.
Cumplimiento del Suplemento del Reglamento Federal de Adquisiciones de Defensa (DFARS)
Los contratistas y proveedores externos del Departamento de Defensa deben cumplir con los controles de seguridad básicos del DFARS para ser considerados conformes. Los contratistas deben aprobar la evaluación de preparación siguiendo las pautas de NIST SP800-171. Además, si un contratista o subcontratista utiliza un sistema basado en la nube en nombre del Departamento de Defensa, debe cumplir con DFARS 252.239-7010.
El DFARS es un conjunto de estándares de ciberseguridad que los contratistas de defensa deben cumplir si manejan información controlada no clasificada (CUI). Estos estándares tienen como objetivo proteger la confidencialidad de la CUI según el NIST SP800-171.
Hay dos requisitos básicos de ciberseguridad que se espera que cumplan los contratistas de defensa:
- Si un contrato almacena información de defensa en sus sistemas internos de información no clasificada, debe garantizar la seguridad adecuada para proteger esa información.
- Los contratistas deben informar los incidentes cibernéticos al Departamento de Defensa y trabajar con ellos para responder a la amenaza o violación de la seguridad.
Si un contratista no cumple con estos estándares, su contrato con el Departamento de Defensa se suspenderá hasta que cumpla con DFARS. Además, podrían ser penalizados económicamente, como ser demandados por incumplimiento de contrato.
Cumplimiento de la certificación del modelo de madurez de ciberseguridad (CMMC)
Para proteger la información en los sistemas de información de un contratista, el Departamento de Defensa introdujo recientemente el marco de Certificación del Modelo de Madurez de Ciberseguridad (CMMC) para evaluar la confiabilidad y madurez de su infraestructura de ciberseguridad.
El CMMC tiene cinco niveles que miden y verifican el nivel de prácticas de ciberseguridad dentro de la organización de un proveedor o contratista. Los contratistas de defensa deben completar uno de los cinco niveles. El nivel que necesita alcanzar puede estar determinado por su trabajo y el tipo de información que manejará.
Todos los contratistas del Departamento de Defensa, incluidos los subcontratistas, exigen el cumplimiento de CMMC. Además, el CMMC evalúa si cumple con otros requisitos de ciberseguridad como ISO 27001 y NIST SP 800-53.
Por lo tanto, los contratistas principales deben trabajar con los subcontratistas para implementar un plan de seguridad CMMC para garantizar que las salvaguardias adecuadas protejan a CUI. El incumplimiento de los estándares establecidos en CMMC podría afectar su capacidad para competir por contratos del Departamento de Defensa en el futuro.
Ley de Autorización de Defensa Nacional (NDAA)
La Ley de Autorización de Defensa Nacional (NDAA) cubre una variedad de actividades y programas para el Departamento de Defensa, incluido el abordaje de cuestiones relacionadas con las necesidades digitales y de ciberseguridad. Las disposiciones de ciberseguridad que los contratistas de defensa deben tomar en cuenta incluyen:
- Segundo. 1501 otorga al Departamento de Defensa la directiva de tener una taxonomía sobre las capacidades cibernéticas que afectan las operaciones cibernéticas.
- Segundo. 1508 especifica que el Comando Cibernético de EE. UU. debe colaborar con organizaciones de tecnología de la información y ciberseguridad del sector privado en el desarrollo de métodos para defender al país y al departamento contra ciberactores maliciosos extranjeros.
- Segundo. 1511 establece que los contratos sobre la Solución de Oficina Empresarial de Defensa (DEOS) y el Acuerdo de Software Empresarial (ESA) deben analizar comparativamente las capacidades de ciberseguridad. La NSA y la DISA deben hacer esto.
- Segundo. 1533 se refiere a todo lo que tiene que ver con el programa CMMC. Esto incluye el cumplimiento y las funciones y responsabilidades requeridas de los contratistas para gestionar el desempeño de la ciberseguridad de sus subcontratistas.
Instituto Nacional de Estándares y Tecnología (NIST)
El Instituto Nacional de Estándares y Tecnología (NIST) produjo un marco de ciberseguridad para ayudar a las organizaciones con pautas para mejorar su ciberseguridad y gestionar mejor los riesgos cibernéticos. Además, el manual del NIST está ahí para ayudar a los contratistas a autoevaluar si cumplen con los requisitos de ciberseguridad DFARS 2552.204-7012 y NIST SP 800-171.
El marco NIST se centra en cómo una organización puede identificar, detectar, responder, proteger y recuperarse de las ciberamenazas. Además, guía a los contratistas para implementar marcos en la gestión de riesgos organizacionales . El marco se actualiza periódicamente para ayudar a los contratistas a responder eficazmente a los nuevos y sofisticados riesgos de ciberseguridad que puedan surgir.
Industria de tarjetas de pago: cumplimiento del estándar de seguridad de datos (PCI-DSS)
El cumplimiento de PCI-DSS significa que ha tomado las medidas de seguridad necesarias para garantizar que el procesamiento, almacenamiento y transferencia de datos de tarjetas de crédito se mantengan en un entorno seguro y protegido. Por lo tanto, independientemente del tamaño de su organización o transacción, necesita proteger dicha información. De lo contrario, tendrás que pagar multas si tu empresa no cuenta con la seguridad adecuada para salvaguardar los datos de las tarjetas de crédito.
Como contratista de defensa, se le exigirá que cumpla con los requisitos del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS). El Departamento de Defensa tiene acceso a importantes fondos que cualquiera puede robar durante un ciberataque. Si la información de la tarjeta de crédito del Departamento de Defensa cayera en las manos equivocadas, podría causar un riesgo de seguridad.
Cumplimiento de datos del consumidor
Cualquier organización que almacene datos de clientes debe contar con medidas de seguridad para garantizar que los datos estén protegidos . Como contratista de defensa, debe cumplir con varias leyes estatales de privacidad que lo guiarán sobre las formas de recopilar y utilizar los datos de los clientes de manera legal. Por lo tanto, como contratista del Departamento de Defensa, debe cumplir con esta política.
Además, debe notificar al Departamento de Defensa si una infracción puede haber comprometido los datos de sus consumidores. No hacerlo resultará en una multa por parte de la Comisión Federal de Comercio (FTC). Además, el Departamento de Defensa puede suspender su contrato hasta que resuelva el problema o, en el peor de los casos, rescinda su contrato.
Conclusión
Incluso si se tienen los controles y controles más importantes, alguien puede romper las medidas. Es por eso que los estándares de ciberseguridad seguirán cambiando para un contratista de defensa a medida que avance la tecnología. Además, los cambios se verán influenciados aún más por el aumento de los intentos de robar tecnología de defensa crítica y datos confidenciales. Por lo tanto, debes cumplir con los estándares de ciberseguridad del Departamento de Defensa. Sin embargo, si tiene un problema de ciberseguridad, como un respiro en sus sistemas de información, debe informar inmediatamente al Departamento de Defensa.