Sertifikasi FedRAMP: Apa Itu, Mengapa Penting, dan Siapa yang Memilikinya

Kimberly Parker

29-05-2023 Strategi
  • Bagikan Ini
Kimberly Parker

Peretasan kamera selebriti. Spionase siber berbasis negara. Dan segala sesuatu di antaranya. Keamanan data memiliki banyak sekali aplikasi. Dan ini menjadi perhatian utama bagi semua orang yang menggunakan atau memasok layanan berbasis cloud.

Ketika data pemerintah dilibatkan, kekhawatiran tersebut dapat mencapai tingkat keamanan nasional. Itulah sebabnya pemerintah A.S. mengharuskan semua layanan cloud yang digunakan oleh agen federal untuk memenuhi serangkaian standar keamanan yang cermat yang dikenal sebagai FedRAMP.

Jadi, apa itu FedRAMP, dan apa yang diperlukan? Anda berada di tempat yang tepat untuk mencari tahu.

Bonus: Baca panduan strategi media sosial langkah demi langkah dengan kiat-kiat pro tentang cara mengembangkan kehadiran media sosial Anda.

Apa itu FedRAMP?

FedRAMP adalah singkatan dari "Program Manajemen Risiko dan Otorisasi Federal." FedRAMP menstandarkan penilaian keamanan dan otorisasi untuk produk dan layanan cloud yang digunakan oleh agen federal AS.

Tujuannya adalah untuk memastikan data federal secara konsisten dilindungi pada tingkat tinggi di cloud.

Mendapatkan otorisasi FedRAMP adalah bisnis yang serius. Tingkat keamanan yang diperlukan diamanatkan oleh hukum. Ada 14 undang-undang dan peraturan yang berlaku, bersama dengan 19 standar dan dokumen panduan. Ini adalah salah satu sertifikasi perangkat lunak-sebagai-layanan yang paling ketat di dunia.

Berikut ini adalah pengenalan singkat:

FedRAMP telah ada sejak 2012. Saat itulah teknologi cloud benar-benar mulai menggantikan solusi perangkat lunak tertambat yang sudah ketinggalan zaman. Itu lahir dari strategi "Cloud First" pemerintah A.S. Strategi itu mengharuskan agensi untuk melihat solusi berbasis cloud sebagai pilihan pertama.

Sebelum FedRAMP, penyedia layanan cloud harus menyiapkan paket otorisasi untuk setiap agensi yang ingin mereka ajak bekerja sama. Persyaratannya tidak konsisten. Dan ada banyak upaya duplikat untuk penyedia dan agensi.

FedRAMP memperkenalkan konsistensi dan merampingkan prosesnya.

Sekarang, evaluasi dan persyaratan distandarisasi. Beberapa lembaga pemerintah dapat menggunakan kembali paket keamanan otorisasi FedRAMP penyedia.

Serapan awal FedRAMP lambat. Hanya 20 penawaran layanan cloud yang disahkan dalam empat tahun pertama. Tetapi kecepatannya benar-benar meningkat sejak 2018, dan sekarang ada 204 produk cloud resmi FedRAMP.

Sumber: FedRAMP

FedRAMP dikendalikan oleh Dewan Otorisasi Bersama (JAB). Dewan ini terdiri dari perwakilan dari:

  • Departemen Keamanan Dalam Negeri
  • Administrasi Layanan Umum, dan
  • Departemen Pertahanan.

Program ini didukung oleh Dewan Kepala Petugas Informasi Federal pemerintah A.S.

Mengapa sertifikasi FedRAMP penting?

Semua layanan cloud yang memegang data federal memerlukan otorisasi FedRAMP. Jadi, jika Anda ingin bekerja dengan pemerintah federal, otorisasi FedRAMP adalah bagian penting dari rencana keamanan Anda.

FedRAMP penting karena memastikan konsistensi dalam keamanan layanan cloud pemerintah - dan karena memastikan konsistensi dalam mengevaluasi dan memantau keamanan tersebut. Ini memberikan satu set standar untuk semua lembaga pemerintah dan semua penyedia cloud.

Penyedia layanan cloud yang diberi otorisasi FedRAMP terdaftar di FedRAMP Marketplace. Pasar ini adalah tempat pertama yang dilihat oleh lembaga pemerintah ketika mereka ingin mencari solusi berbasis cloud yang baru. Jauh lebih mudah dan lebih cepat bagi agensi untuk menggunakan produk yang sudah diotorisasi daripada memulai proses otorisasi dengan vendor baru.

Jadi, daftar di pasar FedRAMP membuat Anda jauh lebih mungkin mendapatkan bisnis tambahan dari lembaga pemerintah. Tetapi juga dapat meningkatkan profil Anda di sektor swasta.

Itu karena pasar FedRAMP dapat dilihat oleh publik. Setiap perusahaan sektor swasta dapat menggulir daftar solusi resmi FedRAMP.

Ini adalah sumber daya yang bagus ketika mereka mencari sumber produk atau layanan cloud yang aman.

Otorisasi FedRAMP dapat membuat klien lebih percaya diri tentang protokol keamanan. Ini merupakan komitmen berkelanjutan untuk memenuhi standar keamanan tertinggi.

Otorisasi FedRAMP secara signifikan meningkatkan kredibilitas keamanan Anda di luar FedRAMP Marketplace juga. Anda dapat membagikan otorisasi FedRAMP Anda di media sosial dan di situs web Anda.

Yang benar adalah bahwa sebagian besar klien Anda mungkin tidak tahu apa itu FedRAMP. Mereka tidak peduli apakah Anda berwenang atau tidak. Tetapi bagi klien-klien besar yang memahami FedRAMP - baik di sektor publik maupun swasta - kurangnya otorisasi mungkin merupakan pemecah kesepakatan.

Apa yang diperlukan untuk mendapatkan sertifikasi FedRAMP?

Ada dua cara berbeda untuk menjadi FedRAMP resmi.

1. Kewenangan Sementara Dewan Otorisasi Bersama (JAB) untuk Beroperasi

Dalam proses ini, JAB mengeluarkan otorisasi sementara, yang memungkinkan lembaga mengetahui bahwa risikonya telah ditinjau.

Ini merupakan persetujuan pertama yang penting. Tetapi setiap lembaga yang ingin menggunakan layanan ini masih harus mengeluarkan Otoritas untuk Beroperasi mereka sendiri.

Proses ini paling cocok untuk penyedia layanan cloud dengan risiko tinggi atau sedang. (Kami akan menyelami tingkat risiko di bagian selanjutnya).

Berikut ini ikhtisar visual proses JAB:

Sumber: FedRAMP

2. Kewenangan Badan untuk Beroperasi

Dalam proses ini, penyedia layanan cloud menjalin hubungan dengan agen federal tertentu. Agen tersebut terlibat selama proses berlangsung. Jika prosesnya berhasil, agen tersebut mengeluarkan surat Otoritas untuk Beroperasi.

Sumber: FedRAMP

Langkah-langkah untuk otorisasi FedRAMP

Apa pun jenis otorisasi yang Anda kejar, otorisasi FedRAMP melibatkan empat langkah utama:

  1. Pengembangan paket. Pertama, ada pertemuan awal otorisasi. Kemudian penyedia menyelesaikan Rencana Keamanan Sistem. Selanjutnya, organisasi penilaian pihak ketiga yang disetujui FedRAMP mengembangkan Rencana Penilaian Keamanan.
  2. Penilaian. Organisasi penilai menyerahkan laporan Penilaian Keamanan. Penyedia layanan membuat Rencana Tindakan &; Milestone.
  3. Otorisasi. JAB atau lembaga yang mengotorisasi memutuskan apakah risiko seperti yang dijelaskan dapat diterima. Jika ya, mereka menyerahkan surat Otoritas untuk Beroperasi ke kantor manajemen proyek FedRAMP. Penyedia kemudian terdaftar di FedRAMP Marketplace.
  4. Pemantauan. Penyedia mengirimkan hasil pemantauan keamanan bulanan kepada setiap lembaga yang menggunakan layanan ini.

Praktik terbaik otorisasi FedRAMP

Proses mencapai otorisasi FedRAMP bisa jadi sulit. Tetapi demi kepentingan terbaik semua orang yang terlibat agar penyedia layanan cloud berhasil begitu mereka memulai proses otorisasi.

Untuk membantu, FedRAMP mewawancarai beberapa usaha kecil dan start-up tentang pelajaran yang dipetik selama otorisasi. Berikut adalah tujuh tips terbaik mereka agar berhasil menavigasi proses otorisasi:

  1. Pahami bagaimana produk Anda dipetakan ke FedRAMP - termasuk analisis kesenjangan.
  2. Dapatkan dukungan dan komitmen organisasi - termasuk dari tim eksekutif dan tim teknis.
  3. Temukan mitra agensi - yang menggunakan produk Anda atau berkomitmen untuk melakukannya.
  4. Luangkan waktu untuk mendefinisikan batasan Anda secara akurat. Itu termasuk:
    • komponen internal
    • koneksi ke layanan eksternal, dan
    • aliran informasi dan metadata.
  5. Pikirkan FedRAMP sebagai program berkelanjutan, bukan hanya proyek dengan tanggal mulai dan berakhir. Layanan harus terus dipantau.
  6. Pertimbangkan pendekatan otorisasi Anda dengan cermat. Beberapa produk mungkin memerlukan beberapa otorisasi.
  7. PMO FedRAMP adalah sumber daya yang berharga. Mereka dapat menjawab pertanyaan teknis dan membantu Anda merencanakan strategi Anda.

    FedRAMP menawarkan templat untuk membantu penyedia layanan cloud mempersiapkan kepatuhan FedRAMP.

    Apa saja kategori kepatuhan FedRAMP?

    FedRAMP menawarkan empat tingkat dampak untuk layanan dengan berbagai jenis risiko. Mereka didasarkan pada dampak potensial dari pelanggaran keamanan di tiga area berbeda.

    • Kerahasiaan: Perlindungan untuk privasi dan informasi hak milik.
    • Integritas: Perlindungan terhadap modifikasi atau penghancuran informasi.
    • Ketersediaan: Akses data yang tepat waktu dan dapat diandalkan.

    Tiga tingkat dampak pertama didasarkan pada Federal Information Processing Standard (FIPS) 199 dari National Institute of Standards and Technology (NIST). Tingkat keempat didasarkan pada NIST Special Publication 800-37. Tingkat dampaknya adalah:

    • Tinggi, berdasarkan 421 kontrol. "Hilangnya kerahasiaan, integritas, atau ketersediaan dapat diperkirakan memiliki efek merugikan yang parah atau bencana pada operasi organisasi, aset organisasi, atau individu." Ini biasanya berlaku untuk penegakan hukum, layanan darurat, keuangan, dan sistem kesehatan.
    • Sedang, berdasarkan 325 kontrol. "Hilangnya kerahasiaan, integritas, atau ketersediaan dapat diperkirakan memiliki efek merugikan yang serius pada operasi organisasi, aset organisasi, atau individu." Hampir 80 persen aplikasi FedRAMP yang disetujui berada pada tingkat dampak sedang.
    • Rendah, berdasarkan 125 kontrol. "Hilangnya kerahasiaan, integritas, atau ketersediaan dapat diperkirakan memiliki efek merugikan yang terbatas pada operasi organisasi, aset organisasi, atau individu."
    • Perangkat Lunak Berdampak Rendah sebagai Layanan (LI-SaaS), berdasarkan 36 kontrol Untuk "sistem yang berisiko rendah untuk penggunaan seperti alat kolaborasi, aplikasi manajemen proyek, dan alat yang membantu mengembangkan kode sumber terbuka." Kategori ini juga dikenal sebagai FedRAMP Tailored.

    Kategori terakhir ini ditambahkan pada tahun 2017 untuk memudahkan agensi menyetujui "kasus penggunaan berisiko rendah." Agar memenuhi syarat untuk FedRAMP Tailored, penyedia harus menjawab ya untuk enam pertanyaan. Ini diposting di halaman kebijakan FedRAMP Tailored:

    • Apakah layanan beroperasi di lingkungan cloud?
    • Apakah layanan cloud beroperasi penuh?
    • Apakah layanan cloud adalah Perangkat Lunak sebagai Layanan (SaaS), seperti yang didefinisikan oleh NIST SP 800-145, Definisi NIST tentang Komputasi Awan?
    • Layanan cloud tidak mengandung informasi yang dapat diidentifikasi secara pribadi (PII), kecuali yang diperlukan untuk memberikan kemampuan login (nama pengguna, kata sandi, dan alamat email)?
    • Apakah layanan cloud berdampak keamanan rendah, seperti yang didefinisikan oleh FIPS PUB 199, Standar untuk Kategorisasi Keamanan Informasi Federal dan Sistem Informasi?
    • Apakah layanan cloud dihosting dalam Platform sebagai Layanan (PaaS) atau Infrastruktur sebagai Layanan (IaaS) yang diotorisasi FedRAMP, atau apakah CSP menyediakan infrastruktur cloud yang mendasarinya?

    Ingatlah bahwa mencapai kepatuhan FedRAMP bukanlah tugas satu kali. Ingat tahap Pemantauan otorisasi FedRAMP? Itu berarti Anda harus mengirimkan audit keamanan reguler untuk memastikan Anda tinggal Sesuai dengan FedRAMP.

    Bonus: Baca panduan strategi media sosial langkah demi langkah dengan kiat-kiat pro tentang cara mengembangkan kehadiran media sosial Anda.

    Dapatkan panduan gratis sekarang juga!

    Contoh produk bersertifikat FedRAMP

    Ada banyak jenis produk dan layanan resmi FedRAMP. Berikut adalah beberapa contoh dari penyedia layanan cloud yang Anda kenal dan mungkin sudah Anda gunakan sendiri.

    Layanan Web Amazon

    Ada dua daftar AWS di FedRAMP Marketplace. AWS GovCloud disahkan pada tingkat Tinggi. AWS US East/West disahkan pada tingkat Sedang.

    Apakah Anda mendengar? Pelanggan AWS GovCloud (AS) dapat menggunakan #AmazonEFS untuk beban kerja file yang sangat penting berkat otorisasi FedRAMP High yang baru-baru ini dicapai. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    - AWS untuk Pemerintah (@AWS_Gov) 18 Oktober 2019

    AWS GovCloud memiliki otorisasi 292. AWS US East/West memiliki otorisasi 250. Itu jauh lebih banyak daripada daftar lainnya di FedRAMP Marketplace.

    Adobe Analytics

    Adobe Analytics disahkan pada tahun 2019. Ini digunakan oleh Pusat Pengendalian dan Pencegahan Penyakit dan Departemen Kesehatan dan Layanan Kemanusiaan. Ini disahkan di tingkat LI-SaaS.

    Adobe sebenarnya memiliki beberapa produk yang diotorisasi pada tingkat LI-SaaS. (Seperti Adobe Campaign dan Adobe Document Cloud.) Mereka juga memiliki beberapa produk yang diotorisasi pada tingkat Moderate:

    • Layanan Terkelola Adobe Connect
    • Layanan Terkelola Adobe Experience Manager.

    Adobe saat ini sedang dalam proses pindah dari otorisasi FedRAMP Tailored ke otorisasi FedRAMP Moderate untuk Adobe Sign.

    Pelajari lebih lanjut tentang bagaimana @Adobe Sign bekerja untuk berpindah dari FedRAMP Tailored ke patung FedRAMP Moderate di sini: //t.co/cYjihF9KkP

    - AdobeSecurity (@AdobeSecurity) 12 Agustus 2020

    Ingatlah bahwa yang mendapatkan otorisasi adalah layanannya, bukan penyedia layanannya. Seperti Adobe, Anda mungkin harus mengejar beberapa otorisasi jika Anda menawarkan lebih dari satu solusi berbasis cloud.

    Kendur

    Diotorisasi pada bulan Mei tahun ini, Slack memiliki 21 otorisasi FedRAMP. Produk ini diotorisasi pada tingkat Moderat. Ini digunakan oleh agensi termasuk:

    • Pusat Pengendalian dan Perlindungan Penyakit,
    • Komisi Komunikasi Federal, dan
    • Yayasan Ilmu Pengetahuan Nasional.

    Sektor publik A.S. sekarang dapat menjalankan lebih banyak pekerjaan mereka di Slack, berkat otorisasi FedRAMP Moderate kami yang baru. Dan dengan memenuhi persyaratan keamanan yang ketat tersebut, kami juga menjaga keamanan untuk setiap perusahaan lain yang menggunakan Slack. //t.co/dlra7qVQ9F

    - Slack (@SlackHQ) 13 Agustus 2020

    Slack awalnya menerima otorisasi FedRAMP Tailored. Kemudian, mereka mengejar otorisasi Moderat dengan bermitra dengan Departemen Urusan Veteran.

    Slack memastikan untuk menarik perhatian pada manfaat keamanan dari otorisasi ini untuk klien sektor swasta di situs webnya:

    "Otorisasi terbaru ini diterjemahkan ke dalam pengalaman yang lebih aman bagi pelanggan Slack, termasuk bisnis sektor swasta yang tidak memerlukan lingkungan resmi FedRAMP. Semua pelanggan yang menggunakan penawaran komersial Slack dapat memperoleh manfaat dari langkah-langkah keamanan yang lebih tinggi yang diperlukan untuk mencapai sertifikasi FedRAMP."

    Trello Enterprise Cloud

    Trello baru saja diberikan otorisasi Li-SaaS pada bulan September. Trello sejauh ini hanya digunakan oleh Administrasi Layanan Umum. Tetapi perusahaan ingin mengubahnya, seperti yang terlihat dalam posting sosial mereka tentang status FedRAMP baru mereka:

    🏛️Dengan otorisasi FedRAMP Trello, agensi Anda sekarang dapat menggunakan Trello untuk meningkatkan produktivitas, memecah silo tim, dan mendorong kolaborasi. //t.co/GWYgaj9jfY

    - Trello (@trello) 12 Oktober 2020

    Zendesk

    Juga disahkan pada bulan Mei, Zendesk digunakan oleh:

    • Departemen Energi,
    • Badan Keuangan Perumahan Federal
    • Kantor Inspektur Jenderal FHFA, dan
    • Administrasi Layanan Umum.

    Platform Dukungan Pelanggan dan Help Desk Zendesk memiliki otorisasi Li-Saas.

    Mulai hari ini kami dapat mempermudah lembaga pemerintah untuk bekerja sama dengan kami karena @Zendesk sekarang telah memiliki izin FedRAMP. Terima kasih kepada semua tim di dalam dan di luar Zendesk atas upaya yang dilakukan untuk ini. //t.co/A0HVwjhGsv

    - Mikkel Svane (@mikkelsvane) 22 Mei 2020

    FedRAMP untuk manajemen media sosial

    Lembaga pemerintah sekarang dapat dengan mudah bekerja dengan pemimpin global dalam manajemen media sosial untuk terlibat dengan warga, mengelola komunikasi krisis, dan memberikan layanan dan informasi melalui media sosial.

    Minta Demo

    Postingan sebelumnya Panduan Gaya Media Sosial yang Sempurna untuk Merek Anda pada tahun 2023
    Postingan berikutnya 8 Kiat untuk Pengambilalihan Instagram yang Sempurna

    Kimberly Parker adalah profesional pemasaran digital berpengalaman dengan pengalaman lebih dari 10 tahun di industri ini. Sebagai pendiri agensi pemasaran media sosialnya sendiri, dia telah membantu banyak bisnis di berbagai industri membangun dan mengembangkan kehadiran online mereka melalui strategi media sosial yang efektif. Kimberly juga seorang penulis yang produktif, telah menyumbangkan artikel di media sosial dan pemasaran digital ke beberapa publikasi terkemuka. Di waktu luangnya, dia suka bereksperimen dengan resep baru di dapur dan berjalan-jalan dengan anjingnya.