Certificazione FedRAMP: cos'è, perché è importante e chi la possiede

Kimberly Parker

29-05-2023 Strategia
  • Condividi Questo
Kimberly Parker

La sicurezza dei dati ha una vasta gamma di applicazioni ed è una delle principali preoccupazioni per tutti coloro che utilizzano o forniscono servizi basati sul cloud.

Quando si tratta di dati governativi, queste preoccupazioni possono raggiungere il livello di sicurezza nazionale. Ecco perché il governo degli Stati Uniti richiede che tutti i servizi cloud utilizzati dalle agenzie federali soddisfino una serie di standard di sicurezza meticolosi noti come FedRAMP.

Che cos'è FedRAMP e che cosa comporta? Siete nel posto giusto per scoprirlo.

Bonus: Leggete la guida alla strategia dei social media passo dopo passo con i consigli dei professionisti su come far crescere la vostra presenza sui social media.

Che cos'è FedRAMP?

FedRAMP è l'acronimo di "Federal Risk and Authorization Management Program" (Programma federale di gestione dei rischi e delle autorizzazioni), che standardizza la valutazione e l'autorizzazione della sicurezza per i prodotti e i servizi cloud utilizzati dalle agenzie federali statunitensi.

L'obiettivo è garantire che i dati federali siano costantemente protetti ad alto livello nel cloud.

Ottenere l'autorizzazione FedRAMP è una cosa seria. Il livello di sicurezza richiesto è imposto dalla legge. Ci sono 14 leggi e regolamenti applicabili, oltre a 19 standard e documenti guida. È una delle certificazioni software-as-a-service più rigorose al mondo.

Ecco una rapida introduzione:

FedRAMP esiste dal 2012, quando le tecnologie cloud hanno iniziato a sostituire le obsolete soluzioni software vincolate. È nato dalla strategia "Cloud First" del governo degli Stati Uniti, che imponeva alle agenzie di considerare le soluzioni basate sul cloud come una prima scelta.

Prima di FedRAMP, i fornitori di servizi cloud dovevano preparare un pacchetto di autorizzazioni per ogni agenzia con cui volevano lavorare. I requisiti non erano coerenti e c'erano molti sforzi doppi sia per i fornitori che per le agenzie.

FedRAMP ha introdotto la coerenza e snellito il processo.

Ora le valutazioni e i requisiti sono standardizzati e più agenzie governative possono riutilizzare il pacchetto di sicurezza del fornitore con autorizzazione FedRAMP.

L'adozione iniziale di FedRAMP è stata lenta: nei primi quattro anni sono state autorizzate solo 20 offerte di servizi cloud. Ma dal 2018 il ritmo si è davvero accelerato e ora ci sono 204 prodotti cloud autorizzati FedRAMP.

Fonte: FedRAMP

FedRAMP è controllato da un Joint Authorization Board (JAB), composto da rappresentanti di:

  • il Dipartimento di Sicurezza Nazionale
  • l'Amministrazione dei Servizi Generali e
  • il Dipartimento della Difesa.

Il programma è approvato dal Federal Chief Information Officers Council del governo statunitense.

Perché la certificazione FedRAMP è importante?

Tutti i servizi cloud che contengono dati federali richiedono l'autorizzazione FedRAMP. Pertanto, se volete lavorare con il governo federale, l'autorizzazione FedRAMP è una parte importante del vostro piano di sicurezza.

FedRAMP è importante perché garantisce l'uniformità della sicurezza dei servizi cloud del governo e l'uniformità della valutazione e del monitoraggio di tale sicurezza. Fornisce un unico insieme di standard per tutte le agenzie governative e tutti i fornitori di cloud.

I fornitori di servizi cloud autorizzati FedRAMP sono elencati nel FedRAMP Marketplace, il primo luogo in cui le agenzie governative cercano una nuova soluzione basata sul cloud. È molto più facile e veloce per un'agenzia utilizzare un prodotto già autorizzato piuttosto che iniziare il processo di autorizzazione con un nuovo fornitore.

Quindi, l'inserimento nel mercato FedRAMP aumenta le probabilità di ottenere ulteriori affari dalle agenzie governative, ma può anche migliorare il vostro profilo nel settore privato.

Questo perché il marketplace FedRAMP è visibile al pubblico: qualsiasi azienda del settore privato può scorrere l'elenco delle soluzioni autorizzate FedRAMP.

È un'ottima risorsa quando cercano un prodotto o un servizio cloud sicuro.

L'autorizzazione FedRAMP può rendere qualsiasi cliente più fiducioso nei confronti dei protocolli di sicurezza e rappresenta un impegno costante a rispettare i più elevati standard di sicurezza.

L'autorizzazione FedRAMP aumenta significativamente la credibilità della vostra sicurezza anche al di fuori del FedRAMP Marketplace: potete condividere la vostra autorizzazione FedRAMP sui social media e sul vostro sito web.

La verità è che la maggior parte dei vostri clienti probabilmente non sa cosa sia FedRAMP e non gli interessa se siete autorizzati o meno. Ma per quei grandi clienti che conoscono FedRAMP, sia nel settore pubblico che in quello privato, la mancanza di autorizzazione può essere un ostacolo.

Cosa serve per ottenere la certificazione FedRAMP?

Esistono due modi diversi per ottenere l'autorizzazione FedRAMP.

1. Autorità provvisoria di esercizio della Commissione per le autorizzazioni congiunte (JAB)

In questo processo, il JAB rilascia un'autorizzazione provvisoria che consente alle agenzie di sapere che il rischio è stato esaminato.

Si tratta di una prima importante approvazione, ma ogni agenzia che voglia utilizzare il servizio deve ancora emettere la propria Authority to Operate.

Questo processo è più adatto ai fornitori di servizi cloud con un rischio elevato o moderato (approfondiremo i livelli di rischio nella prossima sezione).

Ecco una panoramica visiva del processo JAB:

Fonte: FedRAMP

2. Autorità dell'Agenzia per operare

In questo processo, il fornitore di servizi cloud stabilisce un rapporto con una specifica agenzia federale, che viene coinvolta durante tutto il processo. Se il processo ha successo, l'agenzia rilascia una lettera di autorizzazione a operare.

Fonte: FedRAMP

Fasi dell'autorizzazione FedRAMP

Indipendentemente dal tipo di autorizzazione, l'autorizzazione FedRAMP prevede quattro fasi principali:

  1. Sviluppo del pacchetto. In primo luogo, c'è una riunione di avvio dell'autorizzazione, poi il fornitore completa un Piano di sicurezza del sistema, quindi un'organizzazione di valutazione di terze parti approvata da FedRAMP sviluppa un Piano di valutazione della sicurezza.
  2. Valutazione. L'organizzazione di valutazione invia un rapporto di valutazione della sicurezza. Il fornitore crea un piano d'azione e delle tappe.
  3. Autorizzazione. Il JAB o l'agenzia autorizzante decide se il rischio descritto è accettabile e, in caso affermativo, invia una lettera di autorizzazione a operare all'ufficio di gestione del progetto FedRAMP. Il fornitore viene quindi inserito nel FedRAMP Marketplace.
  4. Monitoraggio. Il fornitore invia mensilmente i risultati del monitoraggio della sicurezza a ogni agenzia che utilizza il servizio.

Migliori pratiche di autorizzazione FedRAMP

Il processo per ottenere l'autorizzazione FedRAMP può essere difficile, ma è nell'interesse di tutti i soggetti coinvolti che i fornitori di servizi cloud abbiano successo una volta avviato il processo di autorizzazione.

Per aiutarvi, FedRAMP ha intervistato diverse piccole imprese e start-up sulle lezioni apprese durante l'autorizzazione. Ecco i loro sette migliori consigli per navigare con successo nel processo di autorizzazione:

  1. Capire come il vostro prodotto si adatta a FedRAMP - compresa un'analisi delle lacune.
  2. Ottenere il consenso e l'impegno dell'organizzazione, anche da parte del team esecutivo e dei team tecnici.
  3. Trovate un'agenzia partner che utilizzi il vostro prodotto o che si impegni a farlo.
  4. Dedicate un po' di tempo a definire con precisione il vostro confine, che comprende:
    • componenti interni
    • connessioni a servizi esterni e
    • il flusso di informazioni e metadati.
  5. Pensate a FedRAMP come a un programma continuo, piuttosto che a un semplice progetto con una data di inizio e una di fine. I servizi devono essere continuamente monitorati.
  6. Considerate attentamente il vostro approccio alle autorizzazioni. Più prodotti possono richiedere più autorizzazioni.
  7. Il FedRAMP PMO è una risorsa preziosa: può rispondere a domande tecniche e aiutarvi a pianificare la vostra strategia.

    FedRAMP offre modelli per aiutare i fornitori di servizi cloud a prepararsi alla conformità FedRAMP.

    Quali sono le categorie di conformità FedRAMP?

    FedRAMP offre quattro livelli di impatto per servizi con diversi tipi di rischio, basati sull'impatto potenziale di una violazione della sicurezza in tre diverse aree.

    • Riservatezza: Protezione della privacy e delle informazioni proprietarie.
    • Integrità: Protezioni contro la modifica o la distruzione delle informazioni.
    • Disponibilità: Accesso tempestivo e affidabile ai dati.

    I primi tre livelli di impatto si basano sul Federal Information Processing Standard (FIPS) 199 del National Institute of Standards and Technology (NIST). Il quarto si basa sulla NIST Special Publication 800-37. I livelli di impatto sono:

    • Alto, basato su 421 controlli. "La perdita di riservatezza, integrità o disponibilità potrebbe avere un effetto negativo grave o catastrofico sulle operazioni dell'organizzazione, sui beni dell'organizzazione o sui singoli individui".
    • Moderato, basato su 325 controlli. "Quasi l'80% delle applicazioni FedRAMP approvate si colloca al livello di impatto moderato.
    • Basso, basato su 125 controlli. "La perdita di riservatezza, integrità o disponibilità potrebbe avere un effetto negativo limitato sulle operazioni dell'organizzazione, sui beni dell'organizzazione o sulle persone".
    • Software-as-a-Service a basso impatto (LI-SaaS), basato su 36 controlli Per "sistemi a basso rischio per usi quali strumenti di collaborazione, applicazioni di gestione dei progetti e strumenti che aiutano a sviluppare codice open-source" Questa categoria è nota anche come FedRAMP Tailored.

    Quest'ultima categoria è stata aggiunta nel 2017 per facilitare l'approvazione da parte delle agenzie di "casi d'uso a basso rischio". Per qualificarsi per FedRAMP Tailored, il fornitore deve rispondere affermativamente a sei domande, pubblicate sulla pagina della policy FedRAMP Tailored:

    • Il servizio opera in un ambiente cloud?
    • Il servizio cloud è pienamente operativo?
    • Il servizio cloud è un Software as a Service (SaaS), come definito da NIST SP 800-145, The NIST Definition of Cloud Computing?
    • Il servizio cloud non contiene informazioni di identificazione personale (PII), ad eccezione di quelle necessarie per fornire una funzionalità di login (nome utente, password e indirizzo e-mail)?
    • Il servizio cloud è a basso impatto di sicurezza, come definito da FIPS PUB 199, Standards for Security Categorization of Federal Information and Information Systems?
    • Il servizio cloud è ospitato all'interno di una Platform as a Service (PaaS) o Infrastructure as a Service (IaaS) autorizzata da FedRAMP, oppure è il CSP a fornire l'infrastruttura cloud sottostante?

    Tenete presente che il raggiungimento della conformità FedRAMP non è un'attività una tantum. Ricordate la fase di monitoraggio dell'autorizzazione FedRAMP? Ciò significa che dovrete sottoporvi a regolari audit di sicurezza per garantire che soggiorno Conforme a FedRAMP.

    Bonus: Leggete la guida alla strategia dei social media passo dopo passo con i consigli dei professionisti su come far crescere la vostra presenza sui social media.

    Ottieni subito la guida gratuita!

    Esempi di prodotti certificati FedRAMP

    Esistono molti tipi di prodotti e servizi autorizzati FedRAMP. Ecco alcuni esempi di fornitori di servizi cloud che conoscete e che potreste già utilizzare.

    Servizi Web di Amazon

    Ci sono due elenchi AWS nel FedRAMP Marketplace. AWS GovCloud è autorizzato al livello Alto. AWS US East/West è autorizzato al livello Moderato.

    I clienti di AWS GovCloud (USA) possono utilizzare #AmazonEFS per i carichi di lavoro mission-critical grazie alla recente autorizzazione FedRAMP High. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    - AWS for Government (@AWS_Gov) 18 ottobre 2019

    AWS GovCloud ha ben 292 autorizzazioni, mentre AWS US East/West ne ha 250. Si tratta di un numero di autorizzazioni di gran lunga superiore a qualsiasi altro elenco nel FedRAMP Marketplace.

    Adobe Analytics

    Adobe Analytics è stato autorizzato nel 2019 ed è utilizzato dai Centers for Disease Control and Prevention e dal Department of Health and Human Services. È autorizzato a livello LI-SaaS.

    Adobe ha diversi prodotti autorizzati a livello LI-SaaS (come Adobe Campaign e Adobe Document Cloud) e un paio di prodotti autorizzati a livello moderato:

    • Servizi gestiti Adobe Connect
    • Servizi gestiti di Adobe Experience Manager.

    Adobe è attualmente in procinto di passare dall'autorizzazione FedRAMP Tailored all'autorizzazione FedRAMP Moderate per Adobe Sign.

    Per saperne di più su come @Adobe Sign sta lavorando per passare dagli statuti FedRAMP Tailored a FedRAMP Moderate: //t.co/cYjihF9KkP

    - AdobeSecurity (@AdobeSecurity) 12 agosto 2020

    Ricordate che è il servizio, non il fornitore di servizi, a ottenere l'autorizzazione. Come Adobe, potreste dover richiedere più autorizzazioni se offrite più di una soluzione basata sul cloud.

    Slack

    Autorizzato nel maggio di quest'anno, Slack ha 21 autorizzazioni FedRAMP. Il prodotto è autorizzato a livello moderato ed è utilizzato da agenzie quali:

    • i Centri per il controllo e la protezione delle malattie,
    • la Commissione federale delle comunicazioni e
    • la National Science Foundation.

    Il settore pubblico degli Stati Uniti può ora gestire più lavoro in Slack, grazie alla nostra nuova autorizzazione FedRAMP Moderata. E soddisfacendo questi severi requisiti di sicurezza, manteniamo le cose sicure anche per tutte le altre aziende che usano Slack. //t.co/dlra7qVQ9F

    - Slack (@SlackHQ) 13 agosto 2020

    Inizialmente Slack ha ricevuto l'autorizzazione FedRAMP Tailored, poi ha cercato di ottenere l'autorizzazione Moderate collaborando con il Dipartimento degli Affari dei Veterani.

    Slack si assicura di richiamare l'attenzione sui vantaggi di sicurezza di questa autorizzazione per i clienti del settore privato sul suo sito web:

    "Quest'ultima autorizzazione si traduce in un'esperienza più sicura per i clienti di Slack, comprese le aziende del settore privato che non necessitano di un ambiente autorizzato FedRAMP. Tutti i clienti che utilizzano le offerte commerciali di Slack possono beneficiare delle maggiori misure di sicurezza richieste per ottenere la certificazione FedRAMP".

    Trello Enterprise Cloud

    Trello ha ottenuto l'autorizzazione Li-SaaS a settembre. Finora Trello è utilizzato solo dalla General Services Administration, ma l'azienda sta cercando di cambiare le cose, come si evince dai post sui social relativi al suo nuovo status FedRAMP:

    🏛️Con l'autorizzazione FedRAMP di Trello, la vostra agenzia può ora utilizzare Trello per aumentare la produttività, abbattere i silos dei team e favorire la collaborazione. //t.co/GWYgaj9jfY

    - Trello (@trello) 12 ottobre 2020

    Zendesk

    Autorizzato anche a maggio, Zendesk è utilizzato da:

    • il Dipartimento dell'Energia,
    • l'Agenzia federale per il finanziamento degli alloggi
    • l'Ufficio dell'ispettore generale dell'FHFA, e
    • la General Services Administration.

    La piattaforma di assistenza clienti e help desk Zendesk dispone dell'autorizzazione Li-Saas.

    Da oggi è molto più facile per le agenzie governative lavorare con noi: @Zendesk è ora autorizzato FedRAMP. Grazie a tutti i team interni ed esterni a Zendesk per l'impegno profuso. //t.co/A0HVwjhGsv

    - Mikkel Svane (@mikkelsvane) 22 maggio 2020

    FedRAMP per la gestione dei social media

    SMMExpert è autorizzato FedRAMP. Le agenzie governative possono ora lavorare facilmente con il leader mondiale nella gestione dei social media per coinvolgere i cittadini, gestire le comunicazioni di crisi e fornire servizi e informazioni attraverso i social media.

    Richiedi una demo

    Messaggio precedente La guida allo stile dei social media perfetta per il vostro marchio nel 2023
    Prossimo post 8 consigli per un'acquisizione impeccabile su Instagram

    Kimberly Parker è una professionista esperta di marketing digitale con oltre 10 anni di esperienza nel settore. In qualità di fondatrice della sua agenzia di marketing sui social media, ha aiutato numerose aziende in vari settori a stabilire e far crescere la loro presenza online attraverso efficaci strategie sui social media. Kimberly è anche una scrittrice prolifica, avendo contribuito con articoli sui social media e sul marketing digitale a diverse pubblicazioni affidabili. Nel tempo libero ama sperimentare nuove ricette in cucina e fare lunghe passeggiate con il suo cane.