El Suplemento del Reglamento de Adquisiciones Federales de Defensa (DFARS) regula la adquisición de bienes y servicios para el Departamento de Defensa (DoD). Tanto los funcionarios como los contratistas deben cumplir con los requisitos establecidos en el DFARS. Como sabe cualquiera que haya examinado los requisitos establecidos en el DFARS, el propio DFARS es un complejo cuerpo normativo de amplio alcance y profundidad. Los contratistas y subcontratistas que suministran o trabajan con el DoD están obligados a cumplir con el DFARS o se enfrentan a sanciones por incumplimiento, por lo que es esencial entender exactamente cuáles son sus requisitos de cumplimiento del DFARS y cómo puede cumplirlos.
Un desafío que el DFARS presenta para los contratistas y subcontratistas es una restricción en los países de los que puede obtener suministros. Dada la complejidad de nuestra cadena de suministro global, las organizaciones ajenas al proceso de adquisición del DoD a menudo no saben exactamente de dónde proceden sus bienes y servicios. Esto puede plantear posibles problemas de cumplimiento del DFARS, de ahí la necesidad de establecer restricciones. Dentro de la propia normativa DFARS hay una lista de países que cumplen con el DFARS. Esta lista es esencial para que todos los contratistas la entiendan y la respeten, lo que significa que todas las adquisiciones de bienes y servicios deben pasar por estos países. Esto incluye a los componentes que consisten en metales fundidos, que es un tema complejo en sí mismo. De acuerdo con los requisitos del DFARS, sólo se permite a determinados países fundir metales fuera de los Estados Unidos si el producto final se destina a fines del DoD.
También hay algunos cambios importantes que se implementaron recientemente en el DFARS y que afectan a muchos de los contratistas y subcontratistas que interactúan con el DoD. A saber, la adición de requisitos de ciberseguridad para proteger la información no clasificada controlada (CUI). Esto afecta a todos los socios del DoD y ha sido la ley de la tierra desde finales de 2017. Este requisito adicional para el DFARS ordenó que todas las organizaciones en el ámbito de la regulación adoptaran los esfuerzos de ciberseguridad descritos en el Instituto Nacional de Estándares y Tecnología (NIST) SP 800-171 revisión 1. Estos requisitos pretenden proteger la CUI de accesos injustificados o robos. Al hacerlo, estos requisitos también protegen a los propios contratistas asegurando que sus esfuerzos de ciberseguridad son capaces de estar a la altura del panorama de amenazas actual.
Navegar por los requisitos del DFARS puede ser extremadamente difícil. La profundidad de la información cubierta en los documentos normativos es extensa, y con numerosos documentos adicionales necesarios para obtener una imagen completa de los servicios de asesoramiento de cumplimiento y los requisitos que las organizaciones deben cumplir; la mayoría de los contratistas más pequeños y medianos pueden tener dificultades para adherirse a los requisitos establecidos en el DFARS. Este artículo tratará de desgranar una lista completa de los países que cumplen con el DFARS. También veremos lo que significa ser un país que cumple con la normativa, con el fin de proporcionar un mayor contexto a las propias regulaciones.
Aquí hay algunos artículos más para ayudarle a aprender más sobre el DFARS :
- ¿Qué significa DFARS?
- ¿Cómo cumplir con el DFARS?
- Australia
- Bélgica
- Canadá
- República Checa
- Dinamarca
- Egipto
- Estonia
- República Federal de Republic of Germany
- Finland
- France
- Greece
- Israel
- Italy
- Japan
- Latvia
- Luxembourg
- Netherlands
- Norway
- Poland
- Portugal
- Slovenia
- Spain
- Sweden
- Switzerland
- Turkey
- United Kingdom of Great Britain and Northern Ireland
¿Qué son los países calificados?
En este punto, es posible que se pregunte qué es un país calificado. En términos de DFARS, el término «país calificado» se refiere a un país con el que el gobierno de los Estados Unidos tiene un memorando de entendimiento u otro acuerdo internacional con el país designado. A partir de estos acuerdos, el DoD determina que no es de interés público que las calificaciones de los requisitos bajo el estatuto Buy American o el Programa de Balanza de Pagos se apliquen a estos países específicos.
Entonces, ¿qué hace exactamente que la relación entre Estados Unidos y un país calificado sea especial? Bueno, esencialmente el gobierno de los Estados Unidos firma acuerdos recíprocos de compras de defensa con cada país que está en la lista. Estos acuerdos de defensa recíproca se iniciaron durante la década de 1970 en el contexto de la Guerra Fría, con la intención de aumentar la eficacia de las alianzas que existían en ese momento. La idea que subyace a los acuerdos de defensa recíproca es que muchos países tenían barreras para adquirir equipos relacionados con la defensa. Estas barreras a menudo adoptaban la forma de leyes o normas que alentaban a las industrias de defensa a abastecerse de fuentes nacionales, ya sea porque se incentivaba financieramente o de otra manera.
Debido al hecho de que las adquisiciones de defensa representan una parte tan importante de las adquisiciones gubernamentales en general, tenía sentido buscar acuerdos con los aliados mediante los cuales se redujeran o eliminaran las barreras a las adquisiciones transfronterizas. Al poder adquirir equipos de defensa tanto a nivel nacional como a través de los aliados, los países pudieron ejercer un mayor grado de elección en los tipos de equipos que adquirieron. La ampliación del entorno de las adquisiciones también garantizó la inclusión de un campo de competencia más amplio en los acuerdos de adquisición de material de defensa y en la contratación. El uso de acuerdos recíprocos de adquisición de defensa garantiza que las adquisiciones de defensa sean más rentables. También hay consideraciones estratégicas integradas en estos acuerdos, como la producción de una gama más amplia de equipos interoperables.
La faceta importante de los acuerdos de adquisición recíproca de defensa es la disposición de renunciar a los requisitos que muchas naciones tienen para que las entidades gubernamentales compren productos que se producen en el país. En Estados Unidos, esto adopta la forma de la Buy American Act, aprobada en 1933, que impide al gobierno federal comprar suministros o productos acabados fuera de Estados Unidos sin una exención. Muchos otros países también tienen leyes de «compra nacional». Los acuerdos de adquisición recíproca de material de defensa eximen de estas leyes, lo que permite a ambos países comerciar con material de defensa. O, al menos, ciertas organizaciones de los países que cumplen los requisitos pueden entrar en el proceso de adquisición sin temor a prácticas de compra discriminatorias. Tampoco los bienes vendidos desde los países calificados tendrán derechos de importación, al menos en la mayoría de los casos.
Evalúe su cumplimiento del DFARS
¿Qué países son países calificados?
En este punto, probablemente quiera una lista de qué países se consideran países calificados bajo el DFARS. Como notará, muchos de los países de la lista son aliados incondicionales de los Estados Unidos. En total, actualmente hay 26 países que se consideran países que cumplen con el DFARS. Aquí está la lista de países que cumplen con el DFARS:
In addition to the 26 countries in the aforementioned list, contractors with the DoD may also procure products from Austria. These procurements are exempted from the Buy American Act on a case-by-case basis, rather than accepted whole cloth as in the case of the countries listed above. One thing to note about the list of compliant countries is that there is substantial overlap between these countries and countries that are part of the North Atlantic Treaty Organization (NATO). Esta asociación es lógica dado el contexto histórico en el que empezaron a aparecer los acuerdos de adquisición de defensa.
Cuáles son algunos otros requisitos importantes del DFARS
Como hemos mencionado el propio DFARS es un enorme cuerpo normativo que regula la adquisición de equipos de defensa. Hay muchas facetas de DFARS que se aplican a organizaciones específicas, y hay demasiados requisitos individuales para entrar en ellos. Sin embargo, vale la pena dedicar tiempo a conocer un poco más de información sobre un requisito reciente que se añadió al DFARS. Este requisito regula la protección de la información no clasificada controlada (CUI). Hay sanciones estrictas por el incumplimiento, incluyendo la pérdida del contrato gubernamental que tiene una organización, por lo que vale la pena entender cómo le afecta este requisito.
Si usted forma parte del proceso de adquisición del DoD y maneja CUI, entonces está obligado por ley a cumplir con los requisitos de ciberseguridad descritos en el DFARS 204.73 Safeguarding Covered Defense Information and Cyber Incident Reporting. Como su nombre indica, este requisito se refiere a la protección de los datos sensibles que no son clasificados pero cuya divulgación podría ser perjudicial. Para ello, las entidades que están en el ámbito de este requisito deben adherirse al NIST 800-171 Protección de la información no clasificada controlada en sistemas de información y organizaciones no federales.
La cláusula que regula la ciberseguridad en el DFARS se añadió recientemente y entró en vigor el 31 de diciembre de 2017. Por lo tanto, aunque este requisito ha estado en vigor durante más de un año en este momento, todavía puede haber pequeñas y medianas empresas que todavía tienen que lograr el cumplimiento. Lograr el cumplimiento de los requisitos de ciberseguridad del DFARS puede ser complicado. Las organizaciones deben identificar el verdadero alcance de cómo se transmite y almacena la CUI en sus activos de red y sistemas. A continuación, las organizaciones deben implementar las salvaguardias descritas en el NIST 800-171 para garantizar la protección de esa CUI.
Puede que se pregunte a qué se refiere la «Información no clasificada controlada», ya que desde fuera parece un término amplio. Esencialmente, la CUI son datos generados por el gobierno que necesitan ser salvaguardados. También puede incluir información o datos generados por una tercera entidad en nombre del gobierno. La definición de CUI en sí es compleja, con una definición completa que se encuentra aquí proporcionada por los Archivos Nacionales. Para las entidades que están en el ámbito de los requisitos de seguridad del DFARS, obtener una comprensión completa de lo que constituye exactamente la CUI sirve como punto de partida básico para identificar dónde se almacena la CUI en sus sistemas, cómo se transmite y cómo la está protegiendo. Algunos ejemplos de CUI son los correos electrónicos, los planos o la información de los contratistas, pero hay muchos tipos diferentes de información que pueden considerarse CUI. Uno de los aspectos más desafiantes para lograr el cumplimiento del NIST 800-171 es identificar adecuadamente la CUI cuando se interactúa con ella.
El NIST 800-171 esboza un marco que las organizaciones pueden utilizar para proteger la CUI en su red y sistemas. En total, el NIST 800-171 esboza 14 requisitos diferentes que las organizaciones deben cumplir para ser consideradas conformes. Estos requisitos pueden desglosarse en controles, medidas de seguridad, gestión y supervisión, y prácticas del usuario final. Al igual que otros requisitos de seguridad proporcionados por el NIST, los requisitos de ciberseguridad esbozados en el NIST 800-171 representan las mejores prácticas aceptadas por la industria. Aunque hay requisitos específicos, las organizaciones pueden elegir la mejor manera de cumplir con esos requisitos teniendo en cuenta sus necesidades operativas, el nivel de riesgo y los recursos de los que disponen.
Cumplir con los requisitos esbozados en el NIST 800-171 puede ser un reto, sobre todo para los pequeños y medianos fabricantes o proveedores del Departamento de Defensa que no tienen los recursos necesarios para llevar a cabo los requisitos de evaluación y supervisión exigidos por el NIST. Las organizaciones que esperan lograr el cumplimiento de la norma NIST 800-171 deben revisar sus procesos empresariales y el alcance de la CUI y, a continuación, analizar las deficiencias de sus controles. Una vez hecho esto, pueden crear una hoja de ruta para avanzar. A continuación, las organizaciones tendrán que implantar controles, junto con la segmentación de su red, tráfico o activos si es necesario para reducir el alcance de la CUI. Por último, las organizaciones tendrán que crear procesos para garantizar el cumplimiento continuo, incluyendo auditorías y validaciones de seguridad. Para hacer todo esto, las organizaciones deben ser capaces de realizar una evaluación completa de su infraestructura de TI y tener acceso a la experiencia necesaria para realizar evaluaciones de vulnerabilidad.
También es importante tener en cuenta que el cumplimiento de los requisitos establecidos en el NIST 800-171 no es un evento singular, sino que es un proceso continuo. Esto significa que las organizaciones deben realizar regularmente evaluaciones de vulnerabilidad, así como poner en marcha pruebas de penetración continuas para garantizar que cualquier vulnerabilidad en su red, sistemas o aplicaciones web sea rápidamente identificada y remediada antes de que se produzca un evento perjudicial. Conozca las 5 mejores herramientas de pruebas de penetración para aplicaciones web en nuestro artículo relacionado.
Conclusión
Mantener el cumplimiento de los requisitos del DFARS puede llevar una cantidad asombrosa de tiempo y coordinación. Entender exactamente cuáles son sus requisitos de cumplimiento es esencial para mantener su contrato con el gobierno de forma continua. No basta con saber si un país con el que trabaja se considera apto o no. Si usted es una organización que es un subcontratista o contratista principal que suministra al DoD, tendrá que asegurarse de que su organización protege la CUI y cumple con el NIST 800-171. Si no lo hace, puede provocar el incumplimiento y la revocación de su contrato con el gobierno, junto con el daño financiero y de reputación que puede acompañar a una violación de datos. Evitar el incumplimiento del DFARS, en particular, requiere trabajar con otras organizaciones que conozcan en profundidad tanto los requisitos del DFARS como los del NIST 800-171. Debido al hecho de que estos dos van de la mano, las organizaciones en el ámbito de aplicación deben asegurarse de mantener el cumplimiento de ambos en todo momento. Si tiene curiosidad por saber más sobre el cumplimiento del DFARS y el NIST 800-171 o las soluciones de ciberseguridad, póngase en contacto con RSI Security hoy mismo.