Certificación FedRAMP: que é, por que importa e quen a ten

Kimberly Parker

29-05-2023 Estratexia
  • Comparte Isto
Kimberly Parker

Rollos de cámara de famosos pirateados. Ciberespionaxe baseada no Estado. E todo o que hai no medio. A seguridade dos datos ten unha gran variedade de aplicacións. E é unha preocupación importante para todos os que usan ou proporcionan servizos baseados na nube.

Cando se trata de datos do goberno, esas preocupacións poden alcanzar o nivel de seguridade nacional. É por iso que o goberno dos Estados Unidos esixe que todos os servizos na nube utilizados polas axencias federais cumpran un conxunto meticuloso de estándares de seguridade coñecidos como FedRAMP.

Entón, que é FedRAMP e que implica? Estás no lugar axeitado para descubrir.

Bonificación: Le a guía paso a paso da estratexia de redes sociais con consellos profesionais sobre como aumentar a súa presenza nas redes sociais.

Que é FedRAMP?

FedRAMP significa o "Programa Federal de Xestión de Riscos e Autorizacións". Estandariza a avaliación da seguridade e a autorización dos produtos e servizos na nube utilizados polas axencias federais dos Estados Unidos.

O obxectivo é asegurarse de que os datos federais estean protexidos de forma consistente a un alto nivel na nube.

Obter FedRAMP a autorización é asunto serio. O nivel de seguridade esixido está obrigado pola lei. Existen 14 leis e regulamentos aplicables, xunto con 19 normas e documentos de orientación. É unha das certificacións de software como servizo máis rigorosas do mundo.

Aquí tes unha breve introdución:

FedRAMP existe desde 2012. É entón cando realmente as tecnoloxías na nubeautorización para Adobe Sign.

Obtén máis información sobre como funciona @Adobe Sign para pasar de estatuas FedRAMP Tailored a FedRAMP Moderate aquí: //t.co/cYjihF9KkP

— AdobeSecurity (@AdobeSecurity) 12 de agosto de 2020

Lembra que é o servizo, non o provedor de servizos, o que recibe a autorización. Do mesmo xeito que Adobe, é posible que teñas que solicitar varias autorizacións se ofreces máis dunha solución baseada na nube.

Slack

Autorizado en maio deste ano, Slack ten 21 autorizacións FedRAMP. O produto está autorizado no nivel Moderado. Úsano axencias como:

  • os Centros para o Control e a Protección de Enfermidades,
  • a Comisión Federal de Comunicacións e
  • a Fundación Nacional de Ciencia.

O sector público dos Estados Unidos agora pode executar máis do seu traballo en Slack, grazas á nosa nova autorización FedRAMP Moderate. E ao cumprir eses estrictos requisitos de seguridade, tamén protexemos as cousas para todas as outras empresas que usan Slack. //t.co/dlra7qVQ9F

— Slack (@SlackHQ) 13 de agosto de 2020

Slack recibiu orixinalmente a autorización de FedRAMP Tailored. Despois, buscaron unha autorización moderada asociándose co Departamento de Asuntos de Veteranos.

Slack asegúrase de chamar a atención sobre os beneficios de seguridade desta autorización para os clientes do sector privado no seu sitio web:

“Este a autorización máis recente tradúcese nunha experiencia máis segura paraClientes Slack, incluídas as empresas do sector privado que non requiren un ambiente autorizado por FedRAMP. Todos os clientes que utilizan as ofertas comerciais de Slack poden beneficiarse das medidas de seguridade reforzadas necesarias para conseguir a certificación FedRAMP. Trello é utilizado ata agora só pola Administración de Servizos Xerais. Pero a empresa busca cambiar isto, como se ve nas súas publicacións sociais sobre o seu novo estado de FedRAMP:

🏛️Coa autorización FedRAMP de Trello, a túa axencia agora pode usar Trello para aumentar a produtividade, romper os silos do equipo e fomentar colaboración. //t.co/GWYgaj9jfY

— Trello (@trello) 12 de outubro de 2020

Zendesk

Tamén autorizado en maio, Zendesk é usado por:

  • o Departamento de Enerxía,
  • a Axencia Federal de Financiamento da Vivenda
  • a Oficina do Inspector Xeral da FHFA e
  • a Administración de Servizos Xerais.

A plataforma de asistencia ao cliente e mesa de axuda de Zendesk ten autorización Li-Saas.

A partir de hoxe podemos facilitar que as axencias gobernamentais traballen connosco xa que @Zendesk está agora autorizado por FedRAMP. Moitas grazas a todos os equipos de dentro e fóra de Zendesk polo esforzo realizado neste. //t.co/A0HVwjhGsv

— Mikkel Svane (@mikkelsvane) 22 de maio de 2020

FedRAMP para a xestión de redes sociais

SMMExpert é FedRAMPautorizado. Agora as axencias gobernamentais poden traballar facilmente co líder mundial na xestión de redes sociais para interactuar cos cidadáns, xestionar as comunicacións de crise e ofrecer servizos e información a través das redes sociais.

Solicitar unha demostración

comezou a substituír solucións obsoletas de software conectado. Naceu da estratexia "Cloud First" do goberno dos Estados Unidos. Esa estratexia esixía que as axencias considerasen as solucións baseadas na nube como primeira opción.

Antes de FedRAMP, os provedores de servizos na nube tiñan que preparar un paquete de autorización para cada axencia coa que querían traballar. Os requisitos non eran consistentes. E houbo moitos esforzos duplicados tanto para os provedores como para as axencias.

FedRAMP introduciu coherencia e axilizou o proceso.

Agora, as avaliacións e os requisitos están estandarizados. Varias axencias gobernamentais poden reutilizar o paquete de seguranza de autorización de FedRAMP do provedor.

A utilización inicial de FedRAMP foi lenta. Só se autorizaron 20 ofertas de servizos na nube nos primeiros catro anos. Pero o ritmo aumentou realmente desde 2018, e agora hai 204 produtos na nube autorizados por FedRAMP.

Fonte: FedRAMP

FedRAMP está controlado por unha Xunta de Autorización Conxunta (JAB). O consello está formado por representantes de:

  • o Departamento de Seguridade Nacional
  • a Administración de Servizos Xerais e
  • o Departamento de Defensa.

O programa está avalado polo Consello Federal de Xefes de Información do goberno dos Estados Unidos.

Por que é importante a certificación FedRAMP?

Todos os servizos na nube que conteñen datos federais requiren autorización de FedRAMP. Entón, se queres traballaro goberno federal, a autorización de FedRAMP é unha parte importante do seu plan de seguridade.

FedRAMP é importante porque garante a coherencia na seguridade dos servizos na nube do goberno e porque garante a coherencia na avaliación e seguimento desa seguridade. Ofrece un conxunto de estándares para todas as axencias gobernamentais e todos os provedores de nube.

Os provedores de servizos de nube autorizados por FedRAMP figuran no mercado de FedRAMP. Este mercado é o primeiro lugar no que miran as axencias gobernamentais cando queren obter unha nova solución baseada na nube. É moito máis fácil e rápido para unha axencia usar un produto que xa está autorizado que iniciar o proceso de autorización cun novo provedor.

Entón, unha lista no mercado de FedRAMP fai que teñas moitas máis probabilidades de conseguir negocios adicionais de axencias gobernamentais. Pero tamén pode mellorar o teu perfil no sector privado.

Isto débese a que o mercado FedRAMP é visible para o público. Calquera empresa do sector privado pode desprazarse pola lista de solucións autorizadas por FedRAMP.

É un gran recurso cando buscan obter un produto ou servizo seguro na nube.

A autorización de FedRAMP pode facer que calquera cliente máis seguro dos protocolos de seguridade. Representa un compromiso continuo de cumprir os máis altos estándares de seguridade.

A autorización FedRAMP aumenta significativamente a súa credibilidade de seguranza.máis aló do mercado FedRAMP, tamén. Podes compartir a túa autorización de FedRAMP nas redes sociais e no teu sitio web.

A verdade é que a maioría dos teus clientes probablemente non saiban que é FedRAMP. Non lles importa se estás autorizado ou non. Pero para aqueles grandes clientes que entenden FedRAMP, tanto no sector público como no privado, a falta de autorización pode ser un problema.

Que se necesita para ter a certificación FedRAMP?

Hai son dúas formas diferentes de ser autorizado por FedRAMP.

1. Autoridade provisional para operar da Xunta Conxunta de Autorizacións (JAB)

Neste proceso, a JAB emite unha autorización provisional. Iso permite ás axencias saber que o risco foi revisado.

É unha primeira aprobación importante. Pero calquera axencia que queira utilizar o servizo aínda ten que emitir a súa propia Autoridade para operar.

Este proceso é o máis adecuado para provedores de servizos na nube con risco alto ou moderado. (Afondaremos nos niveis de risco na seguinte sección.)

Aquí tes unha visión xeral visual do proceso JAB:

Fonte: FedRAMP

2. Autoridade da axencia para operar

Neste proceso, o provedor de servizos na nube establece unha relación cunha axencia federal específica. Esa axencia está implicada durante todo o proceso. Se o proceso ten éxito, a axencia emite unha carta de autoridade para operar.

Fonte: FedRAMP

Pasos para a autorización de FedRAMP

Independientemente do tipo de autorización que solicite, a autorización de FedRAMP implica catro pasos principais:

  1. Desenvolvemento do paquete. Primeiro, hai unha reunión de inicio de autorización. A continuación, o provedor completa un Plan de seguridade do sistema. A continuación, unha organización de avaliación de terceiros aprobada por FedRAMP elabora un Plan de Avaliación de Seguridade.
  2. Avaliación. A organización de avaliación envía un informe de Avaliación de Seguridade. O provedor crea un Plan de Acción & Fitos.
  3. Autorización. O JAB ou a axencia autorizadora decide se o risco descrito é aceptable. En caso afirmativo, envían unha carta da autoridade para operar á oficina de xestión de proxectos de FedRAMP. A continuación, o provedor aparece no mercado de FedRAMP.
  4. Monitorización. O provedor envía entregas mensuales de seguimento de seguridade a cada axencia que utiliza o servizo.

A mellor autorización de FedRAMP prácticas

O proceso para conseguir a autorización FedRAMP pode ser difícil. Pero é do mellor interese de todos os implicados que os provedores de servizos na nube teñan éxito unha vez que inicien o proceso de autorización.

Para axudar, FedRAMP entrevistou a varias pequenas empresas e novas empresas sobre as leccións aprendidas durante a autorización. Estes son os seus sete mellores consellos para navegar con éxito polo proceso de autorización:

  1. Comprende comomapas de produtos a FedRAMP, incluída unha análise de lagoas.
  2. Obtén a aceptación e o compromiso da organización, incluído o equipo executivo e os equipos técnicos.
  3. Busca unha axencia socia, unha que estea a utilizar o teu produto. ou está comprometido a facelo.
  4. Dedica tempo a definir con precisión o teu límite. Isto inclúe:
    • componentes internos
    • conexións a servizos externos e
    • o fluxo de información e metadatos.
  5. Pense en FedRAMP como un programa continuo, e non só un proxecto cunha data de inicio e finalización. Os servizos deben ser supervisados ​​continuamente.
  6. Considera coidadosamente o teu enfoque de autorización. É posible que varios produtos requiran varias autorizacións.
  7. O PMO de FedRAMP é un recurso valioso. Poden responder preguntas técnicas e axudarche a planificar a túa estratexia.

    FedRAMP ofrece modelos para axudar aos provedores de servizos na nube a prepararse para o cumprimento de FedRAMP.

    Cales son as categorías. de conformidade con FedRAMP?

    FedRAMP ofrece catro niveis de impacto para servizos con diferentes tipos de risco. Baséanse nos posibles impactos dunha violación da seguridade en tres áreas diferentes.

    • Confidencialidade: Proteccións para a privacidade e a información propietaria.
    • Integridade: Proteccións contra a modificación ou destrución da información.
    • Dispoñibilidade: Acceso oportuno e fiable aos datos.

    Os tres primeirosOs niveis de impacto baséanse no Federal Information Processing Standard (FIPS) 199 do National Institute of Standards and Technology (NIST). O cuarto está baseado na publicación especial NIST 800-37. Os niveis de impacto son:

    • Alto, baseado en 421 controis. “A perda de confidencialidade, integridade ou dispoñibilidade podería ter un efecto adverso grave ou catastrófico na organización. operacións, activos organizativos ou individuos”. Isto adoita aplicarse aos sistemas de aplicación da lei, servizos de emerxencia, financeiros e de saúde.
    • Moderado, baseado en 325 controis. "É posible que a perda de confidencialidade, integridade ou dispoñibilidade teña un efecto adverso grave sobre as operacións da organización, os activos da organización ou os individuos”. Case o 80 por cento das aplicacións de FedRAMP aprobadas atópanse nun nivel de impacto moderado.
    • Baixo, baseado en 125 controis. "Pódese esperar que a perda de confidencialidade, integridade ou dispoñibilidade teña un límite limitado. efecto adverso sobre as operacións da organización, os activos da organización ou os individuos.”
    • Software-as-a-Service (LI-SaaS) de baixo impacto, baseado en 36 controis . Para "sistemas de baixo risco para usos como ferramentas de colaboración, aplicacións de xestión de proxectos e ferramentas que axudan a desenvolver código de código aberto". Esta categoría tamén se coñece como FedRAMP Tailored.

    Esta última categoría engadiuse en 2017para facilitar ás axencias a aprobación de "casos de uso de baixo risco". Para cualificar para FedRAMP Tailored, o provedor debe responder si a seis preguntas. Estes publícanse na páxina de políticas de FedRAMP Tailored:

    • O servizo funciona nun ambiente de nube?
    • Está o servizo de nube totalmente operativo?
    • Está a nube dar servizo a un Software como servizo (SaaS), segundo se define no NIST SP 800-145, The NIST Definition of Cloud Computing?
    • O servizo na nube non contén información de identificación persoal (PII), excepto cando sexa necesario para proporcionar unha capacidade de inicio de sesión (nome de usuario, contrasinal e enderezo de correo electrónico)?
    • O servizo na nube ten un impacto baixo na seguridade, tal e como define FIPS PUB 199, Standards for Security Categorization of Federal Information and Information Systems?
    • O servizo en nube está aloxado nunha Plataforma como servizo (PaaS) ou Infraestrutura como servizo (IaaS) autorizada por FedRAMP, ou o CSP proporciona a infraestrutura de nube subxacente?

    Ten en conta que lograr o cumprimento de FedRAMP non é unha tarefa puntual. Lembras a fase de seguimento da autorización FedRAMP? Isto significa que terás que enviar auditorías de seguridade periódicas para garantir que manteñas FedRAMP.

    Bonificación: Le a guía paso a paso da estratexia de redes sociais con consellos profesionais sobre como aumentar a súa presenza nas redes sociais.

    Obtén a guía gratuíta agora mesmo!

    Exemplos de certificados FedRAMPprodutos

    Hai moitos tipos de produtos e servizos autorizados por FedRAMP. Aquí tes algúns exemplos de provedores de servizos na nube que coñeces e que xa podes usar ti mesmo.

    Amazon Web Services

    Hai dúas fichas de AWS no FedRAMP Marketplace. AWS GovCloud está autorizado a nivel alto. AWS US East/West está autorizado no nivel Moderado.

    Escoiches? Os clientes de AWS GovCloud (EE. UU.) poden usar #AmazonEFS para cargas de traballo de ficheiros de misión crítica grazas á obtención recentemente da autorización FedRAMP High. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    — AWS for Government (@AWS_Gov) 18 de outubro de 2019

    AWS GovCloud ten a friolera de 292 autorizacións. AWS US East/West ten 250 autorizacións. Iso é moito máis que calquera outro listado no mercado FedRAMP.

    Adobe Analytics

    Adobe Analytics foi autorizado en 2019. Utilízao os Centros para o Control e a Prevención de Enfermidades e o Departamento de Saúde e Servizos Humanos. Está autorizado a nivel LI-SaaS.

    Adobe realmente ten varios produtos autorizados a nivel LI-SaaS. (Como Adobe Campaign e Adobe Document Cloud.) Tamén teñen un par de produtos autorizados no nivel Moderado:

    • Servizos xestionados de Adobe Connect
    • Servizos xestionados de Adobe Experience Manager.

    Adobe está actualmente en proceso de pasar de FedRAMP Tailored Authorization a FedRAMP Moderate

    Publicación anterior A guía de estilo de redes sociais perfecta para a túa marca en 2023
    Próxima publicación 8 Consellos para unha adquisición impecable de Instagram

    Kimberly Parker é unha experimentada profesional do marketing dixital con máis de 10 anos de experiencia na industria. Como fundadora da súa propia axencia de marketing en redes sociais, axudou a numerosas empresas de varias industrias a establecer e facer crecer a súa presenza en liña a través de estratexias eficaces de redes sociais. Kimberly tamén é unha escritora prolífica, que contribuíu con artigos sobre redes sociais e mercadotecnia dixital en varias publicacións de renome. No seu tempo libre encántalle experimentar con novas receitas na cociña e dar longos paseos co seu can.