Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Cumplimiento Regulatorio > Cumplimiento de DFARS 7019: Lo que los Contratistas de Defensa Necesitan Saber
Blog - DFARS 7019 Compliance What Defense Contractors Need to Know

Cumplimiento de DFARS 7019: Lo que los Contratistas de Defensa Necesitan Saber

by Danielle Barbour updated diciembre 12, 2024 Cumplimiento Regulatorio
Reading Time: 8 minutes

En noviembre de 2020, el Departamento de Defensa de EE. UU. (DoD) anunció la Regla Provisional del Suplemento de Regulación de Adquisiciones Federales de Defensa (DFARS). La Regla Provisional de DFARS establece la Certificación del Modelo de Madurez de Ciberseguridad (CMMC) como el marco de ciberseguridad para contratistas y proveedores en la Base Industrial de Defensa (DIB). La Regla Provisional requiere que los contratistas de defensa que manejan información no clasificada controlada (CUI) implementen los controles de ciberseguridad descritos en la Publicación Especial 800-171 del Instituto Nacional de Estándares y Tecnología (NIST SP 800-171). La Regla Provisional fortalece los requisitos de autoevaluación de NIST SP 800-171 a medida que los contratistas hacen la transición a la certificación CMMC 2.0.

La Regla Provisional de DFARS contiene tres cláusulas: 252.204-7019, 7020 y 7021. En este artículo del blog, profundizaremos en la cláusula 7019, que básicamente requiere que los contratistas de defensa:

  • Realicen una autoevaluación del cumplimiento de NIST SP 800-171 de acuerdo con la Metodología de Evaluación del DoD
  • Informen los puntajes de esta evaluación al DoD a través del Sistema de Riesgo de Desempeño del Proveedor (SPRS)

¿Qué es DFARS 7019?

Como parte de la Regla Provisional de DFARS, la cláusula DFARS 7019 requiere que todos los contratistas del DoD cumplan con los estándares de ciberseguridad descritos en NIST SP 800-171. Esta cláusula es parte de los esfuerzos del DoD para mejorar la protección de la CUI y otra información gubernamental sensible contra amenazas y ataques cibernéticos.

La cláusula 7019 se añadió a DFARS para abordar la seguridad de la CUI en sistemas y organizaciones no federales. Esta cláusula requiere que los contratistas y subcontratistas implementen controles de seguridad específicos para proteger la CUI y reporten cualquier incidente de seguridad que pueda comprometer la confidencialidad, integridad o disponibilidad de la CUI. A diferencia de la cláusula 7020, que se centra en la protección de información clasificada, y la cláusula 7021, que se aplica a la protección de información técnica controlada no clasificada (UCTI), la cláusula 7019 se dirige específicamente a la protección de la CUI. Además, la cláusula 7012 se refiere a la protección de Información de Defensa Controlada (CDI) y requiere que los contratistas y subcontratistas implementen ciertos controles de seguridad, así como reporten cualquier incidente que pueda afectar la confidencialidad, integridad o disponibilidad de la CDI. Aunque ambas cláusulas, 7019 y 7021, abordan la seguridad de la información, son distintas en su enfoque de proteger diferentes tipos de información sensible.

¿Cómo se superponen DFARS 7019 y CMMC?

DFARS 7019 y CMMC se superponen en el sentido de que ambos están relacionados con los requisitos de ciberseguridad para los contratistas del DoD. DFARS 7019 es una cláusula que requiere que los contratistas tengan un plan de ciberseguridad, mientras que CMMC es un marco que evalúa las prácticas de ciberseguridad de un contratista y asigna un nivel de certificación basado en su madurez y cumplimiento con los requisitos de ciberseguridad. CMMC 2.0 tiene tres niveles de cumplimiento que incluyen CMMC 2.0 Nivel 1 (Fundacional), CMMC 2.0 Nivel 2 (Avanzado) y CMMC 2.0 Nivel 3 (Experto).

En otras palabras, DFARS 7019 es un requisito para que los contratistas tengan un plan de ciberseguridad, y CMMC es un proceso de certificación que evalúa y valida la efectividad de ese plan. CMMC se basa en el requisito de DFARS 7019 y añade controles y prácticas de seguridad adicionales para asegurar que los contratistas alcancen un nivel más alto de madurez en ciberseguridad.

¿Por qué es importante el cumplimiento de DFARS 7019?

La cláusula DFARS 7019 es un requisito crucial para los contratistas de defensa que trabajan en proyectos patrocinados por el DoD. El cumplimiento de esta cláusula es obligatorio y es vital por varias razones.

Una de las razones críticas por las que el cumplimiento de DFARS 7019 es esencial es la ciberseguridad. Los contratistas de defensa que deseen cumplir con esta cláusula deben tener medidas adecuadas de ciberseguridad para proteger la información sensible relacionada con la seguridad nacional. Con el aumento de los ciberataques y las violaciones de datos, es crucial tener medidas de ciberseguridad efectivas para prevenir el acceso no autorizado a información sensible.

El cumplimiento de DFARS 7019 ayuda a construir confianza y credibilidad con el DoD y otros contratistas en la industria. Muestra que los contratistas de defensa toman sus responsabilidades en serio y están comprometidos a proteger la información sensible relacionada con la seguridad nacional. El cumplimiento de DFARS 7019 también mejora la reputación de un contratista en su propia industria y puede proporcionar una ventaja competitiva al competir por trabajos no relacionados con el DoD.

Requisitos de DFARS 7019

DFARS 7019 establece algunos requisitos esenciales para los contratistas de defensa. En primer lugar, los contratistas deben implementar los controles de seguridad especificados en NIST SP 800-171, que consta de 110 requisitos de seguridad distribuidos en 14 familias diferentes. Estas familias incluyen control de acceso, identificación y autenticación, evaluación de riesgos y evaluación de seguridad, entre otras. Mientras que algunos de los requisitos pueden ser relativamente sencillos de implementar, otros pueden resultar más desafiantes, dependiendo del tamaño y la complejidad de la organización y los sistemas de información del contratista.

DFARS 7019 también requiere que los contratistas de defensa se sometan a una evaluación basada en la metodología NIST SP 800-171. Esta evaluación resultará en un puntaje que varía de -203 a 110, con un puntaje más alto indicando un mejor cumplimiento de los requisitos de NIST SP 800-171. Los contratistas de defensa deben luego presentar su puntaje junto con un Plan de Seguridad del Sistema (SSP) y un Plan de Acción e Hitos (POA&M) al Sistema de Riesgo de Desempeño del Proveedor (SPRS). El DoD utilizará estos puntajes para evaluar el riesgo asociado con la adjudicación de contratos a diferentes contratistas de defensa.

¿Cuál es el papel de la DCMA en el cumplimiento de DFARS 7019?

La Agencia de Gestión de Contratos de Defensa (DCMA) es responsable de asegurar que los contratistas cumplan con los requisitos de DFARS 7019. Para lograr esto, la DCMA realiza auditorías y evaluaciones de los contratistas para asegurar que estén implementando controles y procesos apropiados para proteger la información técnica controlada no clasificada (UCTI).

La DCMA también proporciona orientación y capacitación a los contratistas sobre cómo cumplir con DFARS 7019 y asiste en el desarrollo e implementación de planes de protección de UCTI. Además, la DCMA puede proporcionar apoyo y asistencia a los contratistas en caso de un incidente o violación de ciberseguridad.

Proceso de auditoría de la DCMA para el cumplimiento de DFARS 7019

La DCMA realiza auditorías para asegurar el cumplimiento de los contratistas de defensa con DFARS 7019. Estas auditorías evalúan las medidas de ciberseguridad de los contratistas y su cumplimiento con las directrices de NIST SP 800-171. La DCMA también puede realizar auditorías para verificar la autoevaluación de los contratistas sobre su cumplimiento con DFARS 7019.

Durante una auditoría, la DCMA revisará la documentación relacionada con las medidas de ciberseguridad del contratista, incluyendo políticas, procedimientos y planes de seguridad del sistema. El auditor también puede realizar entrevistas con empleados para verificar la efectividad de las medidas de ciberseguridad del contratista.

Si la DCMA identifica incumplimientos durante una auditoría, emitirá una Solicitud de Acción Correctiva (CAR). El contratista debe responder a la CAR y tomar medidas correctivas para abordar el incumplimiento. El incumplimiento de una CAR puede resultar en sanciones o la terminación del contrato.

Tabla de Cumplimiento y Certificación

Kiteworks presume de una larga lista de logros en cumplimiento y certificación.

¿Cuáles son algunos de los desafíos para cumplir con DFARS 7019?

Los contratistas de defensa pueden enfrentar varios desafíos para cumplir con DFARS 7019, como recursos limitados, falta de experiencia y resistencia al cambio. Los contratistas más pequeños, en particular, pueden tener dificultades para asignar los recursos y el personal necesarios para abordar los numerosos requisitos de seguridad descritos en NIST SP 800-171. Además, interpretar e implementar estos requisitos puede ser una tarea desalentadora para organizaciones que no tienen experiencia en ciberseguridad interna.

Otro desafío potencial es la resistencia al cambio dentro de la organización. Implementar los controles de seguridad requeridos puede requerir ajustes significativos en los flujos de trabajo, procesos e incluso en la cultura de la empresa existentes. Los contratistas de defensa deben estar preparados para gestionar eficazmente esta resistencia y fomentar una cultura de conciencia y cumplimiento de ciberseguridad en todos los niveles de la organización. En última instancia, el incumplimiento de DFARS 7019 puede llevar a consecuencias graves, incluyendo la pérdida de contratos valiosos con el DoD, sanciones financieras y daño a la reputación y posición de la organización en la industria de defensa.

Mejores prácticas para lograr el cumplimiento de DFARS 7019

Hay varios pasos que los contratistas de defensa pueden tomar para facilitar un proceso de cumplimiento de DFARS 7019 sin problemas. Considera las siguientes recomendaciones como mejores prácticas para el cumplimiento de DFARS 7019:

Entender los Requisitos Familiarízate con los requisitos de DFARS 7019 y lo que significan para tu organización. Asegúrate de que todos los interesados relevantes en tu organización estén al tanto de estos requisitos.
Realizar un Análisis de Distancia Exhaustivo de NIST SP 800-171 Para identificar dónde pueden estar faltando los sistemas de información en términos de controles de seguridad. Esta evaluación debe involucrar tanto a partes interesadas técnicas como no técnicas para asegurar una comprensión integral de la postura de ciberseguridad de la organización.
Desarrollar un Plan Crea una hoja de ruta para lograr el cumplimiento, incluyendo cronogramas, tareas y responsabilidades. Desarrolla un plan para el monitoreo y mantenimiento continuo del cumplimiento.
Capacitar a los Empleados Educa a tus empleados sobre los requisitos de DFARS 7019 y cómo pueden contribuir a los esfuerzos de cumplimiento. Asegúrate de que todos los empleados estén al tanto de sus roles y responsabilidades para lograr el cumplimiento.
Implementar Controles de Seguridad Implementa controles de seguridad apropiados para proteger la información sensible y cumplir con los requisitos de DFARS 7019. Esto puede incluir la implementación de controles de acceso, cifrado y otras medidas.
Realizar Auditorías Regulares Realiza auditorías regularmente para asegurar que tu organización siga cumpliendo con DFARS 7019. Esto te ayudará a identificar áreas donde puedas necesitar hacer mejoras.
Reportar Incidentes En caso de cualquier incidente, asegúrate de que se informe a las autoridades relevantes de manera oportuna. Esto te ayudará a evitar sanciones y mantener el cumplimiento con DFARS 7019.
Involucrarse con los Proveedores Asegúrate de que tus proveedores también cumplan con DFARS 7019. Involúcrate con ellos y trabajen juntos para asegurar que se cumplan todos los requisitos.
Mantente Actualizado Mantente actualizado sobre cualquier cambio en DFARS 7019 u otras regulaciones que afecten a tu organización. Esto te ayudará a adelantarte a cualquier problema de cumplimiento.

Tu viaje de cumplimiento con DFARS 252.204-7019 comienza con Kiteworks

Los contratistas de defensa que buscan cumplir con DFARS 7019 deberían considerar la Red de Contenido Privado (PCN) de Kiteworks. Debido a que Kiteworks está autorizado por FedRAMP para Impacto de Nivel Moderado, cumple con todos los requisitos de seguridad listados en NIST SP 800-171. Esto no solo permite a los contratistas de defensa compartir y transferir CUI con agencias gubernamentales, sino que lo hace con los más altos niveles de seguridad y cumplimiento. Kiteworks también soporta casi el 90% de los requisitos de CMMC 2.0 Nivel 2 de forma predeterminada, el nivel más alto para plataformas de comunicación de contenido sensible en la industria.

La PCN de Kiteworks es una plataforma de comunicaciones unificada, segura y fácil de usar que proporciona cifrado de extremo a extremo, controles de acceso seguros, propiedad de claves de cifrado y visibilidad en toda la actividad de archivos. Kiteworks consolida todos los canales de comunicación de terceros, incluyendo correo electrónico seguro, uso compartido de archivos, transferencia de archivos administrada (MFT), protocolo de transferencia de archivos seguro (SFTP), formularios web, y más, para que cada archivo sensible enviado, recibido o compartido esté controlado, protegido, monitoreado y rastreado de manera centralizada.

Con la PCN de Kiteworks, cada carga, descarga y compartición de archivos se registra para eDiscovery y cumplimiento normativo. Kiteworks también soporta una gama de otras regulaciones y estándares, incluyendo las Regulaciones Internacionales de Tráfico de Armas (ITAR), el Reglamento General de Protección de Datos (GDPR), SOC 2, la Ley de Gestión de Seguridad de la Información Federal (FISMA), FIPS 140-2, y las Regulaciones de Administración de Exportaciones (EAR).

Para más información sobre la plataforma Kiteworks, programa una demostración personalizada hoy mismo.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks