Bekerja Secara Kolaboratif untuk Mendapatkan Kepatuhan:Bagaimana 2 Asumsi Keamanan Siber Utama Berdampak pada Pemasok DoD

Diperkirakan ada sekitar 300.000 perusahaan di Pangkalan Industri Pertahanan (“DIB”) di seluruh sektor manufaktur dan non-manufaktur. Sekitar 99% DIB terdiri dari usaha kecil dan menengah yang merupakan perusahaan dengan kurang dari 500 karyawan.

Sejak Desember 2017, semua perusahaan di DIB telah memiliki klausul Suplemen Peraturan Akuisisi Federal Pertahanan (“DFARS”) (252.204-7012 - Safeguarding Covered Defense Information &Cyber ​​Incident Reporting) dalam kontrak mereka. Setelah hampir tiga tahun, tampaknya ada sejumlah asumsi yang salah dalam DIB, dua di antaranya membahas lebih dalam...

Asumsi Pertama:Pengesahan Diri Bukan Masalah Besar

Sebagai hasil dari menerima persyaratan kontrak dengan Departemen Pertahanan, produsen membuktikan sendiri bahwa mereka menggunakan "keamanan siber yang memadai" untuk melindungi Informasi Tidak Rahasia Terkendali ("CUI"). Keamanan siber yang memadai didefinisikan oleh klausul DFARS sebagai penerapan penuh 110 persyaratan keamanan yang diuraikan dalam Publikasi Khusus NIST 800-171.

Banyak produsen menganggap bahwa program keamanan siber mereka sudah cukup. Sebagian besar klien CMTC biasanya memulai keterlibatan keamanan siber mereka dengan memperkirakan bahwa mereka memenuhi 70% - 80%. Namun, rata-rata berjalan setelah analisis kesenjangan dasar adalah sekitar 34% sesuai.

Posting blog sebelumnya telah membahas risiko hukum yang sering diabaikan terkait dengan ketidakpatuhan terhadap persyaratan keamanan siber. Pada akhirnya, jika perusahaan ingin berbisnis dengan Departemen Pertahanan (DoD), perusahaan tersebut harus menerima persyaratan kontrak dan, oleh karena itu, membuktikan sendiri postur keamanan siber yang sesuai.

Asumsi Kedua:Hanya Penyedia TI Eksternal Jawabannya

Banyak usaha kecil kekurangan personel dan sumber daya TI yang berdedikasi. Akibatnya, banyak produsen menggunakan penyedia layanan TI pihak ketiga. Agar usaha kecil ini dapat beroperasi, penyedia layanan eksternal dipercayakan dengan akses administratif yang luar biasa ke sistem informasi perusahaan. Seringkali, produsen berasumsi bahwa semuanya berjalan sesuai rencana. Produsen perlu mengawasi Penyedia TI Pihak Ketiga mereka untuk memahami tindakan apa yang diambil. Perjalanan dunia maya produsen dengan penyedia TI bekerja sama dengan perusahaan yang terlibat dalam aktivitas dan hasil pekerjaan penyedia.

Selain itu, dalam hal eksposur, kira-kira setengah dari 110 persyaratan keamanan terkait langsung dengan operasi teknis dan solusi teknologi yang biasanya disediakan oleh penyedia TI pihak ketiga. Beberapa tindakan keamanan siber sangat mendasar bagi operasi bisnis, pemerintah secara wajar berasumsi bahwa semua pemasok DoD akan secara proaktif mengelola risiko mereka sendiri. Adalah suatu keharusan bahwa produsen dan Penyedia TI bekerja sama untuk mendapatkan kepatuhan DoD. Pemasok DoD akan mengemban tanggung jawab kepatuhan dalam jangka panjang.

Secara bersama-sama, kedua asumsi kunci yang salah ini dapat menciptakan utang teknis dan kepatuhan yang luar biasa.

Audit kepatuhan keamanan siber pemerintah sedang dalam proses, jadi jalan terbaik ke depan adalah mengawasi penyedia TI Anda dan bekerja sama untuk berkontribusi pada kepatuhan Anda secara keseluruhan.

Disarankan Langkah Selanjutnya

1) Fokus pada persyaratan DFARS yang ada.

2) Luangkan waktu untuk benar-benar memahami asumsi yang mendasari NIST SP 800-171.

3) Membangun proses manajemen vendor pihak ketiga yang kuat.

4) Luangkan waktu untuk benar-benar memahami kewajiban aliran kontraktual.

Untuk ikhtisar singkat tentang ekosistem regulasi secara keseluruhan, dan diskusi yang lebih mendalam tentang topik yang diuraikan dalam postingan ini, Anda dapat melihat webinar CMTC sesuai permintaan di sini.