El Departamento de Defensa de EE.UU. ha emitido una guía inicial sobre cómo los ejecutivos de adquisiciones deben implementar la prohibición del gobierno de contratar empresas que utilicen servicios y equipos de telecomunicaciones de ciertos fabricantes chinos.
Antilavadodedinero / FCW
Pero las preguntas persisten con susurros preocupados entre los defensores de la industria sobre la implementación y esperanzas de una extensión del plazo de cumplimiento del 13 de agosto.
Para obtener algo de claridad, FCW habló con Alejandro Sarria y Jason Workmaster, dos abogados contratados del gobierno en el bufete de abogados Miller & Chevalier en Washington, DC, para comprender mejor lo que significan la regla provisional y la orientación inicial del DOD, y qué esperar. avanzando.
¿Qué significa este memorando del Departamento de Defensa, qué dice?
WORKMASTER: Sigue habiendo mucha incertidumbre tanto del lado del gobierno como del lado del contratista. Y sabes que el proceso para superar esa incertidumbre llevará algún tiempo. Porque cuando hay una falta de claridad, habrá que tomar algunas decisiones. Siempre existe la posibilidad de que esos juicios, en el futuro, sean cuestionados.
Cuando la legislación, la regla, habla de sistemas o servicios de sistemas de equipos, ¿es realmente cada uno de los sistemas de equipos o servicios potenciales que utiliza? Y, hasta ahora, el gobierno realmente no ha mostrado interés ni capacidad para poner algunos parámetros en torno a eso.
Y un contratista está tratando de averiguar exactamente cuánta diligencia debida se debe realizar, qué sistemas, qué equipos, qué servicios necesito ver.
Pude ver a un contratista diciendo: «¿Mi servicio de limpieza? Ese no puede ser el objetivo de esta regla», y decidiendo no preocuparse por el servicio de limpieza con el propósito de representar al gobierno. ¿Le dice al gobierno que ha excluido los servicios de limpieza de su búsqueda? Existe un riesgo en ambos sentidos.
Eso me recuerda las discusiones sobre CMMC, el próximo estándar de ciberseguridad del Departamento de Defensa para contratistas. ¿Cree que el mandato de la Sección 889 podría llegar tan lejos? ¿Ves alguna similitud o cruce allí?
SARRIA: Creo que hay similitudes, cierto. Hay una serie de reglas relacionadas con la cadena de suministro, piezas falsificadas, por ejemplo, y CMMC, que se han publicado en los últimos años y reflejan la preocupación del gobierno por comprender realmente con quién están haciendo negocios y los componentes que son. integrado en los sistemas de los que dependen tanto, en particular con fines de seguridad nacional. Así que el ejemplo de los servicios de limpieza es extremo, pero a primera vista, la regla parece llegar incluso a eso.
Pero hay pepitas en la propia regla provisional que sugieren que el gobierno se centra en un enfoque basado en el riesgo. Por ejemplo, las partes de la regla que definen los equipos y servicios de telecomunicaciones cubiertos, ese es un término del arte.
Se centra en tipos particulares de equipos y servicios. Hay una excepción en la que parece que el gobierno, desde una perspectiva política, puede no estar interesado en equipos que no pueden enrutar o redirigir los datos del usuario o los paquetes de datos desde un dispositivo.
¿Qué deberían hacer las empresas ahora?
SARRIA: Empiece con cosas que tengan sentido en las que cree que probablemente tiene la mayor exposición desde la perspectiva de los sistemas y servicios de equipos de telecomunicaciones para la mayoría de las empresas, que serán sus adquisiciones de TI, sus adquisiciones de servicios de información.
Cuando se relaciona con estos equipos y servicios de videovigilancia de Dahua y Hikvision, probablemente esté mirando su infraestructura de bienes raíces donde podría estar usando estas cámaras de seguridad o para otros fines.
Creo que lo que tiene más sentido para las empresas es establecer niveles basados en el riesgo en los que te concentres en lo que importa primero y luego avanzas hacia las cosas que presentan un riesgo menor. En última instancia, esos son los hechos que necesitará como contratista en caso de que busque una exención o si se le requiere a nivel de contrato que haga una representación para proporcionar al gobierno un poco más de contexto sobre lo que puede o no puede estar usando para que el gobierno tenga la oportunidad de considerar si usted sabe si eso realmente crea o no un riesgo de seguridad nacional.
WORKMASTER: Documento, documento, documento. Los abogados internos, la organización de cumplimiento, esas personas tienen que salir y recopilar toda esta información de su personal de TI, deben trabajar con su personal de adquisiciones para realizar la investigación razonable de los [subcontratistas] y proveedores.
Mantener un buen archivo porque si hay actividad de reclamos falsos, si hay denunciantes, tener un buen historial de hacer un trabajo razonable para asegurarse de que sus declaraciones al gobierno sean precisas será enorme, enormemente importante. Y si ha construido ese récord a medida que avanza, se ahorrará potencialmente muchos dolores de cabeza, mucho tiempo y potencialmente mucho dinero en el futuro.
Parece que una revisión podría ser bastante extensa. ¿Cuánto tiempo tardaría una revisión como esta en estar en conformidad?
SARRIA: Está por todo el mapa. Depende en cierto modo de su exposición y de la medida en que tenga enredos con estas empresas. Si es una [empresa] multinacional con operaciones en Asia, esto podría tomar varias semanas para completar todo, como tres o cuatro semanas para incluso entender el problema.
Luego hay una pregunta secundaria de si alguno de los usos constituye o no cae en este cubo de componente sustancial o central o tecnología crítica.
Entidades en las que se establecen simplemente como un negocio independiente de contratos gubernamentales aquí en los Estados Unidos y no comparten ningún sistema o red con otras afiliadas o divisiones de la empresa, lo que puede ser una consulta mucho más limitada en términos de tiempo.