Cumplimiento del DFARS para contratistas del DoD: Buenas prácticas

¿Qué es DFARS?

DFARS significa Suplemento al Reglamento Federal de Adquisiciones de DefensaEs un conjunto de normas que utiliza la Departamento de Defensa de los Estados Unidos (DoD) Para complementar el Reglamento Federal de Adquisiciones (FAR), que rige el proceso de adquisiciones para las agencias federales. El DFARS está diseñado para proporcionar orientación adicional y requisitos específicos para las adquisiciones de defensa, incluyendo contratos, adquisiciones y subcontrataciones, a fin de garantizar que el Departamento de Defensa adquiera bienes y servicios de una manera que promueva la seguridad nacional y apoye los objetivos de defensa. El DFARS es actualizado y mantenido regularmente por el Departamento de Defensa para cumplir con las leyes, regulaciones y políticas relacionadas con las adquisiciones de defensa.

¿Por qué es importante?

El DFARS es importante porque proporciona regulaciones y directrices esenciales para que el Departamento de Defensa de los Estados Unidos (DoD) adquiera bienes y servicios de forma que respalde los objetivos de defensa y promueva la seguridad nacional. Estas regulaciones ayudan a garantizar que el DoD realice adquisiciones de forma transparente, responsable y conforme a las normas. El DFARS incluye requisitos relacionados con la adjudicación y administración de contratos, la ciberseguridad, la propiedad intelectual, la utilización de pequeñas empresas y otras áreas críticas.

Al adherirse a DFARS, el Departamento de Defensa puede gestionar eficazmente sus adquisiciones, salvaguardar la información sensible, promover la competencia justa entre contratistas y mantener la integridad y seguridad de su cadena de suministro. El cumplimiento del DFARS es esencial para los contratistas que buscan hacer negocios con el Departamento de Defensa, ya que ayuda a garantizar que el proceso de adquisición se lleve a cabo de manera acorde con las prioridades de defensa y proteja los intereses nacionales.

¿Quién debe cumplir?

Todos los contratistas, proveedores y vendedores que deseen hacer negocios con el Departamento de Defensa de los Estados Unidos (DoD) deben cumplir con el DFARS. El cumplimiento del DFARS es obligatorio para cualquier entidad que desee participar en adquisiciones del DoD, incluyendo contratistas principales, subcontratistas y proveedores en todos los niveles de la cadena de suministro. Esto incluye tanto a las entidades nacionales como extranjeras que proporcionan bienes o servicios al DoD, independientemente de su tamaño o tipo de negocio. El cumplimiento del DFARS es un requisito contractual, y su incumplimiento puede resultar en sanciones, rescisión de contratos y pérdida de oportunidades comerciales con el DoD. Es esencial que todas las entidades involucradas en adquisiciones del DoD comprendan y cumplan con los requisitos descritos en el DFARS para garantizar su elegibilidad para los contratos del DoD y para mantener el cumplimiento de las regulaciones de adquisiciones del DoD.

Requisitos de cumplimiento de DFARS

Familiarícese con las regulaciones DFARS: los contratistas, proveedores y vendedores deben comprender completamente las regulaciones y requisitos DFARS aplicables a sus contratos y adquisiciones específicos.

• Mantener medidas de ciberseguridad: DFARS incluye requisitos específicos de ciberseguridad, como la protección de la información no clasificada controlada (CUI) y la notificación de incidentes de ciberseguridad al Departamento de Defensa.
• Proteger la propiedad intelectual (PI): Los contratistas deben identificar, proteger e informar adecuadamente cualquier propiedad intelectual asociada con la ejecución de los contratos del Departamento de Defensa, incluidos derechos de datos, patentes, marcas comerciales y derechos de autor.
• Cumplir con los requisitos de utilización de pequeñas empresas: DFARS incluye disposiciones relacionadas con la subcontratación con pequeñas empresas, incluidos planes de subcontratación para pequeñas empresas y requisitos de presentación de informes.
• Implementar medidas de seguridad en la cadena de suministro: Los contratistas deben garantizar la integridad y seguridad de su cadena de suministro, lo que incluye la selección y el seguimiento de los proveedores y la prevención del uso de piezas o materiales falsificados.
• Seguir los procesos de adjudicación y administración de contratos: Los contratistas deben cumplir con los requisitos del DFARS relacionados con la adjudicación, administración e informes de contratos, incluida la presentación de datos de costos o precios precisos y completos.
• Mantener registros e informes: Los contratistas deben mantener registros y proporcionar informes según lo requiera DFARS, incluida la documentación del cumplimiento de diversas reglamentaciones y requisitos.
• Manténgase actualizado con los cambios de DFARS: DFARS se actualiza periódicamente y los contratistas deben mantenerse informados de cualquier cambio para garantizar el cumplimiento continuo de las últimas regulaciones.
• Cooperar con las auditorías e investigaciones del Departamento de Defensa: Los contratistas deben cooperar con las auditorías, investigaciones y consultas del Departamento de Defensa relacionadas con el cumplimiento de DFARS, incluido el acceso a registros e información según se solicite.
• Mantener la documentación y evidencia del cumplimiento: Los contratistas deben mantener la documentación y evidencia del cumplimiento de los requisitos de DFARS, incluidos contratos, informes, certificaciones y otros registros relevantes.

¿Qué significa el cumplimiento de DFARS para los contratistas del Departamento de Defensa?

Cumplimiento de los requisitos de ciberseguridad: los contratistas del Departamento de Defensa deben cumplir con los requisitos de ciberseguridad especificados en la cláusula 252.204-7012 del DFARS, que exige la implementación de controles de ciberseguridad adecuados para proteger la información de defensa cubierta (CDI) e informar cualquier incidente de ciberseguridad.

• Salvaguardia de la Información Controlada No Clasificada (CUI): Los contratistas del Departamento de Defensa deben cumplir con los requisitos de la cláusula 252.204-7012 del DFARS, que incluye medidas para salvaguardar la CUI, como marcar, manipular, almacenar y transmitir la CUI de acuerdo con las leyes, reglamentaciones y requisitos contractuales aplicables.
• Implementación de controles de seguridad: Los contratistas del Departamento de Defensa deben implementar los controles de seguridad especificados en el Publicación especial 800-171 del Instituto Nacional de Estándares y Tecnología (NIST), “Protección de información no clasificada controlada en sistemas y organizaciones no federales”, que describe los requisitos de seguridad para proteger la CUI.
• Notificación de incidentes de ciberseguridad: Los contratistas del Departamento de Defensa deben informar de inmediato al Departamento de Defensa sobre cualquier incidente de ciberseguridad, como violaciones de datos o acceso no autorizado, tal como se especifica en la cláusula 252.204-7012 del DFARS y cualquier requisito contractual aplicable.
• Cumplimiento de los requisitos de los subcontratistas: Los contratistas del Departamento de Defensa deben transmitir los requisitos de la cláusula 252.204-7012 del DFARS a sus subcontratistas que puedan tener acceso a CDI o CUI, y asegurarse de que los subcontratistas también cumplan con los requisitos de ciberseguridad aplicables.
• Mantenimiento de documentación y registros: Los contratistas del Departamento de Defensa deben mantener la documentación y los registros relacionados con su cumplimiento de los requisitos de ciberseguridad del DFARS, como planes de seguridad del sistema, informes de evaluación de seguridad e informes de incidentes, según lo exige la cláusula 252.204-7012 del DFARS.
• Cumplimiento de cláusulas adicionales de DFARS: Los contratistas del Departamento de Defensa deben cumplir con otras cláusulas del DFARS relacionadas con la protección de datos, como Cláusula 252.239-7010 de DFARS, “Servicios de computación en la nube” y la cláusula 252.204-7008 de DFARS, “Cumplimiento con la protección de los controles de información de defensa cubiertos”, que pueden imponer requisitos adicionales para proteger datos confidenciales.

Es importante tener en cuenta que los requisitos del DFARS para los contratistas del Departamento de Defensa (DoD) pueden variar según el contrato específico, el tipo de información que se procesa y otros factores. Los contratistas deben consultar con expertos legales o de cumplimiento normativo para garantizar el pleno cumplimiento del DFARS y otras regulaciones aplicables.

¿Qué debe hacer si se produce una violación de seguridad de DSARS?

Notificar a las partes correspondientes: Los contratistas deben notificar inmediatamente a las partes correspondientes, incluido el oficial de contratación, el director de información del Departamento de Defensa (CIO) y cualquier otra parte interesada relevante, sobre la violación de seguridadEsto debe hacerse de conformidad con los requisitos del contrato y los protocolos de informes específicos descritos en DFARS.

1. Activar el plan de respuesta a incidentes: Los contratistas deben activar su plan de respuesta a incidentes, que debe incluir procedimientos predefinidos para responder a las brechas de seguridad. Esto puede implicar aislar los sistemas afectados, recopilar evidencia y realizar análisis forenses para determinar el alcance y el impacto de la brecha.
2. Implementar medidas de mitigación: Los contratistas deben implementar medidas de mitigación inmediatas para contener la brecha y evitar daños mayores. Esto puede implicar corregir vulnerabilidades, cambiar las credenciales de acceso, deshabilitar las cuentas comprometidas y tomar otras medidas para prevenir el acceso no autorizado o la exfiltración de datos.
3. Preservar la evidencia: Los contratistas deben tomar medidas para preservar la evidencia relacionada con la brecha de seguridad, como registros, instantáneas del sistema y otros datos relevantes. Esta evidencia podría ser necesaria para análisis forenses, informes y posibles procedimientos legales.
4. Informe al Departamento de Defensa y a las partes afectadas: Los contratistas deben informar la brecha de seguridad al Departamento de Defensa (DoD) y a las partes afectadas, según lo exige el DFARS y cualquier obligación contractual. Esto puede incluir proporcionar información detallada sobre la naturaleza y el alcance de la brecha, así como las medidas adoptadas para mitigar el incidente.
5. Cooperar con las investigaciones: Los contratistas deben cooperar plenamente con cualquier investigación realizada por el Departamento de Defensa u otras autoridades pertinentes. Esto puede implicar proporcionar acceso a sistemas y datos, colaborar en el análisis forense y proporcionar información y documentación según sea necesario.
6. Revisar y actualizar las medidas de seguridad: Los contratistas deben revisar y actualizar sus medidas de seguridad para prevenir brechas de seguridad similares en el futuro. Esto puede implicar revisar y reforzar los controles de ciberseguridad, actualizar las políticas y procedimientos, y realizar programas adicionales de capacitación y concientización para los empleados.
7. Comunicarse con clientes y partes interesadas: Los contratistas deben mantener una comunicación abierta y transparente con los clientes, las partes interesadas y otras partes relevantes sobre la violación de seguridad, las medidas tomadas para mitigar el incidente y cualquier esfuerzo en curso para mejorar las medidas de seguridad.
8. Revisar y mejorar el plan de respuesta a incidentes: Los contratistas deben revisar y mejorar su plan de respuesta a incidentes basándose en las lecciones aprendidas tras la brecha de seguridad. Esto puede implicar actualizar los procedimientos, revisar las funciones y responsabilidades, y optimizar los protocolos de comunicación para responder mejor a futuros incidentes.
9. Busque asistencia legal y técnica: Los contratistas deben buscar asistencia legal y técnica según sea necesario para abordar la violación de seguridad, cumplir con los requisitos de DFARS y abordar cualquier posible implicación legal o regulatoria.

Sanciones por incumplimiento de DFARS

1. Consecuencias contractuales: Los contratistas del Departamento de Defensa que no cumplan con los requisitos del DFARS pueden enfrentar consecuencias contractuales, incluida la rescisión por incumplimiento, la retención de pagos y/o la reducción o denegación de honorarios o ganancias.
2. Responsabilidades legales: El incumplimiento de los requisitos de DFARS puede resultar en responsabilidades legales, incluidas sanciones civiles, multas y daños en caso de incumplimiento de contrato o violación de leyes o regulaciones aplicables.
3. Pérdida de contratos futuros: Los contratistas del Departamento de Defensa que no cumplan con los requisitos del DFARS pueden enfrentar repercusiones en forma de pérdida de futuros contratos con el Departamento de Defensa u otras agencias federales, ya que el incumplimiento puede afectar negativamente su reputación y elegibilidad para futuras oportunidades de contratos.
4. Suspensión o inhabilitación: El incumplimiento de los requisitos del DFARS puede resultar en la suspensión o inhabilitación de los contratistas del Departamento de Defensa, lo que puede impedirles participar en futuros contratos federales durante un período de tiempo específico o indefinidamente, dependiendo de la gravedad del incumplimiento.
5. Costos de remediación: Los contratistas del Departamento de Defensa pueden incurrir en costos adicionales para remediar cualquier deficiencia o vulnerabilidad identificada para lograr el cumplimiento de los requisitos del DFARS, como implementar controles de ciberseguridad, realizar auditorías o mejorar las medidas de protección de datos.
6. Daño a la reputación: El incumplimiento de los requisitos del DFARS puede resultar en daños a la reputación de los contratistas del Departamento de Defensa, lo que puede tener consecuencias a largo plazo en sus relaciones comerciales, la confianza de los clientes y la imagen general de su marca.

DFARS frente a ITAR

DFARS (Suplemento al Reglamento de Adquisiciones Federales de Defensa) y ITAR (Reglamento sobre el Tráfico Internacional de Armas) Hay dos conjuntos distintos de regulaciones en los Estados Unidos que se refieren a diferentes aspectos de las actividades relacionadas con la defensa.

El DFARS es un conjunto de regulaciones que complementa el Reglamento Federal de Adquisiciones (FAR) y se aplica a los contratistas y subcontratistas que operan con el Departamento de Defensa de los Estados Unidos (DoD). El DFARS establece requisitos adicionales para la protección de la información confidencial de defensa, la ciberseguridad y la seguridad de la cadena de suministro, entre otros.

Por otro lado, la ITAR es un conjunto de regulaciones administradas por el Departamento de Estado de los Estados Unidos que regula la exportación, importación y transferencia de artículos y servicios de defensa, así como los datos técnicos y servicios de defensa relacionados. Su objetivo es regular la exportación e importación de artículos y servicios de defensa para proteger los intereses de seguridad nacional e impedir el acceso no autorizado a tecnologías de defensa sensibles.

Si bien tanto el DFARS como el ITAR se relacionan con actividades de defensa, tienen alcances y requisitos diferentes. El DFARS se centra principalmente en los procesos de adquisición del Departamento de Defensa e incluye requisitos para que los contratistas y subcontratistas protejan la información confidencial de defensa y mantengan prácticas sólidas de ciberseguridad. El ITAR, por otro lado, aborda específicamente la exportación e importación de artículos y servicios de defensa, incluidos los datos técnicos, e impone controles sobre la transferencia de dichos artículos a personas o entidades no estadounidenses.

En algunos casos, los contratistas de defensa podrían tener que cumplir tanto con DFARS como con ITAR, dependiendo de la naturaleza de su negocio y de los contratos específicos que tengan con el gobierno estadounidense. Por ejemplo, un contratista de defensa podría tener que cumplir con los requisitos de ciberseguridad de DFARS y, al mismo tiempo, con las regulaciones de ITAR al exportar o importar artículos de defensa o datos técnicos. Sin embargo, si bien puede haber algunas áreas en las que se solapan, DFARS e ITAR son conjuntos de regulaciones distintos con sus propios requisitos y obligaciones de cumplimiento específicos.

¿Qué puede hacer su organización para cumplir con DFARS?

1. Revise y comprenda los requisitos de DFARS: Las organizaciones deben revisar y comprender exhaustivamente los requisitos de DFARS, incluida la cláusula 252.204-7012 de DFARS y la guía asociada, para obtener una comprensión clara de los controles de ciberseguridad y las medidas de protección de datos que deben implementarse.
2. Realizar un análisis exhaustivo de brechas: Las organizaciones deben realizar un análisis exhaustivo de brechas para identificar cualquier deficiencia o brecha en su postura actual de ciberseguridad y prácticas de protección de datos, en comparación con los requisitos de DFARS. Este análisis puede ayudar a priorizar las áreas que requieren mejoras para lograr el cumplimiento.
3. Implementar controles de seguridad apropiados: Las organizaciones deben implementar los controles de seguridad adecuados especificados en la Publicación Especial 800-171 del NIST, que describe los requisitos de seguridad para proteger la Información Controlada No Clasificada (CUI), según lo exige el DFARS. Esto puede implicar la implementación de controles técnicos, administrativos y físicos para proteger la CUI y prevenir el acceso no autorizado o las filtraciones de datos.
4. Desarrollar e implementar políticas y procedimientos de ciberseguridad: Las organizaciones deben desarrollar e implementar políticas y procedimientos integrales de ciberseguridad que se ajusten a los requisitos de DFARS. Esto incluye políticas y procedimientos para el control de acceso, la respuesta a incidentes, la copia de seguridad y recuperación de datos, la gestión de riesgos y la capacitación de los empleados, entre otros.
5. Garantizar el cumplimiento de los subcontratistas: Las organizaciones deben garantizar que sus subcontratistas con acceso a la CUI también cumplan con los requisitos del DFARS. Esto puede implicar la aplicación de las cláusulas pertinentes del DFARS a los subcontratistas y la verificación de su cumplimiento mediante acuerdos contractuales, auditorías y seguimiento.
6. Mantener documentación y registros: Las organizaciones deben mantener la documentación y los registros relacionados con sus iniciativas de cumplimiento, incluyendo planes de seguridad del sistema, informes de evaluación de seguridad, informes de incidentes y otra documentación pertinente, según lo exija el DFARS. Esta documentación sirve como prueba de cumplimiento y puede ser necesaria para auditorías o evaluaciones.
7. Monitorear y evaluar la postura de ciberseguridad: Las organizaciones deben supervisar y evaluar continuamente su postura de ciberseguridad para identificar y abordar nuevos riesgos o vulnerabilidades. Esto puede implicar auditorías periódicas de ciberseguridad, evaluaciones de vulnerabilidades y pruebas de penetración para garantizar el cumplimiento continuo de los requisitos de DFARS.
8. Manténgase actualizado con los cambios en los requisitos de DFARS: Las organizaciones deben mantenerse actualizadas con cualquier cambio o actualización de los requisitos de DFARS y la orientación asociada, e incorporar rápidamente cualquier cambio necesario en sus prácticas de ciberseguridad para mantener el cumplimiento.
9. Capacitar y educar a los empleados: Las organizaciones deben brindar capacitación y educación periódicas en ciberseguridad a sus empleados para concientizarlos sobre los requisitos de DFARS, las mejores prácticas de ciberseguridad y la importancia de proteger la información confidencial. Esto puede ayudar a garantizar que los empleados estén bien informados y sean responsables en el manejo de información confidencial.
10. Establecer procesos de respuesta y presentación de informes ante incidentes: Las organizaciones deben establecer procesos de respuesta y reporte de incidentes para detectar, responder y reportar con prontitud cualquier incidente o brecha de ciberseguridad, de acuerdo con los requisitos de DFARS. Esto incluye definir roles y responsabilidades, establecer planes de respuesta a incidentes e implementar mecanismos para reportar incidentes a las autoridades competentes.

El enfoque de BigID para el cumplimiento de DFARS

BigID es una plataforma de descubrimiento de datos para privacidad, seguridady gobernanza que ayuda a las organizaciones a cumplir con los requisitos del Suplemento del Reglamento Federal de Adquisiciones de Defensa (DFARS) de varias maneras:

1. Descubrimiento de datos: BigID puede ayudar a las organizaciones a identificar y clasificar datos confidenciales que se encuentran dentro del alcance de DFARS, como información controlada no clasificada (CUI) u otra información confidencial de defensa. exploración y catalogación datos de diversas fuentes, incluidos datos estructurados y no estructuradosBigID identifica dónde residen los datos confidenciales, lo que constituye un primer paso fundamental para cumplir con los requisitos de DFARS relacionados con la protección de datos y la ciberseguridad.
2. Clasificación y etiquetado de datos: BigID clasifica automáticamente datos confidenciales según clasificadores predefinidos o personalizados, como números de tarjetas de crédito, números de la seguridad social u otros tipos de información confidencial que puedan estar sujetos a las regulaciones de DFARS. Esto permite a las organizaciones etiquetar con precisión datos confidenciales, lo que puede utilizarse para la gestión de datos y el cumplimiento normativo, como la implementación de controles de acceso, cifrado o políticas de retención de datos.
3. Mapeo y visualización de datos: BigID proporciona a las organizaciones una representación visual de su panorama de datos, incluyendo flujos, almacenes y uso de datos. Esto les permite comprender mejor cómo se recopilan, procesan y transmiten los datos confidenciales en su entorno. Esto les ayuda a identificar posibles brechas o riesgos en sus prácticas de gestión de datos, así como a demostrar el cumplimiento de los requisitos de DFARS en materia de protección y gestión del flujo de datos.
4. Gobernanza de datos y gestión del consentimiento: BigID ayuda a las organizaciones a establecer políticas y flujos de trabajo de gobernanza de datos para garantizar que la información confidencial se gestione y procese conforme a los requisitos de DFARS. Esto incluye funciones como políticas de retención de datos, controles de acceso a datos y funciones de gestión del consentimiento, que ayudan a las organizaciones a supervisar y gestionar el manejo de datos confidenciales y a demostrar el cumplimiento de los requisitos de DFARS en materia de gestión de datos y consentimiento.
5. Seguridad de datos y gestión de riesgos: BigID incluye características como controles de acceso a datos, cifrado y capacidades de detección de filtraciones de datos que pueden ayudar a las organizaciones a proteger datos confidenciales de conformidad con los requisitos de DFARS relacionados con la protección de datos y la ciberseguridad. BigID también puede ayudar a las organizaciones a identificar y mitigar los riesgos asociados con los datos confidenciales, como... Identificación de riesgos de exposición de datos, riesgos de intercambio de datos o prácticas de manejo de datos que pueden no cumplir con los requisitos de DFARS.

Para acelerar sus iniciativas de privacidad como el cumplimiento de DFARS — Programe una demostración gratuita 1:1 con BigID hoy.

Autor

Alexis Porter

Responsable de marketing de contenidos

Alexis trabaja como Directora de Marketing de Contenidos para BigID, proveedor líder de DSPM. Se especializa en ayudar a las nuevas empresas tecnológicas a crear y perfeccionar su voz para contar historias más convincentes que resuenen con diversos públicos. Tiene una licenciatura en Escritura Profesional y un máster en Comunicación de Marketing por la Universidad de Denver. Alexis reside en Orlando, Florida.