Sim, a autorização FedRAMP é obrigatória para todos os serviços em nuvem usados por agências federais, conforme determinação do OMB.
O Federal Risk and Authorization Management Program (FedRAMP®) estabelece uma abordagem padronizada para avaliar, autorizar e monitorar serviços em nuvem destinados ao governo federal dos Estados Unidos. Todo provedor de serviços em nuvem (Cloud Service Provider – CSP) que deseje trabalhar com agências federais dos EUA deve estar em conformidade com o FedRAMP e obter certificação para suas soluções em nuvem, demonstrando adesão aos padrões federais de segurança em nuvem.
Gerenciado pelo FedRAMP Program Management Office (PMO), dentro da General Services Administration (GSA), o programa implementa requisitos determinados pelo U.S. Office of Management and Budget (OMB) para proteger sistemas federais de informação na nuvem. Com as ciberameaças cada vez mais voltadas para ambientes de nuvem, as agências governamentais precisam avaliar detalhadamente a postura de segurança de cada CSP e os controles que protegem as informações federais.
Criado em 2011, o FedRAMP é o processo oficial para emitir autorizações de segurança para tecnologias de nuvem que lidam com informações não classificadas controladas em todas as agências federais.
Qual é a história e o objetivo da certificação FedRAMP?
Antes da implementação do FedRAMP, provedores de nuvem enfrentavam grandes desafios ao trabalhar com o governo:
- Cada agência federal exigia sua própria metodologia de avaliação de segurança para sistemas de informação
- Os padrões de segurança variavam entre departamentos
- Os provedores precisavam preencher documentação e avaliações redundantes
- Os processos de adoção da nuvem eram lentos e caros
- A visibilidade de segurança variava entre as agências
O governo dos EUA criou o FedRAMP para resolver esses problemas, implementando uma estrutura de “fazer uma vez e usar várias vezes”, que padroniza a avaliação de segurança, a autorização e o monitoramento contínuo. O OMB tornou a conformidade com o FedRAMP obrigatória para implantações em nuvem de agências federais em 2011, e essa abordagem ganhou força adicional quando o FedRAMP Authorization Act transformou oficialmente o programa em lei em 2022.
Como obter a certificação FedRAMP: requisitos e processo
A autorização FedRAMP é uma das certificações mais rigorosas do mundo. O processo segue uma metodologia detalhada baseada nos controles de segurança do National Institute of Standards and Technology (NIST) SP 800-53, distribuídos em três níveis de impacto (Impact Levels – ILs):
- FedRAMP Low Impact: para sistemas com baixa tolerância a risco
- FedRAMP Moderate Impact: para tolerância moderada a risco
- FedRAMP High Impact: para sistemas com alta tolerância a risco
Quais são algumas etapas importantes da certificação FedRAMP?
- Avaliação de prontidão: as organizações podem, opcionalmente, realizar uma avaliação de prontidão FedRAMP para avaliar seu nível de preparação antes de iniciar o processo formal.
- Desenvolvimento do Plano de Segurança do Sistema (SSP): documentar todos os controles e implementações de segurança do sistema de informação de acordo com as diretrizes do NIST.
- Implementação de controle de segurança: configurar os sistemas para atender aos requisitos de conformidade do FedRAMP, implementando controles técnicos, operacionais e de gerenciamento.
- Preparação do pacote de segurança: reunir documentação abrangente, incluindo o SSP, o plano de avaliação de segurança e artefatos de suporte, para revisão.
- Avaliação 3PAO: realizar testes independentes por uma organização de avaliação de terceira parte para verificar se os controles de segurança estão devidamente implementados e funcionando.
- Criação de POA&M: desenvolver planos de ação e marcos para quaisquer problemas identificados, estabelecendo prazos para as atividades de correção.
- Autorização de segurança: a partir de agosto de 2024, o programa FedRAMP consolidou os caminhos de autorização: Os CSPs podem enviar um pacote de segurança FedRAMP Ready diretamente ou por meio de agências patrocinadoras para obter o status FedRAMP autorizado.
- Monitoramento contínuo: implementar avaliações e relatórios de segurança contínuos por meio de ferramentas de monitoramento automatizadas e verificações regulares de conformidade.
O PMO do FedRAMP fornece orientação durante todo esse processo, oferecendo modelos, recursos de documentação e esclarecimentos sobre os requisitos para ajudar as organizações a alcançar o status de conformidade FedRAMP para suas soluções em nuvem.
Quais são as diferenças entre o FedRAMP e os requisitos de segurança em computação em nuvem do DoD?
O Departamento de Defesa (DoD) baseia-se no FedRAMP com requisitos adicionais no Guia de requisitos de segurança de computação em nuvem (CC SRG), estabelecendo ILS do DoD para segurança na nuvem:
- IL2: informações não controladas e não classificadas
- IL4: informações não classificadas controladas (CUI)
- IL5: CUI essencial para missão que requer proteção aprimorada
- IL6: informações classificadas até o nível secreto (SECRET)
A relação entre esses frameworks demonstra uma abordagem padronizada de segurança:
- FedRAMP Moderate = IL2
- FedRAMP High + controles específicos do DoD = IL4/IL5
- FedRAMP High + controles adicionais extensos = IL6
Quais são os benefícios da certificação FedRAMP para o governo e o setor?
Benefícios para agências governamentais:
- Redução do risco de violações de segurança por meio de uma metodologia de avaliação padronizada
- Economia de tempo e recursos com o uso de autorizações de segurança existentes
- Padrões de segurança consistentes em todas as implantações em nuvem
- Melhoria da postura de segurança por meio de monitoramento contínuo
- Aquisição mais rápida de tecnologias seguras em nuvem por meio dos veículos de aquisição da GSA
- Monitoramento e conformidade contínuos por meio de ferramentas automatizadas
Benefícios do provedor de nuvem:
- Processo de certificação simplificado: certifique uma vez, use várias vezes
- Maior acesso ao mercado federal por meio de contratos da GSA Schedule
- Maior credibilidade e posicionamento em segurança
- Melhoria da postura geral de segurança por meio de avaliação abrangente
- Maior confiança do setor privado
- Visibilidade no FedRAMP Marketplace
Recursos em FedRAMP.gov
Perguntas frequentes
A FISMA (Lei Federal de Modernização da Segurança da Informação) estabelece políticas gerais de segurança da informação federal, enquanto o FedRAMP implementa esses requisitos especificamente para serviços e sistemas de informação em nuvem.
O FedRAMP High fornece a base para o DoD IL5, mas o IL5 inclui controles adicionais específicos de defesa para informações críticas de missão que podem impactar a segurança nacional se forem comprometidas.
Por que os clientes escolhem a Akamai
A Akamai é a empresa de cibersegurança e computação em nuvem que potencializa e protege negócios online. Nossas soluções de segurança líderes de mercado, a inteligência avançada contra ameaças e a equipe de operações globais oferecem defesa completa para garantir a segurança de dados e aplicações empresariais em todos os lugares.
