Como las fugas de datos son cada vez más frecuentes, es natural que los clientes sospechen de las empresas que podrían ser blancos fáciles. Nadie quiere hacer negocios con una organización con mayor riesgo de ser hackeada. Y esto es particularmente cierto en lo que respecta al gobierno federal.
Si bien uno puede suponer que las agencias federales tienen una seguridad impenetrable, los datos sugieren lo contrario. Además de ser tan vulnerables como otras organizaciones, también son uno de los principales objetivos de los hackers.
En sus registros, 2018 es el peor año para el gobierno de EE. UU. en términos de seguridad cibernética. Durante ese año, se informaron 13 107 fugas en agencias federales. Estos resultaron en costos por un total de 13 700 millones.
Teniendo en cuenta la naturaleza confidencial de la información que tienen las agencias federales sobre el país y sus ciudadanos, dichas amenazas son una de las principales causas de preocupación.
Es por eso que el gobierno federal se toma en serio la seguridad cibernética implementando pautas que todas las organizaciones asociadas deben seguir. Al garantizar que sus partners mantengan altos estándares y autorizaciones de seguridad cibernética, el gobierno está bajando sus riesgos.
El Programa Federal de Gestión de Riesgos y Autorizaciones (FedRamp) es una de las iniciativas del gobierno para ayudar a las organizaciones a proporcionar servicios y productos seguros en la nube.
En este artículo, encontrará una descripción completa de FedRamp, incluyendo su definición, sus objetivos, cuándo se desarrolló, a quién se aplica, por qué es importante, qué se necesita para estar certificado, pasos para la autorización de FedRamp y mucho más.
¿Qué es el FedAMP?
El Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP, por sus siglas en inglés) es un programa que abarca todo el gobierno de EE. UU. y que ofrece un enfoque estandarizado de evaluación de seguridad, autorización y supervisión continua de productos y servicios en la nube.
FedRAMP tiene como objetivo reducir el riesgo de fugas de datos y proteger la información confidencial al garantizar que los productos y servicios en la nube cumplan con un nivel mínimo de requisitos de seguridad.
¿Cuál es el objetivo del FedRamp?
A lo largo de la última década, la tecnología en la nube ha cobrado protagonismo, y con razón. Ha hecho que sea mucho más fácil escalar los servicios con mayor rapidez.
Pero la promesa de una prestación de servicios más rápida conlleva un mayor riesgo, especialmente cuando se protegen los datos de los clientes.
El FedRamp proporciona un conjunto de estándares y procesos de seguridad que garantizan que los servicios y productos basados en la nube sean confiables y seguros.
El Programa Federal de Gestión de Riesgos y Autorizaciones nació en 2011 como consecuencia de esta situación. El FedCamp agiliza la evaluación de seguridad, la autorización y la supervisión continua de los productos y servicios en la nube empleados por agencias federales que guardan, procesan o comparten información federal.
Los objetivos del FedRAMP se pueden resumir de la siguiente manera:
- Garantizar que la información federal esté segura al usar servicios en la nube
- Permitir al gobierno federal ahorrar tiempo y dinero haciendo reutilizables los servicios en la nube
Para lograr estos objetivos, el FedRAMP tiene múltiples áreas de enfoque. Estas incluyen:
- Desarrollar un proceso de autorización de seguridad único y confiable puede ayudar a reducir los esfuerzos contrastantes que a menudo se ven en varias agencias
- Aprovechar NIST y FISMA para evaluar la seguridad en la nube
- Mejorar la colaboración entre proveedores y agencias
- Impulsar la uniformidad en todos los paquetes de seguridad mediante la estandarización de las mejores prácticas
- Ayudar a las agencias a adaptarse a la nube creando un repositorio central para recursos compartidos
Historia del FedRAMP
Aunque FedRamp se lanzó hace más de una década, sus raíces se remontan más atrás. Para mejorar los servicios del gobierno electrónico, el Congreso aprobó la Ley del gobierno electrónico de 2002. Esta ley estableció un cargo de Oficial Principal de Información Federal dentro de la Oficina de Gestión y Presupuesto (OMB).
Una de sus características clave fue la Ley Federal de Administración de la Seguridad de la Información de 2002 (FISMA). Abogó por el uso de un marco de seguridad cibernética para defenderse de las amenazas. Desde entonces, la tecnología en la nube ha sido uno de los aspectos que han alterado la forma en que las agencias federales interactúan con los datos.
La tecnología en la nube mejora la eficiencia y reduce significativamente los costos operativos y de adquisición, lo que le permite al gobierno federal ahorrar miles de millones de dólares al año. Sin embargo, implica una capa adicional de riesgo cibernético.
En 2011, el gobierno de Estados Unidos estableció oficialmente el FedRamp para controlar a los proveedores de servicios en la nube que ofrecen servicios y productos a las agencias federales. Esto fue después de que Steve VanRockel, director de sistemas de información federal de la OMB, envió un recordatorio a las agencias federales de EE. UU. donde se describía la necesidad de un marco de seguridad en la nube.
El memorando proponía el establecimiento del FedRAMP como una herramienta efectiva para gestionar el riesgo de seguridad de los servicios en la nube. El programa se lanzó oficialmente en 2012 cuando el gobierno estadounidense emitió su autorización para iniciar operaciones y comenzar a certificar a los proveedores de servicios en la nube.
Desde entonces, FedRamp ha evolucionado y ahora es el estándar federal para las evaluaciones de seguridad en la nube que garantizan la seguridad de los servicios en la nube utilizados por las agencias federales.
¿A quién se aplica el FedAMP?
El FedRAMP se aplica a cualquier servicio o producto en la nube utilizado por el gobierno federal. Esto incluye Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform. También se aplica a contratistas y proveedores que prestan servicios en nombre del gobierno.
El programa FedRAMP requiere que los proveedores de servicios en la nube diseñen e implementen un entorno seguro que cumpla con los controles de seguridad necesarios.
¿Por qué es importante el FedRAMP?
Hoy en día, las agencias gubernamentales dependen más que nunca de servicios seguros en la nube. La proliferación de la tecnología móvil ha obligado a las organizaciones a adoptar nuevas tecnologías, como la informática en la nube, la infraestructura como servicio (IaaS) y el software como servicio (SaaS) para seguir siendo competitivas.
El FedRAMP es importante porque garantiza que los servicios en la nube utilizados por el gobierno federal cumplen con las normas de seguridad. Ayuda a proteger los datos federales, reducir los costos y mejorar la eficiencia. Al proporcionar una forma efectiva para que las agencias evalúen y administren el riesgo de los servicios en la nube, el FedRAMP simplifica el proceso de identificación, evaluación y autorización de los servicios en la nube utilizados por las agencias federales. (Ver cumplimiento normativo para obtener más información)
¿Qué se necesita para obtener la certificación del FedRamp?
Para obtener la certificación del FedRAMP, los proveedores de servicios en la nube deben someterse a un riguroso proceso de autorización. El proceso comienza por completar un cuestionario de autoevaluación (SAQ) para su servicio o producto en la nube. Una vez concluido y aprobado el SAQ, deberán presentar un Resumen de evaluación de impacto (IAB) y un Plan de acción e hitos (POA&M).
El IAB proporciona una visión general de la arquitectura y los controles de seguridad del sistema, mientras que el POA&M describe los requisitos de seguridad que las organizaciones deben cumplir.
Una vez aprobados el IAB y POA&M, los proveedores de servicios en la nube pueden comenzar el proceso oficial de certificación del FedRAMP.
La autorización del FedRamp se puede obtener de dos maneras:
1. Autoridad provisional de la Junta de Autorización Conjunta (JAB) para operar.
La JAB emite una autorización provisional en este proceso, lo que informa a las agencias que se ha revisado el riesgo. La autorización de JAB es una primera aprobación importante, y el proveedor de servicios en la nube debe someterla a una revisión completa de la agencia.
Los proveedores de servicios en la nube con riesgo alto o moderado encontrarán este proceso más beneficioso.
2. Autorización de agencia.
Las agencias son responsables de autorizar los servicios y productos en la nube que utilizan los estándares del FedRAMP. Deben evaluar el riesgo general y determinar si el sistema cumple con todos los requisitos de seguridad antes de poder autorizarlo.
Categorías de cumplimiento del FedRamp
El gobierno de los EE. UU. ha establecido diferentes categorías de cumplimiento del FedRAMP: Bajo, Moderado, Alto y No autorizado. Cada categoría cumple con los requisitos de seguridad que deben cumplirse en función de la confidencialidad de la información involucrada.
Además, se basan en el impacto potencial que puede tener una brecha de seguridad en tres áreas clave:
- Protección de la confidencialidad para la privacidad y la información de propiedad
- Protecciones de integridad para la precisión e integridad de los datos
- Disponibilidad: garantizar el acceso a usuarios autorizados cuando sea necesario
1. Nivel de impacto bajo del FedRamp
La seguridad de bajo impacto es la línea de base para los sistemas y datos en la nube. Es de bajo riesgo y está diseñado para dar soporte a servicios y productos destinados al uso público. Los sistemas y la información en este nivel no son fundamentales para la misión, las operaciones, las finanzas, la reputación o el personal de una agencia. Por lo tanto, cualquier pérdida de confidencialidad de la disponibilidad no tendrá un impacto significativo.
125 controles protegen los sistemas en este nivel. Estas son las tecnologías y procesos que utilizan los proveedores de servicios en la nube para proteger los datos del gobierno almacenados en la nube.
2. Nivel de impacto moderado del FedRamp
En este nivel de impacto, los datos en cuestión se denominan información controlada no clasificada. No está disponible públicamente e incluye información de identificación personal. Este tipo de datos está sujeto a los 325 controles del nivel de impacto moderado del FedRamp.
Si estos controles no están implementados, el propósito principal de una agencia podría verse afectado directamente. Las actividades regulares podrían verse obstaculizadas, los recursos podrían perderse y la información personal de las personas podría salir.
3. Nivel de impacto alto del FedRamp
Antes de junio de 2016, cuando FedRAMP publicó la base de seguridad de alto nivel, las agencias gubernamentales solo podían contratar proveedores de servicios en la nube para operaciones básicas y moderadas. Pero con la línea base de seguridad de alto nivel, las agencias ahora pueden contratar proveedores de servicios en la nube para operaciones más confidenciales.
Los sistemas de riesgo alto deben cumplir 421 controles diseñados para proteger los datos clasificados como activos de alto valor. Por lo general, una agencia posee estos datos y podría incluir información de seguridad nacional, secretos comerciales y registros financieros.
Los 421 controles son integrales y proporcionan el más alto nivel de protección para los datos gubernamentales confidenciales almacenados en la nube.
El alto nivel de impacto debe ser utilizado para la información más sensible y no clasificada del gobierno federal. Esto se aplica a áreas en las que una fuga podría tener consecuencias desastrosas, como daños a una institución, ruina financiera o pérdida de vidas humanas. Estas áreas incluyen la aplicación de la ley, las operaciones de emergencia, los servicios financieros y los sistemas de atención médica.
Gobernanza del FedRAMP
El programa FedRAMP es supervisado por entidades del poder ejecutivo que trabajan en conjunto para desarrollar, administrar y operar el programa. Los siguientes son los órganos de gobierno destinados al FedRamp:
- Junta Mixta de Autorización (JAB): este es el principal órgano de gobierno y toma de decisiones de FedRamp. Consiste en oficiales jefes de información (CIO) del Departamento de Seguridad Nacional (DHS), la Administración de Servicios Generales (GSA) y el Departamento de Defensa (DOD).
- Oficina de Gestión y Presupuesto (OMB): la OMB brinda orientación, dirección y políticas sobre tecnología de la información federal.
- Oficina de Gestión de Programas (PMO) de FedRAMP: esta oficina es responsable de desarrollar el marco del programa, administrar los esfuerzos de cumplimiento y proporcionar supervisión a los proveedores de servicios.
- Consejo CIO: este consejo brinda dirección y orientación a las agencias sobre los esfuerzos de informática en la nube.
- Departamento de Seguridad Nacional (DHS): proporciona evaluaciones técnicas y de seguridad cibernética de los proveedores de servicios en la nube a través de su proceso de autorización para operar.
Ejemplos de programas certificados por el FedRamp
El Programa Federal de Gestión de Riesgos y Autorizaciones ha certificado varios servicios basados en la nube, entre ellos:
- Amazon Web Services (AWS)
- Microsoft Azure Government Cloud
- Plataforma Google Cloud para gobiernos
- Salesforce
- Infraestructura de nube de Oracle para gobiernos
Estos servicios basados en la nube cumplen con los requisitos de seguridad del FedRAMP y han recibido la autorización necesaria. Como resultado, las agencias federales pueden utilizar cualquiera de estos servicios para almacenar datos gubernamentales confidenciales en la nube sin poner en peligro su seguridad.
Certificación del FedRamp
Para estar certificados, los proveedores de servicios en la nube deben cumplir con los requisitos de seguridad descritos en el marco del FedRamp. Esto incluye un informe de evaluación de riesgos (RAR), que describe los riesgos asociados con el servicio propuesto, un plan de evaluación de seguridad (SAP), que describe cómo se mitigarán los riesgos, y un paquete de autorización que demuestra el cumplimiento de los controles.
Una vez que el proveedor de servicios en la nube ha cumplido con todos estos requisitos, puede solicitar autorización para operar sus servicios en un entorno gubernamental. De aprobarse, recibirá autorización provisional para operar (P-ATO) de la Junta Mixta de Autorización, válida por tres años.
Pasos para la autorización del FedRamp
Hay cuatro pasos generales en el proceso de autorización del FedRamp, independientemente del tipo específico de autorización que busque obtener.
- Desarrollo del paquete: Incluye una reunión de inicio para la autorización, después de la cual el proveedor debe completar un plan de seguridad del sistema. Después, una organización de evaluación externa aprobada por el FedRAMP desarrolla un plan de evaluación de seguridad.
- Evaluación: la organización de evaluación de seguridad presenta un informe detallando sus hallazgos y recomendaciones. El proveedor de servicios crea un plan de reparación con hitos para corregir las deficiencias identificadas en el reporte.
- Autorización: una vez que la JAB o la agencia autorizadora determine que los riesgos son lo suficientemente bajos, enviará una carta de Autoridad para Operar a la oficina de gestión de proyectos del FedRamp. Posteriormente, el nombre del proveedor se incluirá en el FedRamp Marketplace.
- Supervisión: cada agencia que utilice el servicio de seguridad recibirá informes de supervisión mensuales.
Prácticas recomendadas de autorización de FedRamp
Lograr la autorización del FedRAMP no es fácil, pero es crucial para todas las partes involucradas que los proveedores de servicios en la nube tengan éxito una vez que comiencen el proceso.
FedRAMP entrevistó a varias empresas pequeñas y emergentes en relación con las lecciones que aprendieron durante la autorización para ayudar a otros. Estos son los siete mejores consejos que estas empresas dieron para superar con éxito el proceso de autorización:
- Determine cómo se aplica el FedAMP a su producto y realice análisis de intervalos.
- Obtenga la aceptación en toda la organización, incluidos los miembros de los equipos técnicos y ejecutivos.
- Encuentre un partner de agencia que ya use su producto o esté dispuesto a comprometerse a usarlo.
- Defina claramente sus límites incluyendo todo, desde los componentes internos hasta las conexiones con servicios externos y cómo fluye la información y los metadatos.
- En lugar de pensar en el FedRAMP como un proyecto con un endpoint, véalo como un programa continuo que supervisa los servicios constantemente.
- Considere cuidadosamente su enfoque de autorización, ya que es posible que necesite varias autorizaciones para diferentes productos.
- El FedRamp PMO es un activo importante que puede ayudarle tanto con cuestiones técnicas como con la planificación a largo plazo.
Beneficios del cumplimiento del FedRAMP
Si bien cumplir con el FedAMP es obligatorio, no debe verlo como una obligación sino como una inversión. Esto se debe a que hay beneficios significativos para obtener la certificación, algunos de los cuales incluyen:
- Mayor confianza y seguridad en lo que respecta a almacenar datos gubernamentales confidenciales.
- Ahorro de costos debido a la menor necesidad de infraestructura y mantenimiento del centro de datos.
- Un proceso de autorización optimizado que permite a las agencias acceder rápidamente a los servicios en la nube.
- Mayor cuota de mercado, ya que las agencias gubernamentales tienen más probabilidades de elegir proveedores que cumplen con el FedRAMP que aquellas que no están certificadas.
- Mejor cumplimiento de otros estándares de seguridad, como HIPAA y SOX.
- Reducir el riesgo de fugas de datos y otros ataques maliciosos al contar con un sistema sólido.
- Reducción del tiempo de comercialización de servicios con funciones compatibles con el FedRAMP.
- Mayor confianza entre agencias federales y proveedores de servicios en la nube.
Conclusión
FedRAMP es una medida importante de ciberseguridad tanto para agencias gubernamentales como para proveedores de servicios en la nube. Proporciona un alto nivel de seguridad para que los datos confidenciales estén protegidos y ayuda a las empresas a obtener una mayor participación de mercado.
Contáctenos hoy para comenzar. Estamos aquí para ayudarle a dejar atrás las complejidades del cumplimiento del FedRamp y mantener sus datos seguros.
Preguntas más frecuentes