Como las fugas de datos son cada vez más frecuentes, es natural que los clientes sospechen de las empresas que podrían ser blancos fáciles. Nadie quiere hacer negocios con una organización con mayor riesgo de ser hackeada. Y esto es particularmente cierto en lo que respecta al gobierno federal.
Si bien uno puede suponer que las agencias federales tienen una seguridad impenetrable, los datos sugieren lo contrario. Además de ser tan vulnerables como otras organizaciones, también son uno de los principales objetivos de los hackers.
En sus registros, 2018 es el peor año para el gobierno de EE. UU. en términos de seguridad cibernética. Durante ese año, se informaron 13 107 fugas en agencias federales. Estos resultaron en costos por un total de 13 700 millones.
Teniendo en cuenta la naturaleza confidencial de la información que tienen las agencias federales sobre el país y sus ciudadanos, dichas amenazas son una de las principales causas de preocupación.
Es por eso que el gobierno federal se toma en serio la seguridad cibernética implementando pautas que todas las organizaciones asociadas deben seguir. Al garantizar que sus partners mantengan altos estándares y autorizaciones de seguridad cibernética, el gobierno está bajando sus riesgos.
El Programa Federal de Gestión de Riesgos y Autorizaciones (FedRamp) es una de las iniciativas del gobierno para ayudar a las organizaciones a proporcionar servicios y productos seguros en la nube.
En este artículo, encontrará una descripción completa de FedRamp, incluyendo su definición, sus objetivos, cuándo se desarrolló, a quién se aplica, por qué es importante, qué se necesita para estar certificado, pasos para la autorización de FedRamp y mucho más.
El Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP, por sus siglas en inglés) es un programa que abarca todo el gobierno de EE. UU. y que ofrece un enfoque estandarizado de evaluación de seguridad, autorización y supervisión continua de productos y servicios en la nube.
FedRAMP tiene como objetivo reducir el riesgo de fugas de datos y proteger la información confidencial al garantizar que los productos y servicios en la nube cumplan con un nivel mínimo de requisitos de seguridad.
A lo largo de la última década, la tecnología en la nube ha cobrado protagonismo, y con razón. Ha hecho que sea mucho más fácil escalar los servicios con mayor rapidez.
Pero la promesa de una prestación de servicios más rápida conlleva un mayor riesgo, especialmente cuando se protegen los datos de los clientes.
El FedRamp proporciona un conjunto de estándares y procesos de seguridad que garantizan que los servicios y productos basados en la nube sean confiables y seguros.
El Programa Federal de Gestión de Riesgos y Autorizaciones nació en 2011 como consecuencia de esta situación. El FedCamp agiliza la evaluación de seguridad, la autorización y la supervisión continua de los productos y servicios en la nube empleados por agencias federales que guardan, procesan o comparten información federal.
Los objetivos del FedRAMP se pueden resumir de la siguiente manera:
Para lograr estos objetivos, el FedRAMP tiene múltiples áreas de enfoque. Estas incluyen:
Aunque FedRamp se lanzó hace más de una década, sus raíces se remontan más atrás. Para mejorar los servicios del gobierno electrónico, el Congreso aprobó la Ley del gobierno electrónico de 2002. Esta ley estableció un cargo de Oficial Principal de Información Federal dentro de la Oficina de Gestión y Presupuesto (OMB).
Una de sus características clave fue la Ley Federal de Administración de la Seguridad de la Información de 2002 (FISMA). Abogó por el uso de un marco de seguridad cibernética para defenderse de las amenazas. Desde entonces, la tecnología en la nube ha sido uno de los aspectos que han alterado la forma en que las agencias federales interactúan con los datos.
La tecnología en la nube mejora la eficiencia y reduce significativamente los costos operativos y de adquisición, lo que le permite al gobierno federal ahorrar miles de millones de dólares al año. Sin embargo, implica una capa adicional de riesgo cibernético.
En 2011, el gobierno de Estados Unidos estableció oficialmente el FedRamp para controlar a los proveedores de servicios en la nube que ofrecen servicios y productos a las agencias federales. Esto fue después de que Steve VanRockel, director de sistemas de información federal de la OMB, envió un recordatorio a las agencias federales de EE. UU. donde se describía la necesidad de un marco de seguridad en la nube.
El memorando proponía el establecimiento del FedRAMP como una herramienta efectiva para gestionar el riesgo de seguridad de los servicios en la nube. El programa se lanzó oficialmente en 2012 cuando el gobierno estadounidense emitió su autorización para iniciar operaciones y comenzar a certificar a los proveedores de servicios en la nube.
Desde entonces, FedRamp ha evolucionado y ahora es el estándar federal para las evaluaciones de seguridad en la nube que garantizan la seguridad de los servicios en la nube utilizados por las agencias federales.
El FedRAMP se aplica a cualquier servicio o producto en la nube utilizado por el gobierno federal. Esto incluye Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform. También se aplica a contratistas y proveedores que prestan servicios en nombre del gobierno.
El programa FedRAMP requiere que los proveedores de servicios en la nube diseñen e implementen un entorno seguro que cumpla con los controles de seguridad necesarios.
Hoy en día, las agencias gubernamentales dependen más que nunca de servicios seguros en la nube. La proliferación de la tecnología móvil ha obligado a las organizaciones a adoptar nuevas tecnologías, como la informática en la nube, la infraestructura como servicio (IaaS) y el software como servicio (SaaS) para seguir siendo competitivas.
El FedRAMP es importante porque garantiza que los servicios en la nube utilizados por el gobierno federal cumplen con las normas de seguridad. Ayuda a proteger los datos federales, reducir los costos y mejorar la eficiencia. Al proporcionar una forma efectiva para que las agencias evalúen y administren el riesgo de los servicios en la nube, el FedRAMP simplifica el proceso de identificación, evaluación y autorización de los servicios en la nube utilizados por las agencias federales. (Ver cumplimiento normativo para obtener más información)
Para obtener la certificación del FedRAMP, los proveedores de servicios en la nube deben someterse a un riguroso proceso de autorización. El proceso comienza por completar un cuestionario de autoevaluación (SAQ) para su servicio o producto en la nube. Una vez concluido y aprobado el SAQ, deberán presentar un Resumen de evaluación de impacto (IAB) y un Plan de acción e hitos (POA&M).
El IAB proporciona una visión general de la arquitectura y los controles de seguridad del sistema, mientras que el POA&M describe los requisitos de seguridad que las organizaciones deben cumplir.
Una vez aprobados el IAB y POA&M, los proveedores de servicios en la nube pueden comenzar el proceso oficial de certificación del FedRAMP.
La autorización del FedRamp se puede obtener de dos maneras:
La JAB emite una autorización provisional en este proceso, lo que informa a las agencias que se ha revisado el riesgo. La autorización de JAB es una primera aprobación importante, y el proveedor de servicios en la nube debe someterla a una revisión completa de la agencia.
Los proveedores de servicios en la nube con riesgo alto o moderado encontrarán este proceso más beneficioso.
Las agencias son responsables de autorizar los servicios y productos en la nube que utilizan los estándares del FedRAMP. Deben evaluar el riesgo general y determinar si el sistema cumple con todos los requisitos de seguridad antes de poder autorizarlo.
El gobierno de los EE. UU. ha establecido diferentes categorías de cumplimiento del FedRAMP: Bajo, Moderado, Alto y No autorizado. Cada categoría cumple con los requisitos de seguridad que deben cumplirse en función de la confidencialidad de la información involucrada.
Además, se basan en el impacto potencial que puede tener una brecha de seguridad en tres áreas clave:
La seguridad de bajo impacto es la línea de base para los sistemas y datos en la nube. Es de bajo riesgo y está diseñado para dar soporte a servicios y productos destinados al uso público. Los sistemas y la información en este nivel no son fundamentales para la misión, las operaciones, las finanzas, la reputación o el personal de una agencia. Por lo tanto, cualquier pérdida de confidencialidad de la disponibilidad no tendrá un impacto significativo.
125 controles protegen los sistemas en este nivel. Estas son las tecnologías y procesos que utilizan los proveedores de servicios en la nube para proteger los datos del gobierno almacenados en la nube.
En este nivel de impacto, los datos en cuestión se denominan información controlada no clasificada. No está disponible públicamente e incluye información de identificación personal. Este tipo de datos está sujeto a los 325 controles del nivel de impacto moderado del FedRamp.
Si estos controles no están implementados, el propósito principal de una agencia podría verse afectado directamente. Las actividades regulares podrían verse obstaculizadas, los recursos podrían perderse y la información personal de las personas podría salir.
Antes de junio de 2016, cuando FedRAMP publicó la base de seguridad de alto nivel, las agencias gubernamentales solo podían contratar proveedores de servicios en la nube para operaciones básicas y moderadas. Pero con la línea base de seguridad de alto nivel, las agencias ahora pueden contratar proveedores de servicios en la nube para operaciones más confidenciales.
Los sistemas de riesgo alto deben cumplir 421 controles diseñados para proteger los datos clasificados como activos de alto valor. Por lo general, una agencia posee estos datos y podría incluir información de seguridad nacional, secretos comerciales y registros financieros.
Los 421 controles son integrales y proporcionan el más alto nivel de protección para los datos gubernamentales confidenciales almacenados en la nube.
El alto nivel de impacto debe ser utilizado para la información más sensible y no clasificada del gobierno federal. Esto se aplica a áreas en las que una fuga podría tener consecuencias desastrosas, como daños a una institución, ruina financiera o pérdida de vidas humanas. Estas áreas incluyen la aplicación de la ley, las operaciones de emergencia, los servicios financieros y los sistemas de atención médica.
El programa FedRAMP es supervisado por entidades del poder ejecutivo que trabajan en conjunto para desarrollar, administrar y operar el programa. Los siguientes son los órganos de gobierno destinados al FedRamp:
El Programa Federal de Gestión de Riesgos y Autorizaciones ha certificado varios servicios basados en la nube, entre ellos:
Estos servicios basados en la nube cumplen con los requisitos de seguridad del FedRAMP y han recibido la autorización necesaria. Como resultado, las agencias federales pueden utilizar cualquiera de estos servicios para almacenar datos gubernamentales confidenciales en la nube sin poner en peligro su seguridad.
Para estar certificados, los proveedores de servicios en la nube deben cumplir con los requisitos de seguridad descritos en el marco del FedRamp. Esto incluye un informe de evaluación de riesgos (RAR), que describe los riesgos asociados con el servicio propuesto, un plan de evaluación de seguridad (SAP), que describe cómo se mitigarán los riesgos, y un paquete de autorización que demuestra el cumplimiento de los controles.
Una vez que el proveedor de servicios en la nube ha cumplido con todos estos requisitos, puede solicitar autorización para operar sus servicios en un entorno gubernamental. De aprobarse, recibirá autorización provisional para operar (P-ATO) de la Junta Mixta de Autorización, válida por tres años.
Hay cuatro pasos generales en el proceso de autorización del FedRamp, independientemente del tipo específico de autorización que busque obtener.
Lograr la autorización del FedRAMP no es fácil, pero es crucial para todas las partes involucradas que los proveedores de servicios en la nube tengan éxito una vez que comiencen el proceso.
FedRAMP entrevistó a varias empresas pequeñas y emergentes en relación con las lecciones que aprendieron durante la autorización para ayudar a otros. Estos son los siete mejores consejos que estas empresas dieron para superar con éxito el proceso de autorización:
Si bien cumplir con el FedAMP es obligatorio, no debe verlo como una obligación sino como una inversión. Esto se debe a que hay beneficios significativos para obtener la certificación, algunos de los cuales incluyen:
FedRAMP es una medida importante de ciberseguridad tanto para agencias gubernamentales como para proveedores de servicios en la nube. Proporciona un alto nivel de seguridad para que los datos confidenciales estén protegidos y ayuda a las empresas a obtener una mayor participación de mercado.
Contáctenos hoy para comenzar. Estamos aquí para ayudarle a dejar atrás las complejidades del cumplimiento del FedRamp y mantener sus datos seguros.
El Programa Federal de Gestión de Riesgos y Autorizaciones (FedRamp) es un programa de seguridad cibernética de nivel gubernamental desarrollado con el fin de proporcionar requisitos de seguridad estandarizados para los proveedores de servicios en la nube que atienden a agencias federales.
El FedRAMP se aplica a todas las agencias federales y proveedores de servicios en la nube que les prestan servicios.
Para obtener la certificación del FedRAMP, los proveedores de servicios en la nube deben cumplir rigurosos requisitos de seguridad y demostrar el cumplimiento. Esto incluye análisis de vulnerabilidad, auditorías de configuración, desarrollo de políticas y otros pasos.
El FedRAMP es importante para proteger los datos confidenciales, garantizar el cumplimiento de las regulaciones gubernamentales y obtener una mayor participación de mercado.