ณ วันที่ 31 ธันวาคม ผู้รับเหมาฝ่ายกลาโหมที่เก็บรักษาข้อมูลที่ไม่เป็นความลับ (CUI) ที่มีการควบคุมจะต้องเป็นไปตามมาตรฐานความปลอดภัยทางไซเบอร์ของ Defense Federal Acquisition Regulation Supplement (DFARS) มิฉะนั้นจะมีความเสี่ยงที่จะสูญเสียสัญญา เพื่อให้เป็นไปตามมาตรฐานความปลอดภัยทางไซเบอร์ใหม่ ผู้รับเหมาและซัพพลายเออร์ต้องปฏิบัติตามข้อกำหนดที่สำคัญโดยเฉพาะอย่างยิ่งการนำการควบคุมจาก National Institute of Standards and Technology ไปใช้
Bill Brennan ผู้อำนวยการอาวุโสฝ่ายการเปิดใช้งานธุรกิจไซเบอร์ที่ Leidos
สำหรับบริษัทรับเหมาภาครัฐขนาดใหญ่ชั้นนำ เช่นLeidosได้มีการสร้างทีมการปฏิบัติตามข้อกำหนด DFARS การดำเนินการจำเป็นต้องเปลี่ยนแปลงนโยบาย ขั้นตอน บริการ และในบางกรณี โครงสร้างพื้นฐานด้านไอทีและความปลอดภัย การปฏิบัติตามข้อกำหนดบางอย่างเกี่ยวข้องกับการอัปเดตเอกสารในขณะที่บางข้อต้องการเครื่องมือป้องกันทางไซเบอร์ใหม่
ระดับความพยายามเพื่อให้สอดคล้องกับ DFARS ขึ้นอยู่กับสถานะเริ่มต้นของแต่ละองค์กร องค์กรบางแห่งจัดการระบบข้อมูลของตนจากส่วนกลางด้วยโมเดลบริการที่ใช้ร่วมกัน ในขณะที่องค์กรอื่นๆ องค์กรที่มีการจัดการจากส่วนกลางดำเนินโครงการให้เสร็จสิ้นเป็นองค์กรขนาดใหญ่เพียงแห่งเดียว ในขณะที่องค์กรที่มอบหมายการจัดการด้านไอทีจะต้องทำให้แต่ละระบบเป็นไปตามข้อกำหนด ซึ่งอาจเป็นความพยายามที่ซ้ำซ้อนกัน
แม้ว่าการปฏิบัติตามมาตรฐานใหม่จะเป็นข้อบังคับสำหรับผู้รับเหมา
การตรวจสอบความสอดคล้องและบทลงโทษสำหรับการไม่ปฏิบัติตามนั้นค่อนข้างคลุมเครือเล็กน้อย การเพิ่มความซับซ้อนของการปฏิบัติตามที่ตรวจสอบแล้วคือข้อเท็จจริงที่ว่าแต่ละธุรกิจมีโครงสร้างไอทีที่แตกต่างกัน ในการนำการควบคุมไปใช้และวิธีการประเมินการปฏิบัติตามด้วยตนเอง ความไม่ลงรอยกันที่สอดคล้องกันนี้ทำให้งานนั้นตัดสินได้ยากขึ้นมาก
ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
Scott Schlimmer ผู้ร่วมก่อตั้ง Cybersaint Security
ผู้รับเหมารายใหญ่จำนวนมากได้รับประโยชน์จากประสบการณ์ในการใช้การควบคุมความปลอดภัย “ปานกลาง” สำหรับระบบข้อมูลของรัฐบาลกลาง ทีมรักษาความปลอดภัยใช้มาตรฐานก่อนหน้านี้เพื่อให้ได้มาซึ่งมาตรฐานใหม่จำนวนมากสำหรับองค์กรที่ไม่ใช่ของรัฐบาลกลาง นอกจากนี้ NIST ยังจัดทำเอกสารแผนที่ที่แสดงจุดตัดกับ Cyber Security Framework ที่ค่อนข้างใหม่
สำหรับ Leidos ประสบการณ์นั้นน่าทึ่งมาก ในขณะที่ดำเนินการตามความพยายามที่จะแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนด ของNIST นั้น Leidos ยังต้องจัดการการควบรวมกิจการของบริษัทอิสระสองแห่งเพื่อสร้างผู้รับเหมาด้านไอทีของรัฐบาลกลางที่ใหญ่ที่สุดของสหรัฐฯ ซึ่งหมายความว่าระบบดั้งเดิมของทั้งสองบริษัทถูกรวมเข้าด้วยกันเป็นสถาปัตยกรรมเป้าหมายใหม่ มีการเปลี่ยนแปลงนโยบาย ขั้นตอน และโครงสร้างพื้นฐานด้วย กระบวนการนี้เกี่ยวข้องกับทีมผู้เชี่ยวชาญและผู้จัดการโครงการโดยเฉพาะที่ดูแลพอร์ตโฟลิโอของโครงการที่ดำเนินการเพื่อให้เป็นไปตามข้อกำหนดของ Leidos อย่างเต็มรูปแบบ แม้ว่าความพยายามจะไม่ใช่เรื่องเล็กน้อย แต่ผลลัพธ์ที่ได้ช่วยเพิ่มความปลอดภัยของ Leidos และปรับปรุงท่าทางการป้องกันโดยรวม
ผู้รับเหมารายเล็กทำด้วยทรัพยากรที่จำกัด
ผู้รับเหมาขนาดเล็กและขนาดกลางพบว่างานนั้นน่ากลัวกว่า หลายทีมมีเจ้าหน้าที่รักษาความปลอดภัยหรือเจ้าหน้าที่ไอที 1 หรือ 2 ทีมที่ทำงานเกี่ยวกับการปฏิบัติตามข้อกำหนด DFARS นอกเหนือไปจากงานประจำวันอื่นๆ ในขณะที่บางทีมไม่มีใครให้อุทิศให้กับงานนี้ ที่บริษัทเหล่านี้ CEO หรือบุคคลที่ไม่ใช่ช่างเทคนิคมีหน้าที่รับผิดชอบในการดำเนินการตามข้อกำหนด
