FedRAMP es un programa de ámbito gubernamental que proporciona un enfoque estandarizado para la evaluación de la seguridad, la autorización y la supervisión continua de los productos y servicios en la nube. Este programa se creó en respuesta al creciente uso de la computación en nube por parte de las agencias federales. El objetivo de FedRAMP es mejorar la seguridad y reducir los costes proporcionando un conjunto común de requisitos de seguridad que pueden ser reutilizados a través de múltiples agencias.
FedRAMP está supervisado por la Administración de Servicios Generales (GSA), y el programa está gestionado por la Oficina del Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP PMO). La PMO de FedRAMP trabaja con agencias, proveedores de servicios en la nube y otras partes interesadas para promover la adopción de la computación en la nube en el gobierno federal.
FedRAMP proporciona un conjunto básico de requisitos de seguridad que deben cumplir todos los proveedores de servicios en la nube que deseen hacer negocios con el gobierno federal. Además, las agencias pueden optar por añadir sus propios requisitos de seguridad además de los requisitos básicos.
Todos los proveedores de servicios en la nube que deseen hacer negocios con el gobierno federal deben someterse a una evaluación de seguridad y ser autorizados por la PMO de FedRAMP antes de que puedan prestar sus servicios a las agencias gubernamentales. Una vez que un proveedor de servicios en la nube está autorizado, debe mantener una supervisión continua de sus controles de seguridad para garantizar que siguen siendo eficaces.
¿Qué es FedRAMP en ciberseguridad?
FedRAMP es un programa de ámbito gubernamental que proporciona un enfoque estandarizado para la evaluación de la seguridad, la autorización y la supervisión continua de los productos y servicios en la nube. Este programa fue creado en respuesta al creciente uso de la computación en nube por parte de las agencias federales. FedRAMP agiliza el proceso de evaluación y autorización de la seguridad proporcionando un enfoque repetible y estandarizado que está diseñado para mejorar la eficiencia y la seguridad.
¿Qué se necesita para cumplir con FedRAMP? Para cumplir con FedRAMP, una organización debe, en primer lugar, asegurarse de que su sistema cumple o supera todos los controles de seguridad detallados en la norma de seguridad NIST 800-53. En segundo lugar, deben pasar por un proceso de tres pasos que incluye la presentación de un Plan de Seguridad del Sistema (SSP), una evaluación de seguridad por parte de un tercero independiente y, por último, la autorización de una agencia federal. ¿Qué empresas son FedRAMP? Actualmente hay más de 800 empresas que cumplen con el FedRAMP. Algunas de las empresas más destacadas son Amazon Web Services, Microsoft Azure, Google Cloud Platform y Salesforce.
¿Qué se requiere para el cumplimiento de FedRAMP?
El cumplimiento de FedRAMP requiere que una organización primero se asegure de que su sistema de seguridad cumple o supera las normas de seguridad NIST 800-53. A continuación, deben pasar por tres pasos: la presentación de un Plan de Seguridad del Sistema (SSP), una evaluación de seguridad realizada por un tercero independiente y, finalmente, la aprobación por parte de una agencia federal.