Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Objetivos de cumplimiento de DFARS ‘información no clasificada controlada’

Muchos de nuestros sistemas espaciales y de defensa nacional más sensibles están diseñados, implementados y mantenidos por contratistas gubernamentales. La información que estas organizaciones públicas y privadas crean y mantienen en nombre del gobierno federal es significativa. Pero como todos hemos visto, no hay sistemas que sean inmunes a los intentos de piratería ilícita, incluidos los sistemas de defensa vitales de la nación.

Claramente, hay mucho en juego, y gran parte de la carga de proteger los secretos de defensa de nuestra nación recae principalmente en los contratistas que ganan acuerdos con el gobierno, así como en sus subcontratistas que a menudo hacen gran parte del trabajo. Si pertenece a esta categoría, una regla recientemente implementada del Departamento de Defensa llamada Suplemento de Regulación de Adquisición Federal de Defensa (DFARS) 252.204-7012 afectará la forma en que maneja la información controlada no clasificada (CUI).

Según los Archivos Nacionales, la información no clasificada controlada (CUI) es «información que requiere controles de protección o difusión de conformidad con las leyes, reglamentos y políticas gubernamentales aplicables».

El camino hacia el cumplimiento de DFARS

La nueva regla de cumplimiento de DFARS ha tomado un camino tortuoso desde la concepción hasta la versión final, y se basa en una serie de pautas gubernamentales. En agosto de 2013, en un esfuerzo por proteger nuestras tecnologías críticas relacionadas con la defensa nacional y el espacio, el DoD publicó el Suplemento de Regulación de Adquisición Federal de Defensa (DFARS) 252.204-7012. La regla se basó en la guía de estándares de seguridad cibernética de la Publicación especial 800-53 del Instituto Nacional de Estándares y Tecnología (NIST).

CONTENIDO RELACIONADO  Análisis forense del iPod

La publicación del NIST contiene 303 requisitos organizados en 18 familias de control. Después de la publicación de la regla original, muchos de los contratistas obligados a cumplir con las pautas asociadas NIST SP800-53 encontraron que eran demasiado complejas y difíciles de implementar. Muchos contratistas dieron a conocer sus desafíos al NIST y al DoD a través de comentarios públicos, y el NIST respondió publicando pautas emparejadas contenidas en la nueva Publicación especial 800-171, que luego se actualizó a la Publicación especial SP800-171r1.

La nueva regla de cumplimiento de DFARS ha tomado un camino tortuoso desde la concepción hasta la versión final, y se basa en una serie de pautas gubernamentales.

La Publicación especial 800-171 redujo significativamente la carga de 303 requisitos y 18 familias de control a 109 requisitos y 14 familias de control. El 20 de diciembre de 2016, después de reducir los requisitos iniciales y realizar algunos cambios adicionales, el NIST publicó la Publicación especial (SP) 800-171r1: «Protección de información no clasificada controlada en organizaciones y sistemas de información no federales». Los requisitos de seguridad en la versión final de NIST SP 800-171r1 se publicaron para incluir requisitos de seguridad para proteger la confidencialidad de CUI en sistemas y organizaciones no federales. Las pautas de seguridad incluyen requisitos de seguridad «básicos» obtenidos de la publicación FIPS 200, que proporciona los requisitos de seguridad fundamentales y de alto nivel para la información y los sistemas federales.

NIST SP 800-171r1 también contiene requisitos de seguridad «derivados», diseñados para complementar los requisitos de seguridad «básicos», tomados de los controles de seguridad de la Publicación especial 800-53 de NIST. Todos estos requisitos de seguridad tienen un valor de impacto «moderado» según se define en la Publicación 199 de FIPS. La Publicación especial 800-171r1 proporciona a las agencias federales (y sus contratistas y subcontratistas) acciones recomendadas para proteger la CUI del gobierno de los Estados Unidos dentro de sistemas y organizaciones no federales que son consistentes con la ley, la regulación y la política de todo el gobierno.

Controles de cumplimiento de DFARS
Controles de cumplimiento de DFARS

Bajo NIST SP 800-171r1, se delinearon nuevos estándares de seguridad de base que expandieron las clases de información sujeta a salvaguardas y datos que desencadenan requisitos de informes. Estas regulaciones están diseñadas para ser una medida específica de preparación en ciberseguridad para apoyar las necesidades del gobierno con respecto a la defensa de sus secretos e información protegida. Son prescriptivos en cuanto a los resultados esperados, y se dice que los plazos están escritos en piedra. Los contratistas y sus subcontratistas tienen hasta el 31 de diciembre de 2017 para cumplir con los requisitos de cumplimiento de DFARS descritos en la regla.

Riesgos por incumplimiento

Estos nuevos requisitos ofrecen tanto amenazas como oportunidades para quienes deben cumplir y los proveedores de servicios de TI y ciberseguridad que los ayudarán a cumplir con estas obligaciones de cumplimiento. El gobierno ha declarado que aquellos que no cumplan serán efectivamente excluidos, y los contratistas ya están enviando avisos de los requisitos a sus subcontratistas. Los contratistas y sus subcontratistas que cumplan plenamente con anticipación probablemente obtendrán ganancias adicionales contra aquellos que no han cumplido o que están luchando por mantener su cumplimiento.

Si no cumple con los requisitos de la regla o desea variar de alguna manera, se le pedirá que envíe la variación para que la considere el CIO del DoD. Su solicitud de variación debe incluir por qué solicita la variación y qué hará para satisfacer alternativamente los requisitos. Si su solicitud es aceptada por escrito, se incluirá en el lenguaje del contrato. El incumplimiento de la regla debe informarse a la oficina del CIO del DoD dentro de los 30 días posteriores a la adjudicación del contrato, incluso si el incumplimiento es antes de la fecha límite del 31 de diciembre de 2017.

Ahora, hablemos de los requisitos de notificación de incidentes cibernéticos. Según DFARS, «incidente cibernético» significa «acciones tomadas a través del uso de redes de computadoras que resultan en un compromiso o un efecto adverso real o potencial en un sistema de información y / o la información que reside en él». Como parte de las obligaciones legales y contractuales de los contratistas, se les exige que investiguen y denuncien rápidamente cualquier incidente cibernético «que afecte al sistema de información del contratista cubierto o la información de defensa cubierta que reside en el mismo, o que afecte la capacidad del contratista para cumplir con los requisitos de el contrato que se designa como soporte operativamente crítico «.

Si hay evidencia de un compromiso potencial, el contratista debe completar una revisión de la evidencia que muestre el compromiso potencial de la información de defensa cubierta e informar sus hallazgos al DoD. Los contratistas tienen 72 horas para reportar tales incidentes cibernéticos.

En pocas palabras: si es un contratista o subcontratista de defensa, tiene hasta 30 días desde la adjudicación del contrato para informar sobre su estado de cumplimiento al Departamento de Defensa y el 31 de diciembre de 2017 para cumplir con estas regulaciones. ¿Serás capaz de hacerlo?

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

El modelo de nube híbrida evoluciona la TI

Fuente: Imágenes de John Foxx / Getty El modelo de nube híbrida no es nuevo, pero continúa evolucionando a medida que nuevos servicios y opciones están disponibles para las organizaciones. Además del modelo SPI, otras

Cómo implementar VMware Folding@Home Fling

vmware [email protected] Fling utiliza computación distribuida para unirse y compartir ciclos de CPU de cualquiera que instale el software. El objetivo es mejorar la colaboración en la investigación de enfermedades. Para implementar el dispositivo Fling,

¿Qué sistema es mejor para ti?

Al investigar posibles nuevos sistemas ERP, SAP y Oracle son probablemente dos de las opciones más comunes que … se cruzará. Esto se debe en parte a la participación de mercado de los dos proveedores,

Examinar las plataformas disponibles en Oracle CX Cloud

Oracle Customer Experience Cloud (CX Cloud) es un conjunto de plataformas en la nube que proporciona herramientas para CRM, análisis, comercio electrónico, marketing, ventas y participación social. Estas diversas herramientas de participación del cliente son

Configuración y personalización de SAP NetWeaver

Tabla de contenido: ¿Qué es SAP NetWeaver? Implementación de SAP NetWeaverConfiguración y personalización de SAP NetWeaver Más información sobre SAP NetWeaver Una de las razones por las que NetWeaver existe es para permitirle configurar y

Peso del equipo y resistencia de las baldosas

El siguiente consejo fue extraído del Capítulo 4, ‘Diseño de centros de datos’, del libro Administración de centros de datos: servidores, almacenamiento y voz sobre IP por Kailash Jayaswal, cortesía de Wiley Publishing. Haga clic

Consolide servidores para crear eficiencia y mejorar el rendimiento

Fuente: stock.adobe.com Redactor visual: Yumeng-ren La virtualización, la evolución del almacenamiento y el desarrollo del rendimiento del servidor han permitido una importante consolidación del servidor. Cuanta más potencia puedan obtener los administradores de TI, menos

¿Qué es el factor de amplificación (ganancia)?

El factor de amplificación, también llamado ganar , es la medida en que un amplificador analógico aumenta la fuerza de una señal. Los factores de amplificación generalmente se expresan en términos de potencia. El decibel

¿Qué es un director digital y qué hacen?

Un director digital está encargado de ayudar a una empresa a utilizar la información digital y las tecnologías modernas, como la nube, los dispositivos móviles y las redes sociales, para crear valor comercial. Para las

Desarrollando la confianza digital en la era de IoT

La economía de las API expone digitalmente nuevos valores comerciales La economía de las API ha cambiado la forma en que las empresas monetizan sus ofertas. Las interfaces de programación de aplicaciones permiten que todo

Trabajar con el portal de Microsoft Defender for Identity

Los entornos locales pueden obtener un impulso de seguridad adicional desde la nube para detectar actividades inadecuadas en la red. Microsoft Defender for Identity, anteriormente Azure Advanced Threat Protection, es una plataforma de seguridad basada

Cómo aprovechar mejor el nuevo depurador ABAP de SAP

¿La depuración de SAP ABAP le molesta? La mayoría de las personas probablemente estén acostumbradas a utilizar el nuevo depurador ABAP de SAP, pero tiene algunas limitaciones. Sin embargo, por lo general, puede cambiar libremente

Compara 2 opciones de protección de datos

Los administradores de TI interesados ​​en productos de producción de datos como servicio deben evaluar cuidadosamente qué ofertas satisfarán mejor sus necesidades. La industria de TI, en general, ha cambiado a un modelo de entrega

Formación ICIP IoT: gemelos digitales IoT

Un gemelo digital es una representación virtual de un producto o sistema, una copia exacta de un objeto o proceso físico, que se puede utilizar para simular las capacidades del producto o sistema. Los modelos

Optimice una estrategia BCDR para 2021 y más allá

A la luz de la pandemia de COVID-19, la continuidad del negocio y la planificación y la tecnología de recuperación ante desastres han evolucionado, una tendencia que continuará hasta 2021. Con casi un año de

El caos benigno de HIMSS 2016

A veces, era difícil distinguir entre las máquinas tragamonedas parpadeantes en el deslumbrante piso del casino del Sands Expo and Convention Center y las cabinas repletas de tecnología del mayor evento de TI de salud

¿Qué es Citrix FlexCast?

Citrix FlexCast es una tecnología de entrega que permite a un administrador de TI personalizar escritorios virtuales para cumplir con los requisitos de rendimiento, seguridad y flexibilidad de los usuarios finales. Actualmente, hay cinco modelos

Cómo implementar dispositivos gráficos con Hyper-V DDA

Windows Server 2016 ahora incluye la capacidad de realizar asignaciones discretas de dispositivos en su conjunto de funciones, una función que permite a los administradores de TI asignar máquinas virtuales directamente a un dispositivo Peripheral

IoT y su próximo chequeo

La próxima vez que se haga su examen físico anual, ¿el Internet de las cosas jugará un papel en ese examen? Quizás. Pero, ¿cómo se vería eso? IoT juega un papel en una multitud de

Justo a tiempo para Win10, Win8.1 Eclipses XP

De vez en cuando, me gusta consultar las estadísticas de participación de mercado en NetMarketShare.com para ver qué sucede en el mundo de las computadoras de escritorio según lo monitoreado a través de las observaciones

Contáctenos – SearchERP

Envíanos tus comentarios SearchERP agradece sus comentarios. Nuestro objetivo es crear el mejor sitio web específico para ERP. Una forma de hacerlo es escuchando sus comentarios. Intentaremos abordar todos los comentarios caso por caso. Por

¿Qué es Jira?

Jira es una herramienta de gestión del ciclo de vida de las aplicaciones (ALM) de Atlassian que proporciona diferentes paquetes para satisfacer las diversas necesidades de los clientes. Se utiliza para seguimiento de errores, seguimiento

Creación de un diseño de API RESTful exitoso

Diseñar buenas API es una tarea difícil con muchas métricas subjetivas. Incluso una pequeña startup que ha adoptado por completo … Los principios de diseño de API RESTful y tienen una visión completa de su

Nutanix Xi se lanza como retador de AWS a largo plazo

Mientras Amazon tiene la corte en re: Invent en Las Vegas esta semana, el pionero hiperconvergente Nutanix lanzó servicios que espera puedan eventualmente desafiar al gigante de la nube pública. Nutanix utilizó su conferencia europea

Estrategias para gestionar entornos de varios hipervisores

Administrar entornos de múltiples hipervisores puede ser una tarea desafiante. No solo tienes dos o más hipervisores… supervisar, pero también tiene de una a varias herramientas de administración con las que lidiar. Para convertir todas

Jamf facilita compartir dispositivos Apple

Jamf ha introducido una función que prepara un iPad o iPhone compartido para la siguiente persona después de que un empleado se despide. La empresa de gestión de terminales centrada en Apple anunció esta semana

Hiperconvergencia y Protección de Datos

La protección de datos no solo debe garantizar que todos los medios de almacenamiento estén protegidos contra fallas, sino que también debe garantizar que pueda recuperarse rápidamente en caso de una emergencia. Las empresas de

Deja un comentario