Seguridad

Las nuevas regulaciones de seguridad del Departamento de Defensa tienen implicaciones para los contratistas de TI

Con miles de millones de dólares en contratos federales en juego, los proveedores de tecnología de la información están siendo arrastrados por los nuevos requisitos de seguridad de la información del Departamento de Defensa de EE. UU. que serán obligatorios para los proveedores de TI y otras empresas que hacen negocios con el Departamento de Defensa.

Si bien las empresas de TI han incorporado elementos de protección de datos en los productos y servicios que brindan al Departamento de Defensa, el departamento está elevando el nivel de cómo los proveedores manejan la seguridad de la información. El Departamento de Defensa se preocupa por proteger la «Información no clasificada controlada» (CUI, por sus siglas en inglés), que cubre una amplia gama de temas que incluyen armas y asuntos de defensa, problemas nucleares, información patentada, inteligencia e infraestructura crítica.

La principal diferencia entre las medidas del Departamento de Defensa existentes y el nuevo programa es que se requiere un «tercero» independiente para verificar las capacidades de seguridad de un proveedor, en lugar del actual proceso de autocertificación. El Departamento de Defensa tiene como objetivo incorporar los requisitos de Certificación de Madurez del Modelo de Seguridad Cibernética (CMMC) en un número limitado de nuevos contratos piloto de proveedores para fin de año, seguido de un aumento significativo en los próximos años, ya que el programa afecta a casi 300,000 empresas de «defensa». Proveedor Industrial base” (DIB).

Incluso con la reciente adopción de medidas de seguridad de datos, incluidas las regulaciones del Departamento de Defensa y los protocolos del Instituto Nacional de Estándares, el departamento cree que las garantías de seguridad proporcionadas por los propios contratistas son insuficientes. «Desafortunadamente, la autovalidación fue insuficiente y no brindó un nivel de seguridad que protegiera constantemente la información confidencial. Si bien algunos contratistas cumplieron, otros fallaron», según el análisis. Soluciones tecnológicas inigualablesProveedor de servicios de seguridad de red.

Aceleración del proceso de certificación

El Departamento de Defensa administrará la validación de seguridad a través del proceso CMMC, que espera comenzar de forma limitada a finales de este año, menos de un año después de que se anunciara el programa en enero del año pasado. Actualmente, el departamento está tomando medidas para incluir CMMC en las regulaciones de adquisición de defensa conocidas como DFARS.

LEER  Los dispositivos tecnológicos más inteligentes de 2018

«Una vez que se complete ese proceso, el CMMC podrá incluirse en la licitación como requisito», dijo Katie Arrington, directora de seguridad de la información para adquisición y mantenimiento de defensa. «El departamento planea emitir una solicitud de información este verano en apoyo de nuestro servicio y algunos de los pilotos iniciales de CMMC de las agencias de defensa», dijo a E-Commerce Times.

Si bien las empresas de TI son solo una de las muchas industrias afectadas por el programa, el estado de la CMMC seguirá siendo un desafío importante, incluso para las empresas familiarizadas con los problemas de seguridad de la información. La industria de TI «naturalmente será una de las industrias más afectadas», dijo Deniece Peterson, directora de análisis de mercado federal. Deltek«Por su propia naturaleza, TI requiere que los proveedores recopilen y gestionen una gran cantidad de CUI en el sector», dijo a E-Commerce Times.

Según una carta enviada al Departamento de Defensa por varias asociaciones de la industria de TI, incluida la Asociación de la Industria de Tecnología Informática y la Business Software Alliance, los desafíos incluyen el ambicioso cronograma del Departamento de Defensa para lanzar el programa, así como fallas inherentes en el diseño del programa. .

«Nos preocupa que el plan actual para implementar el CMMC carezca de suficiente claridad y previsibilidad en áreas clave y, por lo tanto, pueda crear confusión, demoras y costos asociados innecesarios. Si no se abordan, estos desafíos podrían conducir a un DIB aún más inseguro», los grupos dijo en una carta conjunta al Ministerio de Defensa. Los grupos se comprometieron a trabajar con el Departamento de Defensa para abordar estos problemas.

La seguridad incluye varias capas de protección

El programa CMMC se basa en las protecciones de seguridad actuales, pero agrega un elemento adicional a través de un enfoque de varias capas para proteger «la información creada o propiedad del gobierno, o de entidades para o en nombre del gobierno», lo que implica «proteger o difundir información . «controlar».

Los proveedores del Departamento de Defensa deben estar certificados por CMMC en al menos uno de los siete niveles de seguridad relacionados con la materialidad de la información cubierta, que se cruzan con 17 «dominios» operativos que incluyen control de acceso, respuesta a incidentes e identificación y autorización.

El Departamento de Defensa implementará el programa a través de un «organismo de acreditación» no gubernamental y sin fines de lucro llamado CMMC-AB, que se estableció a principios de este año. CMMC-AB establecerá un grupo de evaluadores aprobados que examinarán las capacidades de seguridad del proveedor del Departamento de Defensa y luego emitirán el nivel de certificación apropiado. CMMC-AB requiere que las partes interesadas proporcionen estudios de mercado sobre la implementación de un proceso de evaluación de seguridad para mediados de junio. La agencia está preparando actualmente una metodología de evaluación basada en respuestas parciales.

Mientras se prepara para la certificación, el Departamento de Defensa emite una Solicitud de propuesta de contrato o una Solicitud de información. Esto puede ser un poco complicado para los proveedores. El organismo de acreditación de CMMC está programado para comenzar a capacitar a los evaluadores en junio de 2020, después de lo cual comenzará a acreditar a la Organización de evaluadores externos de CMMC (C3PAO). El departamento no dará a conocer las primeras adquisiciones con requisitos de CMMC hasta el segundo trimestre del año fiscal federal 2021, que comienza en enero de 2021.

«Los requisitos iniciales de CMMC del departamento serán para una pequeña cantidad de licitaciones seleccionadas. Este cronograma les dará a estas empresas seis meses para completar el nivel apropiado de certificación requerido para esas licitaciones seleccionadas», dijo DoD’s Arlington.

Otro problema que enfrentan los proveedores de TI es el costo de cumplir con el programa CMMC. El analista de investigación principal senior de Deltek, Alex Rossino, señaló que los proveedores de la nube ya enfrentan mayores costos de hacer negocios con el Departamento de Defensa debido a los requisitos de seguridad existentes del Programa Federal de Administración de Riesgos y Autorizaciones (FedRAMP). «Como el Departamento de Defensa busca hacer que la certificación FedRAMP y CMMC sean recíprocas en el futuro, es probable que estos costos se reduzcan. Es demasiado pronto para decir de una forma u otra. Los proveedores que no son de la nube definitivamente verán una correlación con la implementación y el mantenimiento de los costos aumentados de CMMC ”, dijo a E-Commerce Times.

Los costos de cumplimiento deben ser manejables

El costo de la evaluación de CMMC «dependerá de varios factores, incluido el nivel de CMMC, la complejidad de la red de la compañía DIB y otras fuerzas del mercado», dijo el Departamento de Defensa en un comunicado en su sitio web. «Los costos de certificación se considerarán costos permisibles y reembolsables y no serán excesivos», dijo el Departamento de Defensa.

Si bien los grupos de la industria trabajan con el Departamento de Defensa para abordar los problemas de CMMC, también asesoran a los miembros sobre el cumplimiento. «Ahora estamos analizando cómo CompTIA puede respaldar mejor» a la comunidad de TI, dijo el vocero Steve Kidera. Las capacidades de planificación y capacitación de la organización son «una forma ideal en que las empresas pueden proporcionar a los empleados una base sólida en CMMC», dijo a E-Commerce Times. albúmina de suero bovino A fines de junio se llevó a cabo un seminario web de CMMC para los miembros.

El programa puede traer prosperidad comercial a los proveedores de servicios de seguridad administrados (MSSP) que brindan asesoramiento sobre seguridad cibernética y servicios de datos relacionados. Cuando el Departamento de Defensa comenzó el trabajo inicial en CMMC, Peerless reestructuró su estrategia organizacional «para alinear nuestros productos con las regulaciones descritas en versiones anteriores del modelo CMMC», dijo Brian Seeling, director ejecutivo y socio gerente. Los sitios web de estas empresas, grandes y pequeñas, anuncian cada vez más sus capacidades de CMMC.

«Al principio, no veíamos muchos competidores en nuestro campo, pero desde el lanzamiento oficial del acuerdo de CMMC, ha habido un aumento significativo en la prestación de servicios de consultoría de CMMC», dijo Seeling a E-Commerce Times. «A medida que los requisitos de nivel de CMMC comienzan a incluirse en las solicitudes de propuestas emitidas por el Departamento de Defensa, esperamos ver el aumento de más y más MSSP centrados en CMMC», dijo.

LEER  El movimiento #DeleteFacebook se intensifica

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba