Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Cumplimiento Regulatorio > No te Dejes Engañar: Por Qué las Afirmaciones Vacías de “Equivalencia FedRAMP” Ponen en Riesgo el Cumplimiento de CMMC

No te Dejes Engañar: Por Qué las Afirmaciones Vacías de “Equivalencia FedRAMP” Ponen en Riesgo el Cumplimiento de CMMC

by Danielle Barbour updated diciembre 3, 2024 Cumplimiento Regulatorio
Reading Time: 4 minutes

El 2 de enero de 2024, el Departamento de Defensa (DoD) emitió el memorando de equivalencia del Programa de Gestión de Riesgos y Autorizaciones Federales (FedRAMP). El memorando proporciona orientación crítica sobre la Equivalencia Moderada de FedRAMP para las ofertas de servicios en la nube de los proveedores de servicios en la nube (CSP). El memorando aclara los requisitos específicos para la equivalencia moderada de FedRAMP. En resumen, los CSP deben lograr el cumplimiento total con los últimos controles de seguridad moderados de FedRAMP y someterse a una evaluación por una Organización de Evaluación de Terceros reconocida por FedRAMP (3PAO) para lograr la Equivalencia Moderada de FedRAMP.

Al emitir este memorando, el DoD espera disuadir a los proveedores de CSP de afirmar ser “equivalentes a FedRAMP” cuando no han completado los requisitos necesarios para ser Autorizados Moderadamente por FedRAMP.

El proceso de certificación CMMC es arduo, pero nuestra hoja de ruta para el cumplimiento de CMMC 2.0 puede ayudar.

Equivalencia FedRAMP vs. Autorización Moderada de FedRAMP

Existen algunas diferencias clave entre la autorización moderada de FedRAMP y la equivalencia de FedRAMP. Veamos más de cerca cada una.

La autorización moderada de FedRAMP es un proceso de certificación donde un proveedor de servicios en la nube pasa por un riguroso proceso de evaluación y recibe una Autorización para Operar (ATO) de una organización de evaluación de terceros autorizada por FedRAMP (C3PAOs). Esto indica que el servicio ha implementado controles y procesos de seguridad que cumplen con los requisitos moderados de FedRAMP.

La equivalencia de FedRAMP, por el contrario, significa que un proveedor de servicios en la nube tiene una certificación que es equivalente en rigor a FedRAMP Moderado, pero no está realmente autorizado por FedRAMP. Los equivalentes comunes incluyen ISO 27001, HITRUST CSF y la Autorización Provisional del DoD.

FedRAMP Moderado tiene un conjunto definido de 325 controles de seguridad basados en NIST SP 800-53. Las certificaciones de equivalencia pueden tener diferencias en los conjuntos de controles o en el rigor que necesitan ser abordadas para FedRAMP. Por lo tanto, aunque la equivalencia de FedRAMP proporciona una base, no reemplaza la necesidad de una autorización completa de FedRAMP Moderado para el uso del gobierno federal.

Equivalencia FedRAMP: Lo que los Contratistas y Subcontratistas de Defensa Necesitan Saber

DFARS 7012 exige que los contratistas solo utilicen proveedores de servicios en la nube que cumplan con requisitos de seguridad equivalentes a FedRAMP Moderado Autorizado. Al lograr la Autorización Moderada de FedRAMP, los CSP proporcionan un cuerpo de evidencia auditada que contiene documentación de seguridad, informes y progreso continuo en la remediación de hallazgos. El proceso de certificación FedRAMP es tan riguroso que el DoD lo considera el estándar de oro para el cumplimiento de CMMC.

Peligro de las Afirmaciones de “Equivalente”

Las afirmaciones vagas de los proveedores de CSP de proporcionar servicios en la nube “equivalentes a FedRAMP” se han vuelto problemáticas para los contratistas que requieren cumplimiento CMMC. Vale la pena repetirlo: la equivalencia de FedRAMP no es lo mismo que FedRAMP Moderado Autorizado.

Mientras que la Autorización Moderada de FedRAMP proporciona una prueba definitiva de controles de seguridad robustos, muchos CSP hacen afirmaciones no respaldadas de equivalencia sin someterse a evaluaciones reales de FedRAMP. Sin el escrutinio adecuado, estas afirmaciones de equivalencia pueden aumentar drásticamente el riesgo de incumplimiento con DFARS 7012 y los requisitos de CMMC. Simplemente confiar en la palabra de un proveedor sobre la equivalencia de FedRAMP introduce posibles fallos de auditoría y amenazas cibernéticas a la información confidencial no clasificada controlada (CUI).

Validando la Verdadera Equivalencia de FedRAMP

El DoD definió en su memorando el significado de equivalencia a FedRAMP Moderado. Esto incluye:

  • 100% de cumplimiento con la línea base de controles moderados de FedRAMP
  • Adherencia a los protocolos de ciberincidentes/respuesta de DFARS 7012
  • Evaluación por un 3PAO acreditado con documentación completa, incluyendo el Plan/Informe de Evaluación de Seguridad

En última instancia, si los contratistas desean mantenerse en el lado correcto del cumplimiento de CMMC, deben validar cualquier afirmación de equivalencia de un CSP exigiendo evidencia de evaluaciones de 3PAO, documentación de controles de seguridad y confirmación de las obligaciones de DFARS 7012.

Apoyo para Lograr el Cumplimiento de CMMC con Kiteworks, Tu Verdadero Socio FedRAMP

Al utilizar servicios en la nube que han obtenido previamente la Autorización Moderada de FedRAMP, los contratistas pueden cumplir con los requisitos de DFARS 7012 y CMMC, proteger datos sensibles y evitar el error común de afirmaciones superficiales de equivalencia.

Una Autorización Moderada de FedRAMP equipa a los contratistas con evidencia genuina de controles de seguridad, para que puedan acelerar con confianza y rapidez las adquisiciones sin poner en riesgo programas e información de manera evitable.

Kiteworks ha sido Autorizado Moderadamente por FedRAMP desde 2017 y permite a las agencias gubernamentales, contratistas y empresas del sector privado compartir y almacenar información sensible con los más altos niveles de seguridad, control y cumplimiento.

La Red de Contenido Privado de Kiteworks empodera a los contratistas de defensa para proteger la CUI con cifrado AES–256 en reposo y cifrado TLS 1.3 para datos en movimiento. El antivirus integrado y las integraciones de seguridad con DLP, ATP, SSO, LDAP/AD, SIEM y MFA protegen aún más la CUI.

Los extensos controles de gobernanza brindan a las organizaciones visibilidad completa sobre los archivos que ingresan y salen de la organización. Además, los registros de auditoría integrales que capturan toda la actividad de archivos, es decir, quién envía qué a quién y cuándo, permiten el cumplimiento normativo con regulaciones y estándares de privacidad de datos como FedRAMP, CMMC, HIPAA, Cyber Essentials Plus, ITAR, y muchos más.

Como CSP Autorizado por FedRAMP, Kiteworks se implementa en una nube privada virtual en AWS para todo el procesamiento. Cuenta con un servidor dedicado, aislado de todos los demás clientes en Amazon Cloud. La tenencia única proporciona a las organizaciones la propiedad exclusiva de la clave de cifrado y almacenamiento y transferencia de archivos completamente cifrados; nadie—ni Kiteworks, AWS, ni las agencias de aplicación de la ley—tiene acceso al contenido del cliente.

Para obtener más información sobre Kiteworks, la Autorización Moderada de FedRAMP y el cumplimiento de CMMC, programa una demostración personalizada hoy.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks