Centro de informações

Explicação da conformidade do FedRAMP: uma visão geral abrangente

Como as violações de dados estão se tornando mais frequentes, os clientes naturalmente desconfiam de empresas que podem ser alvos fáceis. Ninguém quer fazer negócios com uma organização com maior risco de ser invadida. E isso é especialmente verdadeiro quando se trata do governo federal.

Embora se possa supor que as agências federais tenham segurança impenetrável, os dados sugerem o contrário. Além de serem tão vulneráveis quanto outras organizações, eles também são um dos principais alvos dos hackers.

No registro, 2018 é o pior ano para o governo dos EUA em termos de segurança cibernética. Durante aquele ano, houve 13.107 violações relatadas em agências federais. Isso resultou em custos totalizando 13,7 bilhões.

Considerando a natureza sensível das informações que os órgãos federais têm sobre o país e seus cidadãos, tais ameaças são um grande motivo de preocupação.

É por isso que o governo federal leva a segurança cibernética a sério, implementando diretrizes que todas as organizações parceiras devem seguir. Ao garantir que seus parceiros mantenham altos padrões e autorizações de segurança cibernética, o governo está reduzindo seus riscos.

O Federal Risk and Authorization Management Program (FedRAMP) é uma das iniciativas do governo para ajudar as organizações a fornecer serviços e produtos de nuvem seguros.

Neste artigo, você encontrará uma visão abrangente do FedRAMP, incluindo o que é, seus objetivos, quando foi desenvolvido, a quem se aplica, por que é importante, o que é necessário para ser certificado, etapas para autorização do FedRAMP e muito mais mais.

O que é FedRamp?

O Federal Risk and Authorization Management Program (FedRAMP) é um programa do governo dos EUA que fornece uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços em nuvem.

O FedRAMP visa reduzir o risco de violações de dados e proteger informações confidenciais, garantindo que os produtos e serviços em nuvem atendam a um nível mínimo de requisitos de segurança.

Qual é o objetivo do FedRAMP?

Na última década, a tecnologia de nuvem ganhou destaque, e com razão. Tornou muito mais fácil expandir os serviços mais rapidamente.

Porém, com a promessa de entrega de serviço mais rápida, surgem riscos maiores, especialmente ao proteger os dados do cliente.

O FedRAMP fornece um conjunto de padrões e processos de segurança que garantem que serviços e produtos baseados em nuvem sejam confiáveis, seguros e protegidos.

O Federal Risk and Authorization Management Program (FedRAMP) resultou disso em 2011. O FedRAMP simplifica a avaliação de segurança, autorização e monitoramento contínuo para produtos e serviços em nuvem empregados por agências federais que salvam, processam ou compartilham informações federais.

Os objetivos do FedRAMP podem ser resumidos da seguinte forma:

  • Garanta que as informações federais estejam seguras ao usar serviços em nuvem
  • Economizar tempo e dinheiro do governo federal tornando os serviços em nuvem reutilizáveis

Para atingir esses objetivos, o FedRAMP tem várias áreas de foco. Por exemplo:

  • Desenvolver um processo de autorização de segurança único e confiável pode ajudar a reduzir os esforços contrastantes frequentemente vistos em várias agências
  • Aproveitando o NIST e o FISMA para avaliar a segurança da nuvem
  • Melhore a colaboração entre fornecedores e agências
  • Impulsione a uniformidade entre os pacotes de segurança padronizando as melhores práticas
  • Ajude as agências a se adaptarem à nuvem criando um repositório central para recursos compartilhados

História do FedRAMP

Embora o FedRAMP tenha sido lançado há mais de uma década, suas raízes são mais antigas. Para melhorar os serviços de governo eletrônico, o Congresso aprovou a Lei de Governo Eletrônico de 2002. Essa lei estabeleceu um cargo de Diretor Federal de Informação dentro do Escritório de Administração e Orçamento (OMB).

Uma de suas principais características foi a Lei Federal de Gerenciamento de Segurança da Informação de 2002 (FISMA). Ele defendeu o uso de uma estrutura de segurança cibernética para se defender contra ameaças. Desde então, a tecnologia de nuvem tem sido uma das tecnologias que alteraram a forma como as agências federais interagem com os dados.

A tecnologia de nuvem aumenta a eficiência e reduz significativamente os custos operacionais e de aquisição, economizando bilhões do governo federal em custos anuais. No entanto, ele vem com uma camada adicional de risco cibernético.

Em 2011, o governo dos EUA estabeleceu oficialmente o FedRAMP para governar os provedores de serviços em nuvem que oferecem serviços e produtos para agências federais. Isso ocorreu depois que Steve VanRockel, o CIO federal da OMB, enviou um memorando às agências federais dos EUA que delineava a necessidade de uma estrutura de segurança na nuvem.

O memorando propunha o estabelecimento do FedRAMP como uma ferramenta eficaz para gerenciar o risco de segurança dos serviços em nuvem. O programa foi lançado oficialmente em 2012, quando o governo dos EUA emitiu sua autorização para iniciar as operações e começar a certificar provedores de serviços em nuvem.

Desde então, o FedRAMP evoluiu e agora é o padrão federal para avaliações de segurança em nuvem que garantem a segurança dos serviços em nuvem usados por agências federais.

A quem se aplica o FedRAMP?

O FedRAMP se aplica a qualquer serviço ou produto em nuvem usado pelo governo federal. Isso inclui Amazon Web Services (AWS), Microsoft Azure e Plataforma Google Cloud. Também se aplica a contratados e fornecedores que prestam serviços em nome do governo.

O programa FedRAMP exige que os provedores de serviços em nuvem projetem e implementem um ambiente seguro com eficiência que atenda aos controles de segurança necessários.

Por que o FedRAMP é importante?

Hoje, as agências governamentais dependem de serviços de nuvem seguros mais do que nunca. A proliferação da tecnologia móvel forçou as organizações a adotar novas tecnologias, como Computação em Nuvem, Infraestrutura como Serviço (IaaS) e Software como Serviço (SaaS) para se manterem competitivas.

O FedRAMP é importante porque garante que os serviços em nuvem usados pelo governo federal atendam aos padrões de segurança. Ele ajuda a proteger dados federais, reduzir custos e melhorar a eficiência. Ao fornecer uma maneira eficaz para as agências avaliarem e gerenciarem o risco de serviços em nuvem, o FedRAMP simplifica o processo de identificação, avaliação e autorização de serviços em nuvem usados por agências federais. (Consulte conformidade regulamentar para obter mais informações.)

O que é necessário para se tornar certificado pelo FedRAMP?

Para obter a certificação FedRAMP, os provedores de serviços em nuvem devem passar por um rigoroso processo de autorização. O processo começa com o preenchimento de um questionário de autoavaliação (SAQ) para o serviço ou produto em nuvem. Assim que o SAQ for concluído e aprovado, eles devem enviar um Resumo de Avaliação de Impacto (IAB) e um Plano de Ação e Marcos (POA&M).

O IAB fornece uma visão geral da arquitetura do sistema e dos controles de segurança, enquanto o POA&M descreve os requisitos de segurança que as organizações devem atender.

Assim que o IAB e o POA&M forem aprovados, os provedores de serviços em nuvem podem iniciar o processo oficial de certificação do FedRAMP.

A autorização do FedRAMP pode ser obtida de duas maneiras:

1. Autoridade Provisória do Conselho de Autorização Conjunta (JAB) para operar

A JAB emite uma autorização provisória nesse processo, que informa aos órgãos que o risco foi analisado. A autorização do JAB é uma primeira aprovação importante e o provedor de serviços em nuvem deve submetê-la a uma revisão completa da agência.

Provedores de serviços em nuvem com risco alto ou moderado acharão esse processo mais benéfico.

2. Autorização da agência

As agências são responsáveis por autorizar serviços e produtos em nuvem que usam os padrões FedRAMP. Eles devem avaliar o risco geral e determinar se o sistema está em conformidade com todos os requisitos de segurança antes de poder ser autorizado.

Categorias de conformidade do FedRAMP

O governo dos EUA estabeleceu diferentes categorias de conformidade com o FedRAMP: Baixa, Moderada, Alta e Não Autorizada. Cada categoria carrega requisitos de segurança que devem ser atendidos com base na confidencialidade das informações envolvidas.

Além disso, eles se baseiam no impacto potencial que uma violação de segurança pode ter em três áreas principais:

  • Confidencialidade-Proteções para privacidade e informações proprietárias
  • Integridade-Proteções para precisão e integridade dos dados
  • Disponibilidade - Garantia de acesso a usuários autorizados quando necessário

1. Nível de baixo impacto do FedRAMP

A segurança de nível de baixo impacto é a linha de base para sistemas e dados em nuvem. É de baixo risco e projetado para oferecer suporte a serviços e produtos destinados ao uso público. Sistemas e informações nesse nível não são críticos para a missão, operações, finanças, reputação ou pessoal de uma agência. Portanto, qualquer perda de confidencialidade ou disponibilidade não terá um impacto significativo.

125 controles de sistemas seguros neste nível. Essas são as tecnologias e processos que os provedores de serviços em nuvem usam para proteger os dados do governo armazenados na nuvem.

2. Nível de impacto moderado do FedRAMP

A este nível de impacto, os dados em questão são referidos como informações não classificadas controladas. Não está disponível publicamente e inclui informações de identificação pessoal. Esse tipo de dados está sujeito aos 325 controles do nível de impacto moderado do FedRAMP.

Se esses controles não estiverem em vigor, isso pode afetar diretamente o objetivo principal de uma agência. As atividades regulares podem ser prejudicadas, os recursos podem ser perdidos e as informações pessoais das pessoas podem vazar.

3. Alto nível de impacto do FedRAMP

Antes de junho de 2016, quando o FedRAMP publicou a linha de base de segurança de alto nível, as agências governamentais só podiam contratar provedores de serviços de nuvem para operações de nível básico e moderado. Mas com a linha de base de segurança de alto nível, as agências agora podem contratar provedores de serviços em nuvem para operações mais confidenciais.

Os sistemas de alto risco devem atender aos 421 controles projetados para proteger os dados classificados como ativos de alto valor. Uma agência normalmente possui esses dados e pode incluir informações de segurança nacional, segredos comerciais e registros financeiros.

Os controles 421 são abrangentes e fornecem o mais alto nível de proteção para dados governamentais confidenciais armazenados na nuvem.

O nível de alto impacto deve ser usado para as informações não classificadas mais confidenciais do governo federal. Isso se aplica a áreas em que uma violação pode ter consequências desastrosas, como danos a uma instituição, ruína financeira ou perda de vidas. Isso inclui aplicação da lei, operações de emergência, serviços financeiros e sistemas de saúde.

Governança do FedRAMP

O programa FedRAMP é supervisionado por entidades do poder executivo que trabalham juntas para desenvolver, gerenciar e operar o programa. A seguir estão os órgãos de governo do FedRAMP:

  • O Conselho de Autorização Conjunta (JAB) - Este é o principal órgão de administração e tomada de decisão do FedRAMP. É composto por diretores de informação (CIOs) do Departamento de Segurança Interna (DHS), da Administração de Serviços Gerais (GSA) e do Departamento de Defesa (DOD).
  • Office of Management and Budget (OMB) - O OMB fornece orientação, direção e política sobre tecnologia da informação federal.
  • FedRAMP Program Management Office (PMO)- Este escritório é responsável por desenvolver a estrutura do programa, gerenciar os esforços de conformidade e supervisionar os provedores de serviços.
  • CIO Council- Este conselho fornece direção e orientação para agências em esforços de computação em nuvem.
  • Departamento de Segurança Interna (DHS) - Fornece avaliações técnicas e de segurança cibernética de provedores de serviços em nuvem por meio de seu processo de "Autoridade para operar".

Exemplos de programas certificados pelo FedRAMP

O Federal Risk and Authorization Management Program certificou vários serviços baseados em nuvem, incluindo:

  • Amazon Web Services (AWS)
  • Microsoft Azure Government Cloud
  • Google Cloud Platform for Government
  • Salesforce
  • Oracle Cloud Infrastructure for Government

Esses serviços baseados em nuvem atendem aos requisitos de segurança do FedRAMP e obtiveram a autorização necessária. Como resultado, as agências federais podem usar qualquer um desses serviços para armazenar dados confidenciais do governo na nuvem sem comprometer sua segurança.

Certificação FedRAMP

Para serem certificados, os provedores de serviços em nuvem devem atender aos requisitos de segurança descritos no FedRAMP Framework. Isso inclui um Relatório de Avaliação de Risco (RAR) descrevendo os riscos associados ao serviço proposto, um Plano de Avaliação de Segurança (SAP) descrevendo como os riscos serão mitigados e um Pacote de Autorização demonstrando conformidade com os controles.

Depois que o provedor de serviços em nuvem atender a todos esses requisitos, ele poderá solicitar autorização para operar seus serviços em um ambiente governamental. Se aprovados, receberão autorização provisória para operar (P-ATO) do Conselho Conjunto de Autorizações, com validade de três anos.

Etapas para a autorização do FedRAMP

Há quatro etapas gerais no processo de autorização do FedRAMP, independentemente do tipo específico de autorização que você busca.

  1. Desenvolvimento do pacote - Uma reunião inicial de autorização, seguida pela conclusão do Plano de Segurança do Sistema pelo provedor. Depois disso, uma organização terceirizada de avaliação aprovada pelo FedRAMP desenvolve um plano de avaliação de segurança.
  2. Avaliação- A organização de avaliação de segurança envia um relatório detalhando suas descobertas e recomendações. O provedor de serviços cria um plano de remediação com marcos para corrigir as deficiências identificadas no relatório.
  3. Autorização - Assim que o JAB ou a agência de autorização determinar que os riscos são baixos o suficiente, eles enviarão uma carta de Autoridade para Operar ao escritório de gerenciamento de projetos do FedRAMP. Posteriormente, o nome do provedor é incluído no FedRAMP Marketplace.
  4. Monitoramento- Cada agência que utiliza o serviço de segurança receberá relatórios mensais de monitoramento.

Práticas recomendadas de autorização do FedRAMP

Obter a autorização do FedRAMP não é tarefa fácil, mas é crucial para todas as partes envolvidas que os provedores de serviços em nuvem tenham sucesso assim que iniciarem o processo.

O FedRAMP entrevistou várias pequenas empresas e startups sobre as lições que aprenderam durante a autorização para ajudar outras pessoas. Aqui estão as sete melhores dicas que essas empresas tiveram para navegar com sucesso no processo de autorização:

  • Determine como o FedRAMP se aplica ao seu produto e execute a análise de lacunas.
  • Obtenha adesão de toda a organização, incluindo membros das equipes técnicas e executivas.
  • Encontre uma agência parceira que já usa seu produto ou está disposta a se comprometer a usá-lo.
  • Defina claramente seus limites, incluindo tudo, desde os componentes internos até as conexões com serviços externos e como as informações e os metadados fluem.
  • Em vez de pensar no FedRAMP como um projeto com um endpoint, veja-o como um programa contínuo que monitora os serviços constantemente.
  • Considere cuidadosamente sua abordagem de autorização, pois você pode precisar de várias autorizações para diferentes produtos.
  • O FedRAMP PMO é um ativo importante que pode ajudá-lo tanto com questões técnicas quanto com planejamento de longo prazo.

Benefícios da conformidade com o FedRAMP

Embora o cumprimento do FedRAMP seja obrigatório, você não deve vê-lo como uma obrigação, mas como um investimento. Isso ocorre porque há benefícios significativos em se tornar certificado, alguns dos quais incluem:

  • Maior confiança e segurança quando se trata de armazenar dados confidenciais do governo.
  • Economia de custos devido à menor necessidade de manutenção de infraestrutura e data center.
  • Um processo de autorização simplificado que permite que as agências acessem os serviços em nuvem rapidamente.
  • Maior participação de mercado, pois as agências governamentais têm maior probabilidade de escolher provedores compatíveis com FedRAMP do que aqueles que não são certificados.
  • Conformidade aprimorada com outros padrões de segurança, como HIPAA e SOX.
  • Reduzindo o risco de violações de dados e outros ataques mal-intencionados por ter um sistema robusto instalado.
  • Tempo reduzido para comercializar serviços com recursos compatíveis com FedRAMP.
  • Confiança aprimorada entre agências federais e provedores de serviços em nuvem.

Conclusão

O FedRAMP é uma importante medida de segurança cibernética para agências governamentais e provedores de serviços em nuvem. Ele fornece um alto nível de garantia de que os dados confidenciais estão seguros e ajuda as empresas a ganhar uma maior participação no mercado.

Então entre em contato conosco hoje para começar. Estamos aqui para ajudá-lo a navegar pelas complexidades da conformidade do FedRAMP e manter seus dados seguros.

 

Entre os clientes da Veritas estão 95% das empresas da Fortune 100, e o NetBackup™ é a primeira opção para as organizações que desejam fazer backup de grandes quantidades de dados.

 

Saiba como a Veritas mantém seus dados totalmente protegidos em cargas de trabalho virtuais, físicas, em nuvem e herdadas com o Data Protection Services for Enterprise Businesses.

 

Perguntas frequentes

O Federal Risk and Authorization Management Program (FedRAMP) é um programa de segurança cibernética em todo o governo desenvolvido para fornecer requisitos de segurança padronizados para provedores de serviços em nuvem que atendem agências federais.

O FedRAMP se aplica a todas as agências federais e provedores de serviços em nuvem que fornecem serviços a eles.

Para obter a certificação FedRAMP, os provedores de serviços em nuvem devem atender a rigorosos requisitos de segurança e demonstrar conformidade. Isso inclui varreduras de vulnerabilidade, auditorias de configuração, desenvolvimento de políticas e outras etapas.

O FedRAMP é importante para proteger dados confidenciais, garantir a conformidade com os regulamentos governamentais e ganhar uma maior participação no mercado.