home Tecnología de fabricación Equipo de fabricación
Manufactura industrial
Internet industrial de las cosas | Materiales industriales | Mantenimiento y reparación de equipos | Programación industrial |
home  MfgRobots >> Manufactura industrial >  >> Manufacturing Technology >> Tecnología Industrial

Trabajar en colaboración para lograr el cumplimiento:cómo dos supuestos clave de ciberseguridad están afectando a los proveedores del Departamento de Defensa

Se estima que hay alrededor de 300.000 empresas en la Base Industrial de Defensa ("DIB") en los sectores manufacturero y no manufacturero. Aproximadamente el 99% del DIB está formado por pequeñas y medianas empresas, que son empresas con menos de 500 empleados.

Desde diciembre de 2017, todas las empresas de la DIB han incluido la cláusula del Suplemento del Reglamento de Adquisiciones Federales de Defensa (“DFARS”) (252.204-7012 - Protección de la información de defensa cubierta y la notificación de incidentes cibernéticos) en sus contratos. Después de casi tres años, parece haber una serie de suposiciones incorrectas en el DIB, dos de las cuales conllevan una discusión más profunda ...

La primera suposición:auto-certificaciones No son gran cosa

Como resultado de aceptar los términos de un contrato con el DoD, los fabricantes dan fe de sí mismos de que utilizan una "ciberseguridad adecuada" para proteger la Información Controlada No Clasificada ("CUI"). La cláusula DFARS define una ciberseguridad adecuada como la implementación completa de los 110 requisitos de seguridad descritos en la Publicación especial 800-171 del NIST.

Muchos fabricantes asumen que su programa de ciberseguridad es suficiente. La mayoría de los clientes de CMTC generalmente comienzan su compromiso con la seguridad cibernética estimando que cumplen entre un 70% y un 80%. Sin embargo, el promedio acumulado después de un análisis de brechas básico es de alrededor del 34% de cumplimiento.

Las publicaciones de blogs anteriores han cubierto los riesgos legales que a menudo se pasan por alto y asociados con el incumplimiento de los requisitos de ciberseguridad. En última instancia, si una empresa quiere hacer negocios con el Departamento de Defensa (DoD), debe aceptar los términos del contrato y, por lo tanto, dar fe de sí misma de una postura de ciberseguridad compatible.

La segunda suposición:los proveedores de TI externos son la respuesta por sí solos

Muchas pequeñas empresas carecen de personal y recursos de TI dedicados. Como resultado, muchos fabricantes utilizan proveedores de servicios de TI de terceros. Para que estas pequeñas empresas funcionen, los proveedores de servicios externos tienen un enorme acceso administrativo a los sistemas de información de la empresa. A menudo, los fabricantes asumen que todo avanza según lo planeado. Los fabricantes deben supervisar a sus proveedores de TI externos para comprender qué acciones se están tomando. El viaje cibernético del fabricante con un proveedor de TI es colaborativo con la empresa involucrada en las actividades y resultados del trabajo de un proveedor.

Además, en términos de exposición, aproximadamente la mitad de los 110 requisitos de seguridad están directamente relacionados con las operaciones técnicas y las soluciones tecnológicas que normalmente proporciona un proveedor de TI externo. Algunas medidas de ciberseguridad son tan fundamentales para las operaciones comerciales que el gobierno asumió razonablemente que todos los proveedores del Departamento de Defensa gestionarían de manera proactiva su propio riesgo. Es imprescindible que el fabricante y el proveedor de TI trabajen juntos para lograr el cumplimiento del Departamento de Defensa. El proveedor del Departamento de Defensa asumirá la responsabilidad del cumplimiento a largo plazo.

En conjunto, estas dos suposiciones clave e incorrectas pueden generar una enorme deuda técnica y de cumplimiento.

La auditoría de cumplimiento de la ciberseguridad del gobierno está en camino, por lo que el mejor camino a seguir es supervisar a su proveedor de TI y trabajar en colaboración para contribuir a su cumplimiento general.

Recomendado Pasos siguientes

1) Concéntrese en sus requisitos DFARS existentes.

2) Tómese el tiempo para comprender a fondo las suposiciones subyacentes a NIST SP 800-171.

3) Establezca un sólido proceso de gestión de proveedores externos.

4) Tómese el tiempo para comprender a fondo las obligaciones contractuales de flujo descendente.

Para obtener una breve descripción general del ecosistema regulatorio general y una discusión más profunda de los temas descritos en esta publicación, puede ver el seminario web de CMTC a pedido aquí.


Tecnología Industrial

  • Proceso de manufactura
  • Impresión 3d
  • Sistema de control de automatización
  • Tecnología Industrial

    1. Cómo las soluciones inteligentes de ciberseguridad están cada vez más impulsadas por IA y ML
    2. ¿Qué es una llave de seguridad de red? ¿Cómo encontrarlo?
    3. Cómo las empresas de productos de consumo están desperdiciando su inversión digital
    4. Cómo AR y IIoT están transformando la fabricación
    5. Cómo COVID-19 está afectando a Blockchain y Criptomonedas
    6. Cómo los gerentes de la cadena de suministro están reevaluando las mejores prácticas
    7. Cómo las cadenas de suministro pueden capear la próxima ola pandémica
    8. Cómo elegir proveedores conscientes del medio ambiente
    9. Cómo las microinvestigaciones pueden impulsar el cumplimiento de la cadena de suministro
    10. Los consumidores buscan 'venganza'. ¿Cómo deben responder los minoristas y proveedores?
    11. Cómo la automatización y la inteligencia artificial pueden impulsar la ciberseguridad