Sí, la autorización de FedRAMP es obligatoria para todos los servicios en la nube utilizados por las agencias federales, tal y como dispone la OMB.
El Programa Federal de Gestión de Autorizaciones y Riesgo (FedRAMP®) establece un enfoque estandarizado para evaluar, autorizar y supervisar los servicios en la nube para el gobierno federal de Estados Unidos. Todos los proveedores de servicios en la nube (CSP) que deseen trabajar con agencias federales de EE. UU. deben cumplir el FedRAMP y obtener la certificación para sus soluciones en la nube, con la que demostrarán el cumplimiento de los estándares federales de seguridad en la nube.
Gestionado por la PMO (Oficina de Gestión de Programas) de FedRAMP, que forma parte de la Administración General de Servicios (GSA), este programa implementa los requisitos exigidos por la Oficina de Administración y Presupuesto (OMB) de EE. UU. para proteger los sistemas de información federales en la nube. Dado que las ciberamenazas tienen como objetivo cada vez más los entornos de nube, las agencias gubernamentales deben evaluar a fondo la estrategia de seguridad de cada CSP y los controles que protegen la información federal.
Fundado en 2011, FedRAMP actúa como proceso oficial para emitir autorizaciones de seguridad a las tecnologías de nube para gestionar información controlada no clasificada en todas las agencias federales.
¿Cuál es la historia y el propósito de la certificación FedRAMP?
Antes de la implementación de FedRAMP, los proveedores de nube se enfrentaban a importantes desafíos al trabajar con el gobierno:
- Cada agencia federal necesitaba su propia metodología de evaluación de la seguridad para los sistemas de información
- Los estándares de seguridad variaban entre departamentos y eran incoherentes entre sí
- Los proveedores completaban documentación y evaluaciones redundantes
- Los procesos de adopción de la nube eran lentos y costosos
- La visibilidad de la seguridad variaba entre las agencias
El gobierno de EE. UU. creó FedRAMP para resolver estos problemas mediante la implementación de un marco que "se siguiera una vez y se usara muchas veces" para estandarizar la evaluación de seguridad, la autorización y la supervisión continua. La OMB estableció el cumplimiento obligatorio de FedRAMP para las implementaciones en la nube de las agencias federales en 2011 y este enfoque ganó mayor legitimidad cuando la Ley de Autorización de FedRAMP convirtió oficialmente el programa en ley en 2022.
Cómo obtener la certificación FedRAMP: requisitos y proceso
La autorización de FedRAMP se encuentra entre las certificaciones más rigurosas a nivel mundial. El proceso sigue una metodología detallada basada en los controles de seguridad SP 800-53 del Instituto Nacional de Normas y Tecnología (NIST) en tres niveles de impacto (IL):
- Bajo impacto de FedRAMP: para sistemas con baja tolerancia al riesgo
- Impacto moderado de FedRAMP: para una tolerancia moderada al riesgo
- Alto impacto de FedRAMP: para sistemas con alta tolerancia al riesgo
¿Cuáles son algunos pasos importantes de la certificación FedRAMP?
- Evaluación de la preparación: Las organizaciones pueden completar opcionalmente una evaluación de preparación de FedRAMP para comprobar su preparación antes de iniciar el proceso formal.
- Desarrollo del plan de seguridad del sistema (SSP): Documentar todos los controles de seguridad e implementaciones del sistema de información de acuerdo con las directrices del NIST.
- Implementación de controles de seguridad: Configurar los sistemas para cumplir los requisitos de cumplimiento de FedRAMP, implementando controles técnicos, operativos y de gestión.
- Preparación del paquete de seguridad: Recopilar documentación completa, incluido la SSP, el plan de evaluación de seguridad y los artefactos complementarios para su revisión.
- Evaluación 3PAO: Pruebas independientes realizadas por una organización de evaluación externa para verificar que los controles de seguridad se implementan y funcionan correctamente.
- Creación de POA&M: Elaborar planes de acción e hitos (POA&M) para cualquier problema identificado, estableciendo plazos para las actividades de corrección.
- Autorización de seguridad: A partir de agosto de 2024, el programa FedRAMP ha consolidado las vías de autorización: Los CSP pueden enviar un paquete de seguridad de preparación para FedRAMP directamente o a través de agencias patrocinadoras para obtener el estado de autorización de FedRAMP.
- Supervisión continua: Implementar evaluaciones e informes de seguridad continuos a través de herramientas de supervisión automatizadas y verificación periódica del cumplimiento.
La PMO de FedRAMP proporciona orientación a lo largo de este proceso, con plantillas, recursos de documentación y aclaraciones sobre los requisitos para ayudar a las organizaciones a lograr el estado de cumplimiento de FedRAMP para sus soluciones en la nube.
¿En qué se diferencia FedRAMP de los requisitos de seguridad del cloud computing del DoD?
El Departamento de Defensa (DoD) se basa en FedRAMP e introduce requisitos adicionales en la Guía de requisitos de seguridad de cloud computing (CC SRG), que establece los IL del DoD para la seguridad en la nube:
- IL2: Información no clasificada no controlada
- IL4: Información no clasificada controlada (CUI)
- IL5: CUI esencial que requiere una protección mejorada
- IL6: Información clasificada hasta el nivel SECRETO
La relación entre estos marcos demuestra un enfoque estandarizado de la seguridad:
- FedRAMP nivel moderado = IL2
- Controles específicos de FedRAMP nivel alto + DoD = IL4/IL5
- FedRAMP nivel alto + amplios controles adicionales = IL6
¿Cuáles son las ventajas de la certificación FedRAMP para el gobierno y la industria?
Ventajas para agencias gubernamentales:
- Reducción del riesgo de vulneración de seguridad mediante una metodología de evaluación estandarizada
- Ahorro de tiempo y recursos con las autorizaciones de seguridad existentes
- Estándares de seguridad coherentes en todas las implementaciones en la nube
- Mejora de la estrategia de seguridad mediante la supervisión continua
- Adquisición más rápida de tecnologías de nube seguras a través de vehículos de adquisición de la GSA
- Supervisión y cumplimiento continuos de la seguridad a través de herramientas automatizadas
Ventajas para proveedores de nube:
- Proceso de certificación optimizado: una certificación, múltiples usos
- Ampliación del acceso al mercado federal a través de contratos de programación de la GSA
- Mejora de la credibilidad y el posicionamiento en materia de seguridad
- Mejora de la estrategia de seguridad general mediante una evaluación completa
- Mayor fiabilidad del sector privado
- Visibilidad en el Mercado de FedRAMP
Recursos de FedRAMP.gov
Preguntas frecuentes
La FISMA (Ley Federal de Modernización de la Seguridad de la Información) establece políticas federales generales de seguridad de la información, mientras que FedRAMP implementa estos requisitos específicamente para los servicios y sistemas de información en la nube.
FedRAMP nivel alto proporciona la base para IL5 del DoD, pero el IL5 incluye controles adicionales específicos de defensa para la información esencial que podría afectar a la seguridad nacional en caso de que se vea comprometida.
Por qué los clientes eligen Akamai
Akamai es la empresa de ciberseguridad y cloud computing que potencia y protege los negocios online. Nuestras soluciones de seguridad líderes en el mercado, nuestra inteligencia ante amenazas consolidada y nuestro equipo de operaciones globales proporcionan una defensa en profundidad para proteger los datos y las aplicaciones empresariales.
