[ad_1]

Rollos de cámara de celebridades pirateados. Ciberespionaje estatal. Y todo lo demás. La seguridad de los datos tiene una amplia gama de aplicaciones. Y es una gran preocupación para todos los que utilizan o suministran servicios basados ​​en la nube.

Cuando se trata de datos gubernamentales, esas preocupaciones pueden alcanzar el nivel de seguridad nacional. Es por eso que el gobierno de EE. UU. Exige que todos los servicios en la nube utilizados por las agencias federales cumplan con un meticuloso conjunto de estándares de seguridad conocidos como FedRAMP.

Entonces, ¿qué es FedRAMP y qué implica? Estás en el lugar correcto para averiguarlo.

Prima: Lea la guía de estrategia de redes sociales paso a paso con consejos profesionales sobre cómo aumentar su presencia en las redes sociales.

¿Qué es FedRAMP?

FedRAMP significa "Programa Federal de Gestión de Autorizaciones y Riesgos". Estandariza la evaluación y autorización de seguridad para los productos y servicios en la nube utilizados por las agencias federales de EE. UU.

El objetivo es garantizar que los datos federales estén protegidos de manera constante a un alto nivel en la nube.

Obtener la autorización de FedRAMP es un asunto serio. El nivel de seguridad requerido es obligatorio por ley. Hay 14 leyes y reglamentos aplicables, junto con 19 estándares y documentos de orientación. Es una de las certificaciones de software como servicio más rigurosas del mundo.

A continuación, presentamos una breve introducción:

FedRAMP ha existido desde 2012. Fue entonces cuando las tecnologías en la nube realmente comenzaron a reemplazar las soluciones obsoletas de software conectado. Nació de la estrategia "Cloud First" del gobierno de EE. UU. Esa estrategia requería que las agencias consideraran las soluciones basadas en la nube como primera opción.

Antes de FedRAMP, los proveedores de servicios en la nube tenían que preparar un paquete de autorización para cada agencia con la que querían trabajar. Los requisitos no fueron consistentes. Y hubo muchos esfuerzos duplicados tanto para los proveedores como para las agencias.

FedRAMP introdujo consistencia y simplificó el proceso.

Ahora, las evaluaciones y los requisitos están estandarizados. Varias agencias gubernamentales pueden reutilizar el paquete de seguridad de autorización FedRAMP del proveedor.

La captación inicial de FedRAMP fue lenta. Solo se autorizaron 20 ofertas de servicios en la nube en los primeros cuatro años. Pero el ritmo realmente se ha acelerado desde 2018, y ahora hay 204 productos en la nube autorizados por FedRAMP.

Crecimiento de FedRAMP mediante productos autorizados en la nube

Fuente: FedRAMP

FedRAMP está controlado por una Junta de Autorización Conjunta (JAB). El consejo está formado por representantes de:

  • el Departamento de Seguridad Nacional
  • la Administración de Servicios Generales, y
  • el Departamento de Defensa.

El programa está respaldado por el gobierno de EE. UU. Federal Consejo de directores de información.

¿Por qué es importante la certificación FedRAMP?

Todos los servicios en la nube que contienen datos federales requieren la autorización de FedRAMP. Entonces, si quieres trabajar con el gobierno federal, La autorización de FedRAMP es una parte importante de su plan de seguridad.

FedRAMP es importante porque garantiza la coherencia en la seguridad de los servicios en la nube del gobierno y porque garantiza la coherencia en la evaluación y el seguimiento de esa seguridad. Proporciona un conjunto de estándares para todas las agencias gubernamentales y todos los proveedores de la nube.

Los proveedores de servicios en la nube que están autorizados por FedRAMP se enumeran en el Mercado de FedRAMP. Este mercado es el primer lugar al que recurren las agencias gubernamentales cuando desean obtener una nueva solución basada en la nube. Es mucho más fácil y rápido para una agencia utilizar un producto que ya está autorizado que iniciar el proceso de autorización con un nuevo proveedor.

Por lo tanto, una lista en el mercado de FedRAMP hace que sea mucho más probable que obtenga negocios adicionales de agencias gubernamentales. Pero también puede mejorar su perfil en el sector privado.

Eso es porque el mercado de FedRAMP es visible para el público. Cualquier empresa del sector privado puede desplazarse por la lista de soluciones autorizadas por FedRAMP.

Es un gran recurso cuando buscan obtener un producto o servicio seguro en la nube.

La autorización de FedRAMP puede hacer que cualquier cliente tenga más confianza en los protocolos de seguridad. Representa un compromiso continuo de cumplir con los más altos estándares de seguridad.

La autorización de FedRAMP también aumenta significativamente la credibilidad de su seguridad más allá del mercado de FedRAMP. Puede compartir su autorización en las redes sociales y en su sitio web.

La verdad es que la mayoría de sus clientes probablemente no sepan qué es FedRAMP. No les importa si estás autorizado o no. Pero para aquellos grandes clientes que entienden FedRAMP, tanto en el sector público como en el privado, la falta de autorización puede ser un factor decisivo.

¿Qué se necesita para obtener la certificación FedRAMP?

Hay dos formas diferentes de obtener la autorización de FedRAMP.

1. Autoridad provisional para operar de la Junta de Autorización Conjunta (JAB)

En este proceso, la JAB emite una autorización provisional. Eso les permite a las agencias saber que se ha revisado el riesgo.

Es una primera aprobación importante. Pero cualquier agencia que quiera utilizar el servicio aún tiene que emitir su propia Autoridad para operar.

Este proceso es más adecuado para proveedores de servicios en la nube con riesgo alto o moderado. (Analizaremos los niveles de riesgo en la siguiente sección).

A continuación, se muestra una descripción general visual del proceso JAB:

Proceso JAB de 4 pasos para FedRAMP

Fuente: FedRAMP

2. Autoridad de la agencia para operar

En este proceso, el proveedor de servicios en la nube establece una relación con una agencia federal específica. Esa agencia está involucrada durante todo el proceso. Si el proceso tiene éxito, la agencia emite una carta de Autoridad para operar.

Fuente: FedRAMP

Pasos para la autorización de FedRAMP

Independientemente del tipo de autorización que persiga, la autorización de FedRAMP implica cuatro pasos principales:

  1. Desarrollo de paquetes. Primero, hay una reunión de inicio de autorización. Luego, el proveedor completa un plan de seguridad del sistema. A continuación, una organización de evaluación de terceros aprobada por FedRAMP desarrolla un plan de evaluación de seguridad.
  2. Evaluación. La organización de evaluación envía un informe de evaluación de seguridad. El proveedor crea un plan de acción e hitos.
  3. Autorización. La JAB o la agencia autorizadora decide si el riesgo descrito es aceptable. En caso afirmativo, envían una carta de Autoridad para operar a la oficina de gestión de proyectos de FedRAMP. Luego, el proveedor aparece en el mercado de FedRAMP.
  4. Vigilancia. El proveedor envía mensualmente entregables de monitoreo de seguridad a cada agencia que usa el servicio.

Mejores prácticas de autorización de FedRAMP

El proceso para lograr la autorización de FedRAMP puede ser difícil. Pero lo mejor para todos los involucrados es que los proveedores de servicios en la nube tengan éxito una vez que inicien el proceso de autorización.

Para ayudar, FedRAMP entrevistó a varias pequeñas empresas y nuevas empresas sobre las lecciones aprendidas durante la autorización. Aquí están sus siete mejores consejos para navegar con éxito el proceso de autorización:

  1. Comprenda cómo su producto se asigna a FedRAMP, incluido un análisis de brechas.
  2. Obtenga la aceptación y el compromiso de la organización, incluso del equipo ejecutivo y los equipos técnicos.
  3. Encuentre un socio de agencia, uno que esté usando su producto o que esté comprometido a hacerlo.
  4. Dedique tiempo a definir con precisión su límite. Eso incluye:
    • Componentes internos
    • conexiones a servicios externos, y
    • el flujo de información y metadatos.
  5. Piense en FedRAMP como un programa continuo, en lugar de solo un proyecto con una fecha de inicio y finalización. Los servicios deben ser monitoreados continuamente.
  6. Considere cuidadosamente su enfoque de autorización. Varios productos pueden requerir varias autorizaciones.
  7. FedRAMP PMO es un recurso valioso. Pueden responder preguntas técnicas y ayudarlo a planificar su estrategia.

Ofertas de FedRAMP plantillas para ayudar a los proveedores de servicios en la nube a prepararse para el cumplimiento de FedRAMP.

¿Cuáles son las categorías de cumplimiento de FedRAMP?

FedRAMP ofrece cuatro niveles de impacto para servicios con diferentes tipos de riesgo. Se basan en los posibles impactos de una infracción de seguridad en tres áreas diferentes.

  • Confidencialidad: Protecciones para la privacidad y la información de propiedad.
  • Integridad: Protecciones contra la modificación o destrucción de información.
  • Disponibilidad: Acceso oportuno y confiable a los datos.

Los primeros tres niveles de impacto se basan en Estándar federal de procesamiento de información (FIPS) 199 del Instituto Nacional de Estándares y Tecnología (NIST). El cuarto es Residencia en Publicación especial NIST 800-37. Los niveles de impacto son:

  • Alto, basado en 421 controles. "Se podría esperar que la pérdida de confidencialidad, integridad o disponibilidad tenga un efecto adverso grave o catastrófico en las operaciones de la organización, los activos de la organización o las personas". Esto generalmente se aplica a las fuerzas del orden, los servicios de emergencia, los sistemas financieros y de salud.
  • Moderado, basado en 325 controles. "Se podría esperar que la pérdida de confidencialidad, integridad o disponibilidad tenga un efecto adverso grave en las operaciones de la organización, los activos de la organización o las personas". Casi 80 por ciento de las aplicaciones aprobadas por FedRAMP se encuentran en un nivel de impacto moderado.
  • Bajo, basado en 125 controles. "Se podría esperar que la pérdida de confidencialidad, integridad o disponibilidad tenga un efecto adverso limitado en las operaciones de la organización, los activos de la organización o las personas".
  • Software como servicio de bajo impacto (LI-SaaS), basado en 36 controles. por "Sistemas que son de bajo riesgo para usos como herramientas de colaboración, aplicaciones de gestión de proyectos y herramientas que ayudan a desarrollar código de fuente abierta". Esta categoría también se conoce como FedRAMP a medida.

Esta última categoría se agregó en 2017 para facilitar que las agencias aprueben "casos de uso de bajo riesgo". Para calificar para FedRAMP Tailored, el proveedor debe responder sí a seis preguntas. Estos se publican en el Política a medida de FedRAMP página:

  • ¿El servicio opera en un entorno de nube?
  • ¿Está el servicio en la nube en pleno funcionamiento?
  • ¿Es el servicio en la nube un software como servicio (SaaS), según lo define NIST SP 800-145, la definición de NIST de computación en la nube?
  • El servicio en la nube no contiene información de identificación personal (PII), excepto cuando sea necesario para proporcionar una capacidad de inicio de sesión (nombre de usuario, contraseña y dirección de correo electrónico).
  • ¿El servicio en la nube tiene un impacto de seguridad bajo, según lo define FIPS PUB 199, Estándares para la categorización de seguridad de la información y los sistemas de información federales?
  • ¿El servicio en la nube está alojado dentro de una plataforma como servicio (PaaS) o una infraestructura como servicio (IaaS) autorizada por FedRAMP, o el CSP proporciona la infraestructura en la nube subyacente?

Tenga en cuenta que lograr el cumplimiento de FedRAMP no es una tarea única. ¿Recuerda la etapa de seguimiento de la autorización de FedRAMP? Eso significa que deberá enviar auditorías de seguridad periódicas para asegurarse permanecer Cumple con FedRAMP.

Prima: Lea la guía de estrategia de redes sociales paso a paso con consejos profesionales sobre cómo aumentar su presencia en las redes sociales.

¡Obtén la guía gratuita ahora mismo!

Ejemplos de productos certificados por FedRAMP

Hay muchos tipos de productos y servicios autorizados por FedRAMP. A continuación, se muestran algunos ejemplos de proveedores de servicios en la nube que conoce y que ya puede utilizar.

Servicios web de Amazon

Hay dos listados de AWS en FedRAMP Marketplace. AWS GovCloud está autorizado en el nivel alto. AWS US East / West está autorizado en el nivel Moderado.

AWS GovCloud tiene una enorme 292 autorizaciones. AWS US East / West tiene 250 autorizaciones. Eso es mucho más que cualquier otro listado en FedRAMP Marketplace.

Adobe Analytics

Adobe Analytics fue autorizado en 2019. Es utilizado por los Centros para el Control y la Prevención de Enfermedades y el Departamento de Salud y Servicios Humanos. Sus autorizado a nivel LI-SaaS.

Adobe en realidad tiene varios productos autorizados a nivel LI-SaaS. (Como Adobe Campaign y Adobe Document Cloud). También tienen un par de productos autorizados en el nivel Moderado:

  • Servicios gestionados de Adobe Connect
  • Servicios gestionados de Adobe Experience Manager.

Adobe se encuentra actualmente en el proceso de pasar de la autorización FedRAMP Tailored a la autorización FedRAMP Moderate para Adobe Sign.

Recuerde que es el servicio, no el proveedor de servicios, el que obtiene la autorización. Al igual que Adobe, es posible que deba obtener varias autorizaciones si ofrece más de una solución basada en la nube.

Flojo

Autorizado en mayo de este año, Slack cuenta con 21 autorizaciones FedRAMP. El producto es autorizado en el nivel moderado. Lo utilizan agencias que incluyen:

  • los Centros para el Control y la Protección de Enfermedades,
  • la Comisión Federal de Comunicaciones, y
  • la Fundación Nacional de Ciencias.

Slack recibió originalmente la autorización de FedRAMP Tailored. Luego, buscaron una autorización moderada por asociarse con el Departamento de Asuntos de Veteranos.

Slack se asegura de llamar la atención sobre los beneficios de seguridad de esta autorización para los clientes del sector privado en su sitio web:

“Esta última autorización se traduce en una experiencia más segura para los clientes de Slack, incluidas las empresas del sector privado que no requieren un entorno autorizado por FedRAMP. Todos los clientes que utilizan las ofertas comerciales de Slack pueden beneficiarse de las mayores medidas de seguridad necesarias para lograr la certificación FedRAMP ".

Nube empresarial de Trello

Trello acaba de recibir Li-SaaS autorización en septiembre. Hasta ahora, Trello solo lo utiliza la Administración de servicios generales. Pero la compañía está buscando cambiar eso, como se ve en sus publicaciones sociales sobre su nuevo estado FedRAMP:

Zendesk

También autorizado en mayo, Zendesk es utilizado por:

  • el Departamento de Energía,
  • la Agencia Federal de Financiamiento de la Vivienda
  • la Oficina del Inspector General de la FHFA, y
  • la Administración de Servicios Generales.

La plataforma de soporte al cliente y mesa de ayuda de Zendesk tiene Li-Saas autorización.

Informa e interactúa de forma segura en las redes sociales con Hootsuite. Desde un solo panel, puede programar y publicar contenido en cada red, monitorear conversaciones relevantes y medir la opinión pública sobre programas y políticas con análisis y escucha social en tiempo real. Pruébelo gratis hoy.

Regístrate

El cargo Certificación FedRAMP: qué es, por qué es importante y quién la tiene apareció primero en Panel de gestión y marketing de redes sociales.

[ad_2]

Source link