Violaciones de ciberseguridad

Contratos Gubernamentales, Ciberseguridad y Reporte de Incidentes Cibernéticos

La ciberseguridad es uno de los problemas más complejos que enfrentan hoy en día cada persona, entidad y gobierno. Difícilmente pasa una semana sin que aparezca en las noticias una nueva violación cibernética en empresas pequeñas, medianas y grandes. ¿Quién tiene la culpa cuando fallan los candados? Si usted es un contratista o subcontratista del gobierno federal, no puede simplemente ignorar esta pregunta, ya que las Regulaciones Federales de Adquisiciones (FAR) exigen que los contratistas y subcontratistas protejan la información de defensa cubierta que reside o transita a través de los sistemas de información del contratista cubierto, aplicando los requisitos especificados. La disposición FAR 204.73 exige que los contratistas del gobierno federal presenten informes de incidentes cibernéticos.

El Subapartado 204.73 requiere que los contratistas cuenten, como mínimo, con una Evaluación Básica NIST SP 800-171 del Departamento de Defensa (DoD) que no tenga más de tres años de antigüedad, a menos que se especifique lo contrario en los documentos de licitación al momento de la adjudicación. Esto significa que el cumplimiento debe demostrarse al inicio del contrato y mantenerse durante toda la vigencia del mismo, e incluso posiblemente después de su terminación.

El término «seguridad adecuada» según el Subapartado 204.73 se refiere a la implementación de los requisitos de seguridad de red especificados en NIST SP 800-171, como lo exige la cláusula DFARS 252.204-7012. Los contratistas deben asegurarse de que sus sistemas de información del contratista cubierto cumplan con estas normas, las cuales incluyen la protección de la información de defensa cubierta y el reporte de incidentes cibernéticos.

De manera similar, el término «ciberseguridad suficiente» no está definido explícitamente en las regulaciones, pero puede interpretarse como el cumplimiento de los estándares aplicables, tales como NIST SP 800-53 y NIST SP 800-171, así como la capacidad de proteger eficazmente contra los riesgos de ciberseguridad.

¿Por Qué Es Importante la Diligencia Debida en la Protección de Información de Defensa Cubierta?

Los contratistas y subcontratistas que no cumplan con los requisitos de protección y reporte establecidos en el Subapartado 204.73 pueden enfrentar consecuencias significativas. La cláusula DFARS 252.204-7009 establece explícitamente que las violaciones a las obligaciones o restricciones relacionadas con la protección de información de defensa cubierta pueden someter a los contratistas a acciones penales, civiles, administrativas y contractuales, incluyendo sanciones, daños y otras medidas por parte de los Estados Unidos. Los terceros que reportan incidentes cibernéticos son beneficiarios terceros de los acuerdos de confidencialidad entre el gobierno y los contratistas, lo que significa que pueden iniciar acciones civiles por daños y otras compensaciones si ocurren violaciones (48 C.F.R. 252.204-7009)[1]. Además, en los contratos federales, la Doctrina Cristiana incorpora disposiciones del FAR, como la cláusula DFARS 252.204-7009, en un contrato federal incluso si el contrato no menciona expresamente las obligaciones del contratista bajo el Subapartado 204.73 del FAR. Asimismo, los contratistas y subcontratistas están obligados a certificar bajo pena de perjurio la veracidad de sus precios, facturación y demás representaciones durante la ejecución de contratos gubernamentales. Por último, la Ley de Reclamaciones Falsas (False Claims Act) podría exponer al contratista o subcontratista negligente a extensos litigios civiles y daños económicos. Por todas estas razones, los contratistas y subcontratistas deben contar, como mínimo, con una Evaluación Básica NIST SP 800-171 del Departamento de Defensa (DoD) que no tenga más de tres años de antigüedad, a menos que se especifique lo contrario en la solicitud correspondiente al momento de la adjudicación del contrato. Los estándares de la Evaluación Básica NIST SP 800-171 deben mantenerse durante toda la vigencia del contrato e incluso después de su terminación. Por todas estas razones, los contratistas y subcontratistas del gobierno deben realizar la debida diligencia para garantizar el cumplimiento con el Subapartado 204.73 del FAR – Protección de Información de Defensa Cubierta y Reporte de Incidentes Cibernéticos.

Dado el aumento significativo en los problemas de violaciones de ciberseguridad, no es difícil prever que este tipo de medidas podrían requerirse en todos los contratos federales, estatales y locales, e incluso en contratos privados.

La diligencia debida en contratos federales debe ir más allá de copiar políticas, procedimientos o estándares escritos por otra persona para otra empresa. Las políticas, procedimientos y estándares de ciberseguridad de su empresa deben ser contextualmente relevantes para su negocio y deben mantenerse actualizados para cumplir con los requisitos de suficiencia y adecuación del Subapartado 204.73, los cuales incluyen:

• Implementación de los requisitos de seguridad de red especificados en NIST SP 800-171, como lo exige la cláusula DFARS 252.204-7012.
• Protección de la información de defensa cubierta.
• Reporte de incidentes cibernéticos conforme al Programa de Certificación del Modelo de Madurez de Ciberseguridad (CMMC).

¿Por Qué Elegir a los Abogados de Contratos Gubernamentales, Ciberseguridad y Reporte de Incidentes Cibernéticos de Coleman Jackson, Corporación Profesional para que lo Representen?

Como abogados y asesores con experiencia en contratos gubernamentales, podemos acompañar a contratistas y subcontratistas del gobierno federal para brindar asesoría y representación en las siguientes áreas:

• Revisar y asesorar sobre la implementación de los requisitos de seguridad de red especificados en NIST SP 800-171, según lo exige la cláusula DFARS 252.204-7012.
• Revisar y asesorar sobre la protección de la información de defensa cubierta.
• Asesoría legal y representación cuando ocurra un incidente cibernético en su negocio.
• Asesoría legal en la preparación, reporte y presentación de informes de incidentes cibernéticos.
• Representación de contratistas y subcontratistas en investigaciones y auditorías de incidentes cibernéticos del Departamento de Defensa (DoD).
• Representación en litigios relacionados con incidentes cibernéticos y en litigios bajo la Ley de Reclamaciones Falsas (False Claims Act) ante tribunales federales.

¿Necesita un Abogado en Contratos Gubernamentales, Ciberseguridad y Reporte de Incidentes Cibernéticos para su Negocio?

Contacte hoy mismo a los abogados con experiencia en Reporte de Incidentes Cibernéticos en la firma de contratos gubernamentales Coleman Jackson, Corporación Profesional, al (214) 599-0432.