Certificació FedRAMP: què és, per què és important i qui la té

Kimberly Parker

29-05-2023 Estratègia
  • Comparteix Això
Kimberly Parker

Càmeras de celebritats piratejades. Ciberespionatge basat en l'estat. I tot el que hi ha entremig. La seguretat de les dades té una àmplia gamma d'aplicacions. I és una preocupació important per a tothom que utilitza o ofereix serveis basats en núvol.

Quan hi ha dades governamentals, aquestes preocupacions poden arribar al nivell de seguretat nacional. És per això que el govern dels Estats Units exigeix ​​que tots els serveis al núvol utilitzats per les agències federals compleixin un conjunt minuciós d'estàndards de seguretat coneguts com a FedRAMP.

Què és FedRAMP i què implica? Ets al lloc adequat per descobrir-ho.

Bonus: llegiu la guia d'estratègia de xarxes socials pas a pas amb consells professionals sobre com augmentar la vostra presència a les xarxes socials.

Què és FedRAMP?

FedRAMP significa el "Programa federal de gestió de riscos i autoritzacions". Estandarditza l'avaluació de la seguretat i l'autorització dels productes i serveis al núvol utilitzats per les agències federals dels EUA.

L'objectiu és assegurar-se que les dades federals estan protegides de manera coherent a un alt nivell al núvol.

Obtenir FedRAMP. l'autorització és una qüestió seriosa. El nivell de seguretat requerit està establert per llei. Hi ha 14 lleis i regulacions aplicables, juntament amb 19 normes i documents d'orientació. És una de les certificacions de programari com a servei més rigoroses del món.

Aquí teniu una introducció ràpida:

FedRAMP existeix des del 2012. És llavors quan realment les tecnologies al núvolautorització per a Adobe Sign.

Obteniu més informació sobre com funciona @Adobe Sign per passar d'estàtues FedRAMP Tailored a FedRAMP Moderate aquí: //t.co/cYjihF9KkP

— AdobeSecurity (@AdobeSecurity) 12 d'agost de 2020

Recordeu que és el servei, no el proveïdor de serveis, qui obté l'autorització. Igual que Adobe, potser haureu de sol·licitar diverses autoritzacions si oferiu més d'una solució basada en núvol.

Slack

Autoritzat el maig d'aquest any, Slack té 21 autoritzacions FedRAMP. El producte està autoritzat a nivell Moderat. L'utilitzen agències com:

  • els Centres per al Control i la Protecció de Malalties,
  • la Comissió Federal de Comunicacions i
  • la National Science Foundation.

El sector públic dels Estats Units ara pot executar més del seu treball a Slack, gràcies a la nostra nova autorització FedRAMP Moderate. I en complir aquests requisits de seguretat estrictes, també estem mantenint les coses segures per a totes les altres empreses que fan servir Slack. //t.co/dlra7qVQ9F

— Slack (@SlackHQ) 13 d'agost de 2020

Slack va rebre originalment l'autorització personalitzada de FedRAMP. Aleshores, van buscar l'autorització moderada associant-se amb el Departament d'Afers de Veterans.

Slack s'assegura de cridar l'atenció sobre els avantatges de seguretat d'aquesta autorització per als clients del sector privat al seu lloc web:

“Això l'última autorització es tradueix en una experiència més segura perClients de Slack, incloses les empreses del sector privat que no requereixen un entorn autoritzat per FedRAMP. Tots els clients que utilitzen les ofertes comercials de Slack es poden beneficiar de les mesures de seguretat més elevades necessàries per aconseguir la certificació FedRAMP. Fins ara, Trello només l'utilitza l'Administració de Serveis Generals. Però l'empresa està buscant canviar-ho, tal com es veu a les seves publicacions socials sobre el seu nou estat de FedRAMP:

🏛️Amb l'autorització FedRAMP de Trello, la vostra agència ara pot utilitzar Trello per augmentar la productivitat, trencar les sitges d'equip i fomentar col·laboració. //t.co/GWYgaj9jfY

— Trello (@trello) 12 d'octubre de 2020

Zendesk

També autoritzat al maig, Zendesk és utilitzat per:

  • el Departament d'Energia,
  • l'Agència Federal de Finances de l'Habitatge
  • l'Oficina de l'Inspector General de la FHFA i
  • l'Administració de Serveis Generals
    • .

La plataforma d'assistència al client i servei d'assistència de Zendesk té autorització Li-Saas.

A partir d'avui podem facilitar que les agències governamentals col·laborin amb nosaltres, ja que @Zendesk està autoritzat ara FedRAMP. Moltes gràcies a tots els equips dins i fora de Zendesk per l'esforç realitzat en això. //t.co/A0HVwjhGsv

— Mikkel Svane (@mikkelsvane) 22 de maig de 2020

FedRAMP per a la gestió de xarxes socials

SMMExpert és FedRAMPautoritzat. Les agències governamentals ara poden treballar fàcilment amb el líder mundial en gestió de xarxes socials per interactuar amb els ciutadans, gestionar les comunicacions de crisi i oferir serveis i informació a través de les xarxes socials.

Sol·liciteu una demostració

va començar a substituir les solucions de programari lligades obsoletes. Va néixer de l'estratègia "Cloud First" del govern dels Estats Units. Aquesta estratègia requeria que les agències consideressin les solucions basades en núvol com a primera opció.

Abans de FedRAMP, els proveïdors de serveis al núvol havien de preparar un paquet d'autorització per a cada agència amb la qual volien treballar. Els requisits no eren coherents. I hi va haver molts esforços duplicats tant per als proveïdors com per a les agències.

FedRAMP va introduir coherència i va racionalitzar el procés.

Ara, les avaluacions i els requisits estan estandarditzats. Diverses agències governamentals poden reutilitzar el paquet de seguretat d'autorització FedRAMP del proveïdor.

La utilització inicial de FedRAMP va ser lenta. Només es van autoritzar 20 ofertes de serveis al núvol en els primers quatre anys. Però el ritme ha augmentat realment des del 2018 i ara hi ha 204 productes al núvol autoritzats per FedRAMP.

Font: FedRAMP

FedRAMP està controlat per una Junta d'Autorització Conjunta (JAB). El consell està format per representants de:

  • el Departament de Seguretat Nacional
  • l'Administració de Serveis Generals, i
  • el Departament de Defensa.

El programa està avalat pel Consell Federal de Caps d'Informació del govern dels EUA.

Per què és important la certificació FedRAMP?

Tots els serveis al núvol que contenen dades federals requereixen l'autorització de FedRAMP. Per tant, si vols treballar ambdel govern federal, l'autorització de FedRAMP és una part important del vostre pla de seguretat.

FedRAMP és important perquè garanteix la coherència en la seguretat dels serveis al núvol del govern i perquè garanteix la coherència en l'avaluació i el seguiment d'aquesta seguretat. Proporciona un conjunt d'estàndards per a totes les agències governamentals i tots els proveïdors de núvol.

Els proveïdors de serveis de núvol autoritzats per FedRAMP es mostren al FedRAMP Marketplace. Aquest mercat és el primer lloc on busquen les agències governamentals quan volen obtenir una nova solució basada en núvol. És molt més fàcil i ràpid per a una agència utilitzar un producte que ja està autoritzat que no pas iniciar el procés d'autorització amb un proveïdor nou.

Per tant, una llista al mercat de FedRAMP fa que sigui molt més probable que obtinguis més negocis. agències governamentals. Però també pot millorar el teu perfil al sector privat.

Això és perquè el mercat de FedRAMP és visible per al públic. Qualsevol empresa del sector privat pot desplaçar-se per la llista de solucions autoritzades de FedRAMP.

És un recurs fantàstic quan busquen un producte o servei al núvol segur.

L'autorització de FedRAMP pot fer que qualsevol client més segur sobre els protocols de seguretat. Representa un compromís constant per complir amb els estàndards de seguretat més alts.

L'autorització de FedRAMP augmenta significativament la vostra credibilitat de seguretat.més enllà del mercat de FedRAMP, també. Pots compartir la teva autorització FedRAMP a les xarxes socials i al teu lloc web.

La veritat és que probablement la majoria dels teus clients no saben què és FedRAMP. No els importa si estàs autoritzat o no. Però per a aquells grans clients que entenen FedRAMP, tant en el sector públic com en el privat, la falta d'autorització pot ser un trencament d'acords.

Què es necessita per obtenir la certificació de FedRAMP?

Hi ha són dues maneres diferents d'autoritzar-se per FedRAMP.

1. Autoritat provisional per operar de la Junta Conjunta d'Autoritzacions (JAB)

En aquest procés, la JAB emet una autorització provisional. Això permet a les agències saber que el risc s'ha revisat.

És una primera aprovació important. Però qualsevol agència que vulgui utilitzar el servei encara ha d'emetre la seva pròpia autoritat per operar.

Aquest procés és el més adequat per als proveïdors de serveis al núvol amb risc alt o moderat. (Ens endinsarem en els nivells de risc a la secció següent.)

A continuació es mostra una visió general visual del procés JAB:

Font: FedRAMP

2. Autoritat de l'agència per operar

En aquest procés, el proveïdor de serveis al núvol estableix una relació amb una agència federal específica. Aquesta agència participa durant tot el procés. Si el procés té èxit, l'agència emet una carta d'autoritat per operar.

Font: FedRAMP

Passos per a l'autorització de FedRAMP

Independentment del tipus d'autorització que sol·liciteu, l'autorització de FedRAMP inclou quatre passos principals:

  1. Desenvolupament del paquet. Primer, hi ha una reunió d'inici d'autorització. Aleshores, el proveïdor completa un pla de seguretat del sistema. A continuació, una organització d'avaluació de tercers aprovada per FedRAMP desenvolupa un Pla d'avaluació de la seguretat.
  2. Avaluació. L'organització d'avaluació envia un informe d'avaluació de la seguretat. El proveïdor crea un Pla d'acció & Fites.
  3. Autorització. La JAB o l'agència autoritzadora decideix si el risc descrit és acceptable. En cas afirmatiu, envien una carta de l'Autoritat per operar a l'oficina de gestió de projectes de FedRAMP. A continuació, el proveïdor apareix a la llista de FedRAMP Marketplace.
  4. Supervisió. El proveïdor envia els lliuraments mensuals de control de seguretat a cada agència que utilitza el servei.

La millor autorització FedRAMP. pràctiques

El procés per aconseguir l'autorització FedRAMP pot ser dur. Però és del millor interès de tots els implicats que els proveïdors de serveis al núvol tinguin èxit un cop inicien el procés d'autorització.

Per ajudar, FedRAMP va entrevistar a diverses petites empreses i empreses emergents sobre les lliçons apreses durant l'autorització. Aquests són els set millors consells per navegar amb èxit pel procés d'autorització:

  1. Entengueu com el vostremapes de productes a FedRAMP, inclosa una anàlisi de llacunes.
  2. Aconseguiu la acceptació i el compromís de l'organització, inclòs l'equip executiu i els equips tècnics.
  3. Trobeu un soci d'agència, un que utilitzi el vostre producte o està compromès a fer-ho.
  4. Dedica el temps a definir amb precisió els teus límits. Això inclou:
    • components interns
    • connexions a serveis externs i
    • el flux d'informació i metadades.
  5. Penseu en FedRAMP com un programa continu, en lloc d'un projecte amb una data d'inici i finalització. Els serveis s'han de supervisar contínuament.
  6. Considereu acuradament el vostre enfocament d'autorització. Diversos productes poden requerir diverses autoritzacions.
  7. El PMO de FedRAMP és un recurs valuós. Poden respondre preguntes tècniques i ajudar-vos a planificar la vostra estratègia.

    FedRAMP ofereix plantilles per ajudar els proveïdors de serveis al núvol a preparar-se per al compliment de FedRAMP.

    Quines són les categories. de compliment de FedRAMP?

    FedRAMP ofereix quatre nivells d'impacte per a serveis amb diferents tipus de risc. Es basen en els impactes potencials d'una violació de seguretat en tres àrees diferents.

    • Confidencialitat: Proteccions de privadesa i informació de propietat.
    • Integritat: Proteccions contra la modificació o la destrucció de la informació.
    • Disponibilitat: Accés puntual i fiable a les dades.

    Els tres primersEls nivells d'impacte es basen en l'estàndard federal de processament de la informació (FIPS) 199 de l'Institut Nacional d'Estàndards i Tecnologia (NIST). El quart es basa en la publicació especial 800-37 del NIST. Els nivells d'impacte són:

    • Alt, basat en 421 controls. "La pèrdua de confidencialitat, integritat o disponibilitat podria tenir un efecte advers greu o catastròfic en l'organització. operacions, actius organitzatius o individus". Això sol aplicar-se als sistemes d'aplicació de la llei, serveis d'emergència, financers i de salut.
    • Moderat, basat en els controls 325. "La pèrdua de confidencialitat, integritat o disponibilitat es podria esperar que tingués un efecte advers greu sobre les operacions de l'organització, els actius de l'organització o les persones". Gairebé el 80 per cent de les aplicacions de FedRAMP aprovades tenen un nivell d'impacte moderat.
    • Baix, basat en 125 controls. "La pèrdua de confidencialitat, integritat o disponibilitat es podria esperar que tingués un límit limitat. efecte advers sobre les operacions de l'organització, els actius de l'organització o els individus."
    • Programari com a servei de baix impacte (LI-SaaS), basat en 36 controls . Per a "sistemes de baix risc per a usos com ara eines de col·laboració, aplicacions de gestió de projectes i eines que ajuden a desenvolupar codi de codi obert". Aquesta categoria també es coneix com a FedRAMP Tailored.

    Aquesta darrera categoria es va afegir el 2017per facilitar que les agències aprovin "casos d'ús de baix risc". Per qualificar per FedRAMP Tailored, el proveïdor ha de respondre sí a sis preguntes. Aquestes es publiquen a la pàgina de polítiques personalitzades de FedRAMP:

    • El servei funciona en un entorn al núvol?
    • El servei al núvol està totalment operatiu?
    • El núvol és totalment operatiu? donar servei a un programari com a servei (SaaS), tal com es defineix per NIST SP 800-145, The NIST Definition of Cloud Computing?
    • El servei al núvol no conté informació d'identificació personal (PII), tret que sigui necessari per proporcionar una capacitat d'inici de sessió (nom d'usuari, contrasenya i adreça de correu electrònic)?
    • El servei al núvol té un impacte baix en la seguretat, tal com es defineix per FIPS PUB 199, Standards for Security Categorization of Federal Information and Information Systems?
    • El servei al núvol està allotjat dins d'una plataforma com a servei (PaaS) o d'una infraestructura com a servei (IaaS) autoritzada per FedRAMP, o el CSP proporciona la infraestructura del núvol subjacent?

    Tingueu en compte que assolir el compliment de FedRAMP no és una tasca única. Recordeu l'etapa de seguiment de l'autorització FedRAMP? Això vol dir que haureu d'enviar auditories de seguretat periòdiques per assegurar-vos que mantingueu el compliment de FedRAMP.

    Bonus: llegiu la guia d'estratègia de xarxes socials pas a pas amb consells professionals sobre com augmentar la vostra presència a les xarxes socials.

    Obteniu la guia gratuïta ara mateix!

    Exemples de certificats FedRAMPproductes

    Hi ha molts tipus de productes i serveis autoritzats per FedRAMP. A continuació, es mostren alguns exemples de proveïdors de serveis al núvol que coneixeu i que potser ja feu servir vosaltres mateixos.

    Amazon Web Services

    Hi ha dues llistes d'AWS al FedRAMP Marketplace. AWS GovCloud està autoritzat a nivell alt. AWS US East/West està autoritzat a nivell moderat.

    Ho heu sentit? Els clients d'AWS GovCloud (EUA) poden utilitzar #AmazonEFS per a càrregues de treball de fitxers de missió crítica gràcies a l'aconseguiment recent de l'autorització FedRAMP High. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    — AWS for Government (@AWS_Gov) 18 d'octubre de 2019

    AWS GovCloud té 292 autoritzacions. AWS US East/West té 250 autoritzacions. Això és molt més que qualsevol altra llista al mercat de FedRAMP.

    Adobe Analytics

    Adobe Analytics va ser autoritzat el 2019. L'utilitzen els Centres per al Control i la Prevenció de Malalties i el Departament de Salut i Serveis Humans. Està autoritzat a nivell LI-SaaS.

    En realitat, Adobe té diversos productes autoritzats a nivell LI-SaaS. (Com Adobe Campaign i Adobe Document Cloud.) També tenen un parell de productes autoritzats a nivell moderat:

    • Adobe Connect Managed Services
    • Adobe Experience Manager Managed Services.

    Adobe està actualment en procés de passar d'una autorització personalitzada de FedRAMP a una autorització de FedRAMP moderada

    Publicació anterior La guia d'estil de xarxes socials perfecta per a la vostra marca el 2023
    Següent post 8 consells per a una presa de control d'Instagram impecable

    Kimberly Parker és una professional de màrqueting digital experimentada amb més de 10 anys d'experiència en el sector. Com a fundadora de la seva pròpia agència de màrqueting de xarxes socials, ha ajudat a nombroses empreses de diverses indústries a establir i fer créixer la seva presència en línia mitjançant estratègies efectives de xarxes socials. Kimberly també és una escriptora prolífica, que ha contribuït amb articles sobre xarxes socials i màrqueting digital a diverses publicacions de renom. En el seu temps lliure, li encanta experimentar amb noves receptes a la cuina i fer llargues passejades amb el seu gos.