Como as violações de dados estão se tornando mais frequentes, os clientes naturalmente desconfiam de empresas que podem ser alvos fáceis. Ninguém quer fazer negócios com uma organização com maior risco de ser invadida. E isso é especialmente verdadeiro quando se trata do governo federal.
Embora se possa supor que as agências federais tenham segurança impenetrável, os dados sugerem o contrário. Além de serem tão vulneráveis quanto outras organizações, eles também são um dos principais alvos dos hackers.
No registro, 2018 é o pior ano para o governo dos EUA em termos de segurança cibernética. Durante aquele ano, houve 13.107 violações relatadas em agências federais. Isso resultou em custos totalizando 13,7 bilhões.
Considerando a natureza sensível das informações que os órgãos federais têm sobre o país e seus cidadãos, tais ameaças são um grande motivo de preocupação.
É por isso que o governo federal leva a segurança cibernética a sério, implementando diretrizes que todas as organizações parceiras devem seguir. Ao garantir que seus parceiros mantenham altos padrões e autorizações de segurança cibernética, o governo está reduzindo seus riscos.
O Federal Risk and Authorization Management Program (FedRAMP) é uma das iniciativas do governo para ajudar as organizações a fornecer serviços e produtos de nuvem seguros.
Neste artigo, você encontrará uma visão abrangente do FedRAMP, incluindo o que é, seus objetivos, quando foi desenvolvido, a quem se aplica, por que é importante, o que é necessário para ser certificado, etapas para autorização do FedRAMP e muito mais mais.
O Federal Risk and Authorization Management Program (FedRAMP) é um programa do governo dos EUA que fornece uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços em nuvem.
O FedRAMP visa reduzir o risco de violações de dados e proteger informações confidenciais, garantindo que os produtos e serviços em nuvem atendam a um nível mínimo de requisitos de segurança.
Na última década, a tecnologia de nuvem ganhou destaque, e com razão. Tornou muito mais fácil expandir os serviços mais rapidamente.
Porém, com a promessa de entrega de serviço mais rápida, surgem riscos maiores, especialmente ao proteger os dados do cliente.
O FedRAMP fornece um conjunto de padrões e processos de segurança que garantem que serviços e produtos baseados em nuvem sejam confiáveis, seguros e protegidos.
O Federal Risk and Authorization Management Program (FedRAMP) resultou disso em 2011. O FedRAMP simplifica a avaliação de segurança, autorização e monitoramento contínuo para produtos e serviços em nuvem empregados por agências federais que salvam, processam ou compartilham informações federais.
Os objetivos do FedRAMP podem ser resumidos da seguinte forma:
Para atingir esses objetivos, o FedRAMP tem várias áreas de foco. Por exemplo:
Embora o FedRAMP tenha sido lançado há mais de uma década, suas raízes são mais antigas. Para melhorar os serviços de governo eletrônico, o Congresso aprovou a Lei de Governo Eletrônico de 2002. Essa lei estabeleceu um cargo de Diretor Federal de Informação dentro do Escritório de Administração e Orçamento (OMB).
Uma de suas principais características foi a Lei Federal de Gerenciamento de Segurança da Informação de 2002 (FISMA). Ele defendeu o uso de uma estrutura de segurança cibernética para se defender contra ameaças. Desde então, a tecnologia de nuvem tem sido uma das tecnologias que alteraram a forma como as agências federais interagem com os dados.
A tecnologia de nuvem aumenta a eficiência e reduz significativamente os custos operacionais e de aquisição, economizando bilhões do governo federal em custos anuais. No entanto, ele vem com uma camada adicional de risco cibernético.
Em 2011, o governo dos EUA estabeleceu oficialmente o FedRAMP para governar os provedores de serviços em nuvem que oferecem serviços e produtos para agências federais. Isso ocorreu depois que Steve VanRockel, o CIO federal da OMB, enviou um memorando às agências federais dos EUA que delineava a necessidade de uma estrutura de segurança na nuvem.
O memorando propunha o estabelecimento do FedRAMP como uma ferramenta eficaz para gerenciar o risco de segurança dos serviços em nuvem. O programa foi lançado oficialmente em 2012, quando o governo dos EUA emitiu sua autorização para iniciar as operações e começar a certificar provedores de serviços em nuvem.
Desde então, o FedRAMP evoluiu e agora é o padrão federal para avaliações de segurança em nuvem que garantem a segurança dos serviços em nuvem usados por agências federais.
O FedRAMP se aplica a qualquer serviço ou produto em nuvem usado pelo governo federal. Isso inclui Amazon Web Services (AWS), Microsoft Azure e Plataforma Google Cloud. Também se aplica a contratados e fornecedores que prestam serviços em nome do governo.
O programa FedRAMP exige que os provedores de serviços em nuvem projetem e implementem um ambiente seguro com eficiência que atenda aos controles de segurança necessários.
Hoje, as agências governamentais dependem de serviços de nuvem seguros mais do que nunca. A proliferação da tecnologia móvel forçou as organizações a adotar novas tecnologias, como Computação em Nuvem, Infraestrutura como Serviço (IaaS) e Software como Serviço (SaaS) para se manterem competitivas.
O FedRAMP é importante porque garante que os serviços em nuvem usados pelo governo federal atendam aos padrões de segurança. Ele ajuda a proteger dados federais, reduzir custos e melhorar a eficiência. Ao fornecer uma maneira eficaz para as agências avaliarem e gerenciarem o risco de serviços em nuvem, o FedRAMP simplifica o processo de identificação, avaliação e autorização de serviços em nuvem usados por agências federais. (Consulte conformidade regulamentar para obter mais informações.)
Para obter a certificação FedRAMP, os provedores de serviços em nuvem devem passar por um rigoroso processo de autorização. O processo começa com o preenchimento de um questionário de autoavaliação (SAQ) para o serviço ou produto em nuvem. Assim que o SAQ for concluído e aprovado, eles devem enviar um Resumo de Avaliação de Impacto (IAB) e um Plano de Ação e Marcos (POA&M).
O IAB fornece uma visão geral da arquitetura do sistema e dos controles de segurança, enquanto o POA&M descreve os requisitos de segurança que as organizações devem atender.
Assim que o IAB e o POA&M forem aprovados, os provedores de serviços em nuvem podem iniciar o processo oficial de certificação do FedRAMP.
A autorização do FedRAMP pode ser obtida de duas maneiras:
A JAB emite uma autorização provisória nesse processo, que informa aos órgãos que o risco foi analisado. A autorização do JAB é uma primeira aprovação importante e o provedor de serviços em nuvem deve submetê-la a uma revisão completa da agência.
Provedores de serviços em nuvem com risco alto ou moderado acharão esse processo mais benéfico.
As agências são responsáveis por autorizar serviços e produtos em nuvem que usam os padrões FedRAMP. Eles devem avaliar o risco geral e determinar se o sistema está em conformidade com todos os requisitos de segurança antes de poder ser autorizado.
O governo dos EUA estabeleceu diferentes categorias de conformidade com o FedRAMP: Baixa, Moderada, Alta e Não Autorizada. Cada categoria carrega requisitos de segurança que devem ser atendidos com base na confidencialidade das informações envolvidas.
Além disso, eles se baseiam no impacto potencial que uma violação de segurança pode ter em três áreas principais:
A segurança de nível de baixo impacto é a linha de base para sistemas e dados em nuvem. É de baixo risco e projetado para oferecer suporte a serviços e produtos destinados ao uso público. Sistemas e informações nesse nível não são críticos para a missão, operações, finanças, reputação ou pessoal de uma agência. Portanto, qualquer perda de confidencialidade ou disponibilidade não terá um impacto significativo.
125 controles de sistemas seguros neste nível. Essas são as tecnologias e processos que os provedores de serviços em nuvem usam para proteger os dados do governo armazenados na nuvem.
A este nível de impacto, os dados em questão são referidos como informações não classificadas controladas. Não está disponível publicamente e inclui informações de identificação pessoal. Esse tipo de dados está sujeito aos 325 controles do nível de impacto moderado do FedRAMP.
Se esses controles não estiverem em vigor, isso pode afetar diretamente o objetivo principal de uma agência. As atividades regulares podem ser prejudicadas, os recursos podem ser perdidos e as informações pessoais das pessoas podem vazar.
Antes de junho de 2016, quando o FedRAMP publicou a linha de base de segurança de alto nível, as agências governamentais só podiam contratar provedores de serviços de nuvem para operações de nível básico e moderado. Mas com a linha de base de segurança de alto nível, as agências agora podem contratar provedores de serviços em nuvem para operações mais confidenciais.
Os sistemas de alto risco devem atender aos 421 controles projetados para proteger os dados classificados como ativos de alto valor. Uma agência normalmente possui esses dados e pode incluir informações de segurança nacional, segredos comerciais e registros financeiros.
Os controles 421 são abrangentes e fornecem o mais alto nível de proteção para dados governamentais confidenciais armazenados na nuvem.
O nível de alto impacto deve ser usado para as informações não classificadas mais confidenciais do governo federal. Isso se aplica a áreas em que uma violação pode ter consequências desastrosas, como danos a uma instituição, ruína financeira ou perda de vidas. Isso inclui aplicação da lei, operações de emergência, serviços financeiros e sistemas de saúde.
O programa FedRAMP é supervisionado por entidades do poder executivo que trabalham juntas para desenvolver, gerenciar e operar o programa. A seguir estão os órgãos de governo do FedRAMP:
O Federal Risk and Authorization Management Program certificou vários serviços baseados em nuvem, incluindo:
Esses serviços baseados em nuvem atendem aos requisitos de segurança do FedRAMP e obtiveram a autorização necessária. Como resultado, as agências federais podem usar qualquer um desses serviços para armazenar dados confidenciais do governo na nuvem sem comprometer sua segurança.
Para serem certificados, os provedores de serviços em nuvem devem atender aos requisitos de segurança descritos no FedRAMP Framework. Isso inclui um Relatório de Avaliação de Risco (RAR) descrevendo os riscos associados ao serviço proposto, um Plano de Avaliação de Segurança (SAP) descrevendo como os riscos serão mitigados e um Pacote de Autorização demonstrando conformidade com os controles.
Depois que o provedor de serviços em nuvem atender a todos esses requisitos, ele poderá solicitar autorização para operar seus serviços em um ambiente governamental. Se aprovados, receberão autorização provisória para operar (P-ATO) do Conselho Conjunto de Autorizações, com validade de três anos.
Há quatro etapas gerais no processo de autorização do FedRAMP, independentemente do tipo específico de autorização que você busca.
Obter a autorização do FedRAMP não é tarefa fácil, mas é crucial para todas as partes envolvidas que os provedores de serviços em nuvem tenham sucesso assim que iniciarem o processo.
O FedRAMP entrevistou várias pequenas empresas e startups sobre as lições que aprenderam durante a autorização para ajudar outras pessoas. Aqui estão as sete melhores dicas que essas empresas tiveram para navegar com sucesso no processo de autorização:
Embora o cumprimento do FedRAMP seja obrigatório, você não deve vê-lo como uma obrigação, mas como um investimento. Isso ocorre porque há benefícios significativos em se tornar certificado, alguns dos quais incluem:
O FedRAMP é uma importante medida de segurança cibernética para agências governamentais e provedores de serviços em nuvem. Ele fornece um alto nível de garantia de que os dados confidenciais estão seguros e ajuda as empresas a ganhar uma maior participação no mercado.
Então entre em contato conosco hoje para começar. Estamos aqui para ajudá-lo a navegar pelas complexidades da conformidade do FedRAMP e manter seus dados seguros.
O Federal Risk and Authorization Management Program (FedRAMP) é um programa de segurança cibernética em todo o governo desenvolvido para fornecer requisitos de segurança padronizados para provedores de serviços em nuvem que atendem agências federais.
O FedRAMP se aplica a todas as agências federais e provedores de serviços em nuvem que fornecem serviços a eles.
Para obter a certificação FedRAMP, os provedores de serviços em nuvem devem atender a rigorosos requisitos de segurança e demonstrar conformidade. Isso inclui varreduras de vulnerabilidade, auditorias de configuração, desenvolvimento de políticas e outras etapas.
O FedRAMP é importante para proteger dados confidenciais, garantir a conformidade com os regulamentos governamentais e ganhar uma maior participação no mercado.