73 pantallas dentro del perímetro
Un importante contratista de defensa que cotiza en bolsa ejecuta 73 pantallas de Oracle Forms dentro de un enclave controlado por ITAR. Las pantallas gestionan el seguimiento de licencias de exportación, controles de acceso de nacionales extranjeros y registros de transferencia de tecnología para un portafolio de programas con un valor de 4.200 millones de dólares al año. La aplicación fue construida en 2001 para un solo programa. Ahora soporta 14.
El enclave está aislado de la red corporativa. Cada parche requiere una junta formal de control de cambios. La última actualización significativa de la interfaz fue aprobada en 2013.
Por qué defensa mantuvo Forms más tiempo
Los contratistas de defensa operan bajo una pila de cumplimiento que castiga el cambio. ITAR, EAR, NISPOM, CMMC, DFARS 252.204-7012, y para algunos programas FedRAMP High, se apilan unos sobre otros. Cada uno agrega ciclos de revisión. Cada uno trata las introducciones de nuevo software como eventos de riesgo. Oracle Forms sobrevivió porque reemplazarlo era más difícil que mantenerlo.
Hemos revisado patrimonios de Forms en cuatro contratistas principales y dos subcontratistas grandes. Los tamaños van de 40 a más de 300 pantallas. Los programas que soportan a menudo sobreviven a los desarrolladores originales por dos décadas.
El reinicio de CMMC 2.0
CMMC 2.0 cambió el cálculo. Las evaluaciones de Nivel 2 ahora requieren la implementación demostrada de controles para los 110 controles del NIST SP 800-171. Varios de esos controles — registro de auditoría, control de acceso, gestión de sesiones — revelan brechas inmediatas en la mayoría de las implementaciones de Oracle Forms.
Una aplicación Forms con cuentas de base de datos compartidas, sin atribución de sesión individual y una capa WebLogic ejecutando Java en fin de vida no va a pasar una evaluación CMMC Nivel 2. Hemos visto a tres contratistas principales reprobar evaluaciones provisionales exactamente con este patrón.
El problema ITAR es más agudo que SOX
Las violaciones de ITAR son penales. Una pantalla de Forms que registra el acceso a datos técnicos controlados sin atribución individual confiable es un hallazgo reportable bajo 22 CFR Parte 120. La Dirección de Controles de Comercio de Defensa del Departamento de Estado ha sido más activa en los últimos 18 meses que en cualquier momento de la década anterior.
Un subcontratista con el que hablamos descubrió durante una revisión interna que sus registros de acceso de nacionales extranjeros dependían de un trigger de Forms que había fallado silenciosamente en 2022. Tres años de registros de acceso estaban incompletos. La divulgación voluntaria tomó nueve meses en prepararse.
Por qué reemplazar de golpe generalmente falla dentro del perímetro
Los programas de modernización de defensa tienen una tasa de fracaso que eclipsa el promedio comercial. Las razones son estructurales. La autorización FedRAMP para plataformas SaaS de reemplazo toma de 18 a 24 meses. Los paquetes ATO para reemplazos on-prem llegan a miles de páginas. Los desarrolladores con habilitación de seguridad son escasos y costosos. Cada cambio de requisito desencadena una nueva revisión de seguridad.
Un programa típico de reemplazo de Forms dentro de un entorno con habilitación presupuesta 60 meses y entrega en 90, si es que entrega. Dos contratistas principales nos han dicho que han dado de baja más de 40 millones de dólares cada uno en intentos de modernización que nunca llegaron a producción.
Modernización basada en descriptores dentro del enclave
El enfoque que funciona dentro de entornos clasificados e ITAR es el que minimiza la introducción de nuevo software. La extracción automatizada de archivos .fmb a descriptores JSON se ejecuta offline, en hardware aprobado, dentro del enclave. Sin dependencia de la nube. Sin llamadas a servicios externos. Los descriptores se convierten en el sistema de registro de la lógica de negocio, revisable tanto por oficiales de seguridad como por gerentes de programa.
A partir de esos descriptores, una aplicación TypeScript se genera contra una línea base de runtime aprobada. La superficie de ataque se reduce. El registro de auditoría es continuo. La misma Oracle Database subyacente permanece en su lugar, lo que mantiene intacto el perímetro ATO existente.
Evidencia que sobrevive una inspección DCSA
Los contratistas principales que modernizan exitosamente producen un artefacto específico: un manifiesto firmado que vincula cada build desplegado a una versión específica de descriptor, con integridad criptográfica a través del pipeline de compilación. Los inspectores del DCSA y los auditores del DCMA pueden leerlo. También el oficial de seguridad de la instalación.
Hemos visto cómo esto reduce el tiempo de preparación para inspecciones de seis semanas a cuatro días. La evidencia es generada por el build, no ensamblada a mano a partir de conocimiento tribal.
La trampa de cumplimiento, y la salida
La trampa es que cuanto más tiempo permanece Forms, más obligaciones de cumplimiento se acumulan a su alrededor, y más cualquier cambio parece un riesgo. La salida es tratar la extracción como un ejercicio de preservación de controles primero y un ejercicio de modernización segundo. El comportamiento que los auditores ya aceptan se captura textualmente. El runtime sobre el que se ejecuta se reemplaza por algo con soporte.
Los programas de defensa sobreviven a la mayoría del software comercial. Los sistemas que los gestionan también deberían, sin mantener a los contratistas principales encerrados dentro de un runtime de 2001 por otra década.