El Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) es un programa de ámbito gubernamental que proporciona un enfoque estandarizado para la evaluación de la seguridad, la autorización y la supervisión continua de los productos y servicios en la nube. FedRAMP facilita el cambio de despliegues inseguros y ad hoc a soluciones seguras, repetibles y rentables.
FedRAMP es una asociación entre el gobierno y la industria para mejorar la seguridad de la información y los sistemas sensibles. El programa está gestionado por la Administración de Servicios Generales (GSA) con la aportación de las agencias y la industria.
El programa proporciona un conjunto de requisitos estandarizados para los controles de seguridad, un enfoque común para la evaluación y la autorización, y la supervisión continua. El objetivo de FedRAMP es reducir la duplicación de esfuerzos y proporcionar una vía para la rápida adopción de soluciones seguras en la nube por parte de las agencias gubernamentales.
FedRAMP está diseñado para trabajar con los procesos existentes de autorización de seguridad de la Agencia y es complementario a otras iniciativas de ciberseguridad como el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST).
¿Cuáles son los beneficios del programa FedRAMP?
El Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) es un programa de ámbito gubernamental que proporciona un enfoque estandarizado para la evaluación de la seguridad, la autorización y la supervisión continua de los productos y servicios en la nube. Este programa se creó en respuesta a la creciente necesidad de las agencias de adoptar de forma más segura las tecnologías en la nube.
FedRAMP proporciona varios beneficios para las agencias, los proveedores de servicios en la nube (CSP) y otras partes interesadas:
-Beneficios para las agencias:
FedRAMP ayuda a las agencias a adoptar de forma más segura las tecnologías en la nube al proporcionar un enfoque estandarizado para la evaluación de la seguridad, la autorización y la supervisión continua. Esto permite a las agencias centrarse en sus misiones en lugar de en evaluaciones de seguridad individuales. Además, FedRAMP proporciona a las agencias visibilidad de los controles de seguridad implementados por los CSP, y les permite aprovechar el trabajo de otras agencias que ya han autorizado a un CSP.
Beneficios de los CSP:
Los CSP que obtienen la autorización de FedRAMP pueden comercializar sus productos y servicios a múltiples agencias, lo que puede agilizar el proceso de ventas. Además, los CSP pueden aprovechar el trabajo que ya han realizado para cumplir con los requisitos de seguridad de una agencia para cumplir con los requisitos de otras agencias.
Otros beneficios para las partes interesadas:
Otras partes interesadas, como contratistas y consultores, también pueden beneficiarse del enfoque estandarizado de la seguridad proporcionado por FedRAMP. Al comprender los requisitos de seguridad del programa, estas partes interesadas pueden apoyar más fácilmente a sus clientes en el cumplimiento de estos requisitos.
¿Qué se requiere para cumplir con FedRAMP?
Para lograr y mantener el cumplimiento de FedRAMP, las organizaciones deben someterse primero a un riguroso proceso de evaluación realizado por una organización de evaluación de terceros (3PAO). Esta evaluación garantiza que los controles de seguridad de la organización cumplen o superan los requisitos de seguridad del Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP).
Una vez que la organización ha sido evaluada y considerada conforme, debe someterse a un programa de supervisión continua realizado por la 3PAO. Este programa ayuda a garantizar que la organización siga cumpliendo con los requisitos del FedRAMP y que cualquier nuevo control de seguridad se implemente correctamente y funcione según lo previsto.