Certificação FedRAMP: O que é, porque é importante e quem o tem

Kimberly Parker

29-05-2023 Estratégia
  • Compartilhar Isso
Kimberly Parker

Cyberespionagem baseada no Estado. E tudo o que está entre eles. A segurança de dados tem uma enorme variedade de aplicações. E é uma grande preocupação para todos os que usam ou fornecem serviços baseados na nuvem.

Quando dados governamentais estão envolvidos, essas preocupações podem atingir o nível de segurança nacional. É por isso que o governo dos EUA exige que todos os serviços de nuvem utilizados pelas agências federais atendam a um conjunto meticuloso de padrões de segurança conhecido como FedRAMP.

Então o que é FedRAMP, e o que implica? Estás no lugar certo para descobrir.

Bónus: Leia o guia passo-a-passo de estratégia de mídia social com dicas profissionais sobre como aumentar a sua presença nas mídias sociais.

O que é FedRAMP?

FedRAMP significa "Federal Risk and Authorization Management Program" (Programa Federal de Gerenciamento de Riscos e Autorizações). Ele padroniza a avaliação e autorização de segurança para produtos e serviços em nuvem utilizados por agências federais dos EUA.

O objetivo é garantir que os dados federais estejam consistentemente protegidos a um nível elevado na nuvem.

Obter autorização FedRAMP é um negócio sério. O nível de segurança exigido é exigido por lei. Existem 14 leis e regulamentos aplicáveis, juntamente com 19 normas e documentos de orientação. É uma das mais rigorosas certificações de software como serviço do mundo.

Aqui vai uma introdução rápida:

A FedRAMP existe desde 2012. Foi quando as tecnologias de nuvem realmente começaram a substituir as soluções de software desatualizadas. Nasceu da estratégia "Cloud First" do governo dos EUA. Essa estratégia exigia que as agências considerassem as soluções baseadas em nuvem como uma primeira escolha.

Antes do FedRAMP, os provedores de serviços de nuvem tinham que preparar um pacote de autorização para cada agência com que queriam trabalhar. Os requisitos não eram consistentes. E havia muita duplicação de esforços, tanto para os provedores como para as agências.

A FedRAMP introduziu consistência e racionalizou o processo.

Agora, as avaliações e requisitos são padronizados. Várias agências governamentais podem reutilizar o pacote de segurança de autorização FedRAMP do fornecedor.

A adesão inicial ao FedRAMP foi lenta. Apenas 20 ofertas de serviços em nuvem foram autorizadas nos primeiros quatro anos. Mas o ritmo realmente aumentou desde 2018, e agora há 204 produtos em nuvem autorizados pelo FedRAMP.

Fonte: FedRAMP

A FedRAMP é controlada por um Joint Authorization Board (JAB). O conselho é composto por representantes de:

  • o Departamento de Segurança Interna
  • a Administração de Serviços Gerais, e
  • o Departamento de Defesa.

O programa é endossado pelo Conselho Federal de Informações de Chefes de Governo dos EUA.

Por que a certificação FedRAMP é importante?

Todos os serviços em nuvem que contêm dados federais requerem autorização FedRAMP. Portanto, se você quiser trabalhar com o governo federal, a autorização FedRAMP é uma parte importante do seu plano de segurança.

FedRAMP é importante porque garante consistência na segurança dos serviços de nuvem do governo - e porque garante consistência na avaliação e monitoramento dessa segurança. Ele fornece um conjunto de padrões para todas as agências governamentais e todos os provedores de nuvem.

Os provedores de serviços em nuvem autorizados pelo FedRAMP estão listados no FedRAMP Marketplace. Este mercado é o primeiro lugar que as agências governamentais procuram quando querem obter uma nova solução baseada em nuvem. É muito mais fácil e rápido para uma agência usar um produto já autorizado do que iniciar o processo de autorização com um novo fornecedor.

Assim, uma listagem no mercado FedRAMP torna muito mais provável que você obtenha negócios adicionais de agências governamentais. Mas também pode melhorar o seu perfil no setor privado.

Qualquer empresa do setor privado pode percorrer a lista de soluções autorizadas pela FedRAMP.

É um ótimo recurso quando eles estão procurando um produto ou serviço de nuvem segura.

A autorização FedRAMP pode tornar qualquer cliente mais confiante sobre os protocolos de segurança. Ela representa um compromisso contínuo com o cumprimento dos mais altos padrões de segurança.

A autorização FedRAMP aumenta significativamente sua credibilidade de segurança além do FedRAMP Marketplace, também. Você pode compartilhar sua autorização FedRAMP nas mídias sociais e em seu site.

A verdade é que a maioria dos seus clientes provavelmente não sabe o que é FedRAMP. Eles não se importam se você está autorizado ou não. Mas para aqueles grandes clientes que entendem FedRAMP - tanto no setor público quanto no privado - a falta de autorização pode ser uma quebra de contrato.

O que é preciso para ser certificado pela FedRAMP?

Há duas formas diferentes de se tornar autorizado pela FedRAMP.

1. Conselho Conjunto de Autorização (JAB) Autoridade Provisória para Operar

Neste processo, a JAB emite uma autorização provisória, que permite às agências saberem que o risco foi revisto.

É uma primeira aprovação importante. Mas qualquer agência que queira usar o serviço ainda tem de emitir a sua própria Autoridade para Operar.

Este processo é mais adequado para fornecedores de serviços em nuvem com risco elevado ou moderado (Mergulharemos nos níveis de risco na próxima seção).

Aqui está uma visão geral do processo JAB:

Fonte: FedRAMP

2. autoridade da agência para operar

Nesse processo, o prestador de serviços em nuvem estabelece um relacionamento com uma agência federal específica. Essa agência está envolvida em todo o processo. Se o processo for bem sucedido, a agência emite uma carta de Autoridade para Operar.

Fonte: FedRAMP

Passos para a autorização FedRAMP

Não importa o tipo de autorização que você busca, a autorização FedRAMP envolve quatro etapas principais:

  1. Desenvolvimento de pacotes. Em primeiro lugar, há uma reunião de autorização de arranque. Depois, o fornecedor completa um Plano de Segurança do Sistema. Em seguida, uma organização de avaliação de terceiros aprovada pela FedRAMP desenvolve um Plano de Avaliação de Segurança.
  2. Avaliação. A organização de avaliação apresenta um relatório de Avaliação de Segurança. O provedor cria um Plano de Ação & Milestones.
  3. Autorização. A JAB ou agência autorizadora decide se o risco descrito é aceitável. Em caso afirmativo, eles submetem uma carta de Autoridade para Operar ao escritório de gerenciamento do projeto FedRAMP. O provedor é então listado no FedRAMP Marketplace.
  4. Monitoramento. O provedor envia mensalmente os resultados do monitoramento de segurança para cada agência que utiliza o serviço.

Melhores práticas de autorização FedRAMP

O processo de obtenção da autorização FedRAMP pode ser difícil, mas é do maior interesse de todos os envolvidos que os provedores de serviços na nuvem tenham sucesso quando iniciam o processo de autorização.

Para ajudar, FedRAMP entrevistou várias pequenas empresas e start-ups sobre as lições aprendidas durante a autorização. Aqui estão suas sete melhores dicas para navegar com sucesso no processo de autorização:

  1. Entenda como o seu produto mapeia para o FedRAMP - incluindo uma análise de lacunas.
  2. Obter a adesão e o compromisso organizacional - inclusive da equipe executiva e das equipes técnicas.
  3. Encontre um parceiro de agência - um que esteja a utilizar o seu produto ou que esteja empenhado em fazê-lo.
  4. Passe tempo a definir com precisão o seu limite. Isso inclui:
    • componentes internas
    • ligações a serviços externos, e
    • o fluxo de informação e metadados.
  5. Pense no FedRAMP como um programa contínuo, em vez de apenas um projeto com data de início e fim. Os serviços devem ser monitorados continuamente.
  6. Considere cuidadosamente a sua abordagem de autorização. Produtos múltiplos podem exigir autorizações múltiplas.
  7. O FedRAMP PMO é um recurso valioso. Eles podem responder a perguntas técnicas e ajudá-lo a planejar sua estratégia.

    FedRAMP oferece modelos para ajudar os provedores de serviços de nuvem a se prepararem para a conformidade FedRAMP.

    Quais são as categorias de conformidade FedRAMP?

    A FedRAMP oferece quatro níveis de impacto para serviços com diferentes tipos de risco. Eles se baseiam nos impactos potenciais de uma quebra de segurança em três áreas diferentes.

    • Confidencialidade: Proteções de privacidade e informações proprietárias.
    • Integridade: Proteções contra modificação ou destruição de informações.
    • Disponibilidade: Acesso oportuno e confiável aos dados.

    Os três primeiros níveis de impacto são baseados no Federal Information Processing Standard (FIPS) 199 do National Institute of Standards and Technology (NIST). O quarto é baseado no NIST Special Publication 800-37. Os níveis de impacto são:

    • Alto, baseado em 421 controles. "A perda de confidencialidade, integridade ou disponibilidade pode ter um efeito adverso grave ou catastrófico sobre as operações organizacionais, ativos organizacionais ou indivíduos". Isto geralmente se aplica à aplicação da lei, serviços de emergência, financeiros e sistemas de saúde.
    • Moderado, com base em 325 controles. "A perda de confidencialidade, integridade ou disponibilidade poderia ter um efeito adverso sério nas operações organizacionais, ativos organizacionais ou indivíduos". Quase 80% das aplicações FedRAMP aprovadas estão no nível de impacto moderado.
    • Baixo, com base em 125 controles. "A perda de confidencialidade, integridade ou disponibilidade poderia ter um efeito adverso limitado nas operações organizacionais, ativos organizacionais ou indivíduos".
    • Software de Baixo Impacto como Serviço (LI-SaaS), baseado em 36 controles Para "sistemas de baixo risco para usos como ferramentas de colaboração, aplicações de gerenciamento de projetos e ferramentas que ajudam a desenvolver código aberto", esta categoria também é conhecida como FedRAMP Tailored.

    Esta última categoria foi adicionada em 2017 para facilitar às agências a aprovação de "casos de baixo risco". Para se qualificar para o FedRAMP Tailored, o provedor deve responder sim a seis perguntas, que estão postadas na página de políticas do FedRAMP Tailored:

    • O serviço opera em um ambiente de nuvem?
    • O serviço de nuvem está totalmente operacional?
    • O serviço de nuvem é um Software como Serviço (SaaS), como definido pelo NIST SP 800-145, The NIST Definition of Cloud Computing?
    • O serviço na nuvem não contém informações pessoalmente identificáveis (PII), exceto quando necessário para fornecer um login (nome de usuário, senha e endereço de e-mail)?
    • O serviço de nuvem é de baixo impacto de segurança, conforme definido pelo FIPS PUB 199, Standards for Security Categorization of Federal Information and Information Systems?
    • O serviço de nuvem está hospedado dentro de uma Plataforma Autorizada FedRAMP como Serviço (PaaS) ou Infraestrutura como Serviço (IaaS), ou o CSP está fornecendo a infraestrutura de nuvem subjacente?

    Tenha em mente que alcançar a conformidade FedRAMP não é uma tarefa pontual. Lembra-se da fase de monitoramento da autorização FedRAMP? Isso significa que você precisará submeter auditorias de segurança regulares para garantir que você estadia Compatível com FedRAMP.

    Bónus: Leia o guia passo-a-passo de estratégia de mídia social com dicas profissionais sobre como aumentar a sua presença nas mídias sociais.

    Obtenha o guia grátis agora mesmo!

    Exemplos de produtos certificados pela FedRAMP

    Há muitos tipos de produtos e serviços autorizados pela FedRAMP. Aqui estão alguns exemplos de provedores de serviços na nuvem que você conhece e já pode usar você mesmo.

    Serviços Web da Amazon

    Existem duas listas AWS no FedRAMP Marketplace. AWS GovCloud é autorizado no nível Alto. AWS US East/West é autorizado no nível Moderado.

    Você ouviu? Os clientes da AWS GovCloud (EUA) podem usar #AmazonEFS para cargas de trabalho de arquivos de missão crítica graças à recente autorização da FedRAMP High. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    - AWS for Government (@AWS_Gov) 18 de Outubro de 2019

    AWS GovCloud tem 292 autorizações. AWS US East/West tem 250 autorizações. Isso é muito mais do que qualquer outra listagem no mercado FedRAMP.

    Adobe Analytics

    A Adobe Analytics foi autorizada em 2019. É utilizada pelos Centros de Controle e Prevenção de Doenças e pelo Departamento de Saúde e Serviços Humanos. Está autorizada ao nível da LI-SaaS.

    A Adobe tem vários produtos autorizados a nível LI-SaaS (como Adobe Campaign e Adobe Document Cloud). Eles também têm um par de produtos autorizados a nível Moderado:

    • Serviços Gerenciados Adobe Connect
    • Serviços Gerenciados pelo Adobe Experience Manager.

    A Adobe está atualmente no processo de mudança de autorização de FedRAMP Autorização personalizada para FedRAMP Autorização moderada para Adobe Sign.

    Saiba mais sobre como @Adobe Sign está trabalhando para mudar de estátuas FedRAMP Personalizado para FedRAMP Moderado aqui: //t.co/cYjihF9KkP

    - AdobeSecurity (@AdobeSecurity) 12 de agosto de 2020

    Lembre-se de que é o serviço, não o provedor de serviços, que obtém a autorização. Como a Adobe, você pode ter que buscar várias autorizações se oferecer mais de uma solução baseada em nuvem.

    Folga

    Autorizado em maio deste ano, Slack tem 21 autorizações FedRAMP. O produto é autorizado no nível Moderado. É usado por agências incluindo:

    • os Centros de Controle e Proteção de Doenças,
    • a Comissão Federal de Comunicações, e
    • a Fundação Nacional da Ciência.

    O sector público americano pode agora executar mais do seu trabalho em Slack, graças à nossa nova autorização FedRAMP Moderate. E ao cumprir esses rigorosos requisitos de segurança, estamos a manter as coisas seguras para todas as outras empresas que usam Slack, também. //t.co/dlra7qVQ9F

    - Slack (@SlackHQ) 13 de Agosto de 2020

    Slack originalmente recebeu autorização personalizada da FedRAMP. Em seguida, eles buscaram autorização moderada através de uma parceria com o Departamento de Assuntos de Veteranos.

    O Slack não deixa de chamar a atenção para os benefícios de segurança desta autorização para clientes do sector privado no seu website:

    "Esta última autorização se traduz em uma experiência mais segura para clientes Slack, incluindo empresas do setor privado que não requerem um ambiente autorizado pela FedRAMP. Todos os clientes que utilizam as ofertas comerciais da Slack podem se beneficiar das medidas de segurança reforçadas necessárias para obter a certificação FedRAMP".

    Trello Enterprise Cloud

    Trello acabou de receber a autorização do Li-SaaS em setembro. Até agora, Trello é usado apenas pela Administração de Serviços Gerais. Mas a empresa está procurando mudar isso, como visto em seus postos sociais sobre seu novo status FedRAMP:

    🏛️With A autorização FedRAMP da Trello, sua agência pode agora usar Trello para aumentar a produtividade, quebrar silos de equipe e fomentar a colaboração. //t.co/GWYgaj9jfY

    - Trello (@trello) 12 de outubro de 2020

    Zendesk

    Também autorizado em Maio, o Zendesk é usado por:

    • o Departamento de Energia,
    • a Agência Federal de Financiamento à Habitação
    • o Gabinete FHFA do Inspector-Geral, e
    • a Administração de Serviços Gerais.

    A Plataforma Zendesk de Suporte ao Cliente e Help Desk tem autorização da Li-Saas.

    A partir de hoje podemos tornar muito mais fácil para as agências governamentais trabalharem conosco, pois @Zendesk está agora autorizado pelo FedRAMP. Muito obrigado a todas as equipes dentro e fora do Zendesk pelo esforço colocado nisso. //t.co/A0HVwjhGsv

    - Mikkel Svane (@mikkelsvane) 22 de maio de 2020

    FedRAMP para a gestão das redes sociais

    O SMMExpert é autorizado pela FedRAMP. As agências governamentais podem agora facilmente trabalhar com o líder global em gestão de redes sociais para interagir com os cidadãos, gerir as comunicações de crise e fornecer serviços e informações através das redes sociais.

    Solicite uma demonstração

    Postagem anterior O Guia de Estilo de Mídias Sociais Perfeitas para a sua Marca em 2023
    Próxima postagem 8 Dicas para uma aquisição da Instagram sem falhas

    Kimberly Parker é uma profissional experiente de marketing digital com mais de 10 anos de experiência no setor. Como fundadora de sua própria agência de marketing de mídia social, ela ajudou várias empresas em vários setores a estabelecer e aumentar sua presença online por meio de estratégias eficazes de mídia social. Kimberly também é uma escritora prolífica, tendo contribuído com artigos sobre mídia social e marketing digital para várias publicações respeitáveis. Nos tempos livres, adora experimentar novas receitas na cozinha e fazer longos passeios com o seu cão.