Sì, l'autorizzazione FedRAMP è obbligatoria per tutti i servizi cloud utilizzati dalle agenzie federali come indicato dall'OMB.
Il programma federale di gestione delle autorizzazioni e dei rischi (FedRAMP®) stabilisce un approccio standardizzato per la valutazione, l'autorizzazione e il monitoraggio dei servizi cloud per il governo federale degli Stati Uniti. Ogni provider di servizi cloud (CSP) che cerca di collaborare con le agenzie federali degli Stati Uniti deve diventare conforme al FedRAMP e ottenere la certificazione per le proprie soluzioni cloud per dimostrare la conformità agli standard di sicurezza del cloud federali.
Gestito dal PMO (Program Management Office) del FedRAMP all'interno della GSA (General Services Administration), questo programma implementa i requisiti imposti dall'OMB (Office of Management and Budget) degli Stati Uniti per proteggere i sistemi informativi federali nel cloud. Poiché le minacce informatiche prendono sempre più di mira gli ambienti cloud, gli enti governativi devono valutare accuratamente il livello di sicurezza di ogni CSP e i controlli che proteggono le informazioni federali.
Fondata nel 2011, la FedRAMP funge da processo ufficiale per il rilascio delle autorizzazioni di sicurezza per le tecnologie cloud al fine di gestire le informazioni controllate non classificate nelle agenzie federali.
Qual è la storia e lo scopo della certificazione FedRAMP?
Prima dell'implementazione della certificazione FedRAMP, i provider di servizi cloud hanno dovuto affrontare sfide significative per lavorare con il governo federale degli Stati Uniti:
- Ogni agenzia federale richiedeva una propria metodologia di valutazione della sicurezza per i sistemi informativi
- Gli standard di sicurezza variavano in modo incoerente tra i vari reparti
- I provider hanno completato valutazioni e documentazione ridondanti
- I processi di adozione del cloud erano lenti e costosi
- La visibilità sulla sicurezza variava da un'agenzia all'altra
Il governo degli Stati Uniti ha creato la certificazione FedRAMP per risolvere questi problemi implementando un sistema basato sul concetto di fare una volta e usare più volte, che standardizza la valutazione della sicurezza, l'autorizzazione e il monitoraggio continuo. L'OMB ha reso obbligatoria la conformità al programma FedRAMP per le implementazioni cloud delle agenzie federali negli Stati Uniti nel 2011 e questo approccio ha acquisito ulteriore legittimità quando il FedRAMP Authorization Act ha codificato ufficialmente il programma in vigore nel 2022.
Come ottenere la certificazione FedRAMP: requisiti e processi
L'autorizzazione FedRAMP è una delle certificazioni più rigorose a livello globale. Il processo segue una metodologia dettagliata basata sui controlli di sicurezza del NIST (National Institute of Standards and Technology) SP 800-53 su tre livelli di impatto (ILS):
- FedRAMP Low Impact: per sistemi con bassa tolleranza al rischio
- FedRAMP Moderate Impact: per una moderata tolleranza al rischio
- FedRAMP High Impact: per sistemi con elevata tolleranza al rischio
Quali sono alcuni passaggi importanti della certificazione FedRAMP?
- Valutazione della preparazione: le organizzazioni possono valutare facoltativamente la loro preparazione per la certificazione FedRAMP prima di iniziare il processo formale.
- Sviluppo del piano di sicurezza dei sistemi (SSP): documentate tutti i controlli di sicurezza e le implementazioni per il sistema informativo in base alle linee guida del NIST.
- Implementazione del controllo di sicurezza: configurate i sistemi per soddisfare i requisiti di conformità al programma FedRAMP, implementando controlli tecnici, operativi e di gestione.
- Preparazione del pacchetto di sicurezza: compilate una documentazione completa, inclusi SSP, piano di valutazione della sicurezza ed elementi di supporto per la revisione.
- Valutazione 3PAO: test indipendenti eseguiti da un'organizzazione di valutazione di terze parti per verificare che i controlli di sicurezza siano implementati e funzionino correttamente.
- Creazione del POA&M: sviluppate piani d'azione e tappe fondamentali per qualsiasi problema identificato, stabilendo le tempistiche per le attività di mitigazione.
- Autorizzazione di sicurezza: a partire da agosto 2024, il programma FedRAMP ha consolidato i suoi percorsi di autorizzazione: i CSP possono inviare un pacchetto di sicurezza FedRAMP Ready direttamente o tramite agenzie sponsor per ottenere lo stato di autorizzazione FedRAMP.
- Monitoraggio continuo: implementate valutazioni e rapporti sulla sicurezza in modo continuo tramite strumenti di monitoraggio automatizzati e regolari verifiche della conformità.
Il PMO FedRAMP fornisce indicazioni durante tutto questo processo, offrendo modelli, risorse per la documentazione e chiarimenti sui requisiti necessari per aiutare le organizzazioni a raggiungere lo stato di conformità al programma FedRAMP per le proprie soluzioni cloud.
Quali sono i requisiti di sicurezza FedRAMP rispetto al cloud computing del DoD?
Il Dipartimento della Difesa negli Stati Uniti (DoD) si basa sul programma FedRAMP con ulteriori requisiti riportati nella guida CC SRG (Cloud Computing Security Requirements Guide), che stabilisce il livello IL del DoD per la sicurezza nel cloud:
- IL2: informazioni non controllate non classificate
- IL4: informazioni controllate non classificate (CUI)
- IL5: interfaccia utente mission-critical che richiede una protezione avanzata
- IL6: informazioni classificate fino al livello SECRET
La relazione tra questi sistemi dimostra un approccio standardizzato alla sicurezza:
- FedRAMP Moderate = IL2
- FedRAMP High + controlli specifici per il DoD = IL4/IL5
- FedRAMP High + controlli aggiuntivi completi = IL6
Quali sono i vantaggi della certificazione FedRAMP per gli enti governativi e il settore?
Vantaggi per gli enti governativi
- Riduzione del rischio di violazione della sicurezza grazie a una metodologia di valutazione standardizzata
- Risparmio di tempo e risorse grazie alle autorizzazioni di sicurezza esistenti
- Standard di sicurezza coerenti nelle implementazioni nel cloud
- Miglioramento dell'approccio alla sicurezza tramite il monitoraggio continuo
- Acquisizione più rapida di tecnologie cloud sicure tramite veicoli di acquisizione GSA
- Monitoraggio continuo della sicurezza e conformità tramite strumenti automatizzati
Vantaggi per i provider di servizi cloud
- Processo di certificazione semplificato: certificate una sola volta e utilizzate più volte
- Ampliamento dell'accesso al mercato federale tramite i contratti di pianificazione GSA
- Miglioramento della credibilità e del posizionamento della sicurezza
- Miglioramento del livello di sicurezza complessivo tramite una valutazione completa
- Maggiore affidabilità del settore privato
- Visibilità nel marketplace FedRAMP
Risorse FedRAMP.gov
Domande frequenti
Il FISMA (Federal Information Security Modernization Act) stabilisce policy federali di sicurezza delle informazioni generali, mentre il FedRAMP implementa questi requisiti specificamente per i servizi cloud e i sistemi informativi.
La configurazione FedRAMP High fornisce le basi per il livello IL5, ma l'IL5 include ulteriori controlli specifici per la difesa delle informazioni mission-critical che potrebbero influire sulla sicurezza nazionale in caso di violazione.
Perché i clienti scelgono Akamai
Akamai è l'azienda di cybersecurity e cloud computing che abilita e protegge il business online. Le nostre soluzioni di sicurezza leader del settore, l'innovativa intelligence sulle minacce e il team presente su scala globale forniscono una difesa approfondita in grado di proteggere applicazioni e dati critici ovunque.
