5 preguntas frecuentes entre los fabricantes sobre los requisitos gubernamentales de ciberseguridad

Este artículo apareció originalmente en Industry Today. Entrada de blog invitada de Jennifer Kurtz, directora del programa cibernético en Manufacturer's Edge, un centro MEP del NIST en Colorado y representante de la Red Nacional MEP ^TM .

Según el Departamento de Seguridad Nacional de EE. UU., La fabricación es la segunda industria más atacada según el número de ciberataques informados. Además, los ciberdelincuentes ven pequeñas y medianas fabricantes (SMM) como objetivos principales porque muchas de estas empresas no cuentan con las medidas preventivas adecuadas.

Para el Departamento de Defensa (DoD), contratistas y subcontratistas, el negocio como de costumbre ya no existe. El gobierno federal, que depende cada vez más de proveedores de servicios externos para realizar negocios, ha subido la apuesta cuando se trata de proteger la información no clasificada controlada (CUI) en organizaciones y sistemas de información no federales. Al 31 de diciembre de 2017, todos los contratistas del gobierno federal estaban obligados a cumplir con los requisitos mínimos de ciberseguridad del Suplemento de Regulación de Adquisiciones de Defensa (DFARS) o se arriesgaban a perder sus contratos. A pesar de esta fecha límite vencida, muchos SMM carecen del conocimiento y los recursos para actualizar sus sistemas y no saben cómo cumplir con estos 110 nuevos requisitos de seguridad. Cabe destacar que el Reglamento federal de adquisiciones, que se aplica a los contratistas gubernamentales que trabajan en nombre de la Administración de servicios generales (GSA) y la Administración Nacional de Aeronáutica y del Espacio (NASA), pronto incluirá requisitos de ciberseguridad similares.

La Red Nacional MEP, una asociación público-privada que ofrece soluciones integrales y comprobadas a los fabricantes de EE. UU., Ha estado proporcionando activamente conciencia y asistencia para ayudar a los fabricantes de EE. UU. A proteger sus activos de información de los riesgos de ataques cibernéticos. La organización y sus socios también sirven como un recurso nacional para los fabricantes estadounidenses que buscan implementar la seguridad adecuada para salvaguardar la información no clasificada controlada almacenada, procesada y transmitida.

A continuación, se incluyen cinco de las preguntas más frecuentes que escucho de los SMM sobre las pautas de seguridad DFARS del gobierno federal.

P:¿Qué es la información no clasificada controlada (CUI) y cómo sé si estoy manejando este tipo de información como parte de mi contrato?

R:La información no clasificada controlada (CUI) son datos que son propiedad del gobierno. Es información que el gobierno quiere que se mantenga segura, pero no es vital para la seguridad nacional. La cláusula DFARS 252.204.7012 puede aparecer en su contrato, pero solo se promulga si procesa, almacena o transmite CUI. CUI puede incluir:datos de investigación e ingeniería, dibujos de ingeniería, especificaciones, manuales, informes técnicos, estudios y análisis, y código ejecutable y código fuente de software de computadora. CUI tendrá instrucciones especiales de marcado y manipulación, como FOUO (solo para uso oficial). Para obtener más información sobre las marcas de CUI, consulte el registro de CUI.

P:¿La ley exige el cumplimiento de DFARS?

R:Cualquier contratista o subcontratista que tenga una cláusula DFARS en su contrato está legalmente obligado a cumplir. Si afirma falsamente que cumple con las normas, corre el riesgo de perder su contrato con el gobierno y todas las ganancias asociadas y probablemente no será elegible para futuros contratos con el gobierno.

P:Soy dueño de una pequeña empresa y mis contratos con el gobierno son de pequeña escala. ¿Se me aplica el cumplimiento de DFARS?

R:Independientemente del tamaño de su empresa o de su contrato, si es un contratista o subcontratista del gobierno federal que procesa, almacena o transmite CUI, debe cumplir. Los ciberdelincuentes se dirigen a empresas más pequeñas, ya que generalmente tienen menos medidas de seguridad implementadas. Las empresas que se encuentran en los niveles inferiores de la cadena de suministro pueden ser más fáciles de penetrar que intentar irrumpir en las redes de su objetivo principal. Un ataque a la cadena de suministro puede ser una ruta más fácil para controlar la información gubernamental no clasificada que intentar acceder directamente a las redes gubernamentales.

P:¿Cómo sé si mi empresa cumple actualmente con DFARS?

R:Consulte el Manual 162 del NIST. Este manual proporciona una guía paso a paso para evaluar los sistemas de información de un fabricante frente a los requisitos de seguridad de DFARS.

P:¿Mi organización no cumple con las pautas mínimas de DFARS pero no sé por dónde comenzar el proceso de cumplimiento?

R:Implementar un plan de ciberseguridad aprobado por el gobierno puede ser una tarea abrumadora. Puede comenzar revisando la publicación NIST SP 800-171 que describe los requisitos de DFARS. También puede comunicarse con la Red Nacional MEP para conectarse con su Centro MEP local. Los centros MEP locales ofrecen una amplia gama de iniciativas y servicios gratuitos o asequibles para guiar a los fabricantes a través del proceso de cumplimiento. Estos servicios incluyen conexiones con expertos en ciberseguridad que pueden desarrollar un análisis detallado de brechas de protocolos y procedimientos y crear un plan de acción que aborde las vulnerabilidades y otros problemas de cumplimiento.

P:Mi empresa no es un contratista del gobierno, pero me gustaría mejorar nuestros protocolos de ciberseguridad. ¿Puedo usar las pautas de DFARS?

A:Absolutamente. Los fabricantes que operan en cadenas de suministro comerciales deben considerar seriamente la implementación de los requisitos de seguridad de DFARS como un aspecto integral de la gestión de sus riesgos organizacionales.

A medida que el sector manufacturero se digitaliza cada vez más, la necesidad de comprender, mitigar y responder a las amenazas cibernéticas cada vez más complejas se ha convertido en el costo de hacer negocios.