Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Cumplimiento Regulatorio > Registro de Auditoría FedRAMP [Mejores Prácticas, Soluciones y Consejos]

Registro de Auditoría FedRAMP [Mejores Prácticas, Soluciones y Consejos]

by Frank Balonis updated diciembre 14, 2024 Cumplimiento Regulatorio
Reading Time: 8 minutes

Si trabajas en el ámbito federal, tú y tus proveedores de servicios deben cumplir con FedRAMP, lo que significa mantener registros de auditoría. Estos registros pueden ser costosos y consumir mucho tiempo, pero son obligatorios para mantener el cumplimiento.

Entonces, ¿por qué son importantes los registros de auditoría para el cumplimiento de FedRAMP? Los registros de auditoría ayudan a las empresas a demostrar su cumplimiento durante las auditorías tanto a los organismos reguladores como a los clientes. También pueden ayudar en la búsqueda de hechos durante investigaciones forenses después de incidentes.

¿Qué es FedRAMP y por qué son importantes los registros de auditoría?

FedRAMP es un marco de cumplimiento federal que aborda específicamente la seguridad para los proveedores de servicios en la nube que trabajan con agencias federales. Bajo esta definición, los “proveedores de servicios en la nube” (CSPs) pueden representar una amplia gama de diferentes empresas con diferentes servicios vinculados a la tecnología en la nube, incluyendo almacenamiento o aplicaciones de Software como Servicio (SaaS).

Una parte crítica del cumplimiento de FedRAMP es la auditoría. Los CSPs se someten a auditorías a través de una empresa de seguridad de terceros, llamada Organización Evaluadora de Terceros (3PAO). Las 3PAOs son organizaciones certificadas que conocen los requisitos de FedRAMP y trabajan con los CSPs durante todo su proceso de cumplimiento.

Un papel importante de las 3PAOs es la prueba, auditoría y evaluación de sus socios CSP para asegurar tres cosas (dependiendo de dónde se encuentren en el proceso):

  1. Que el CSP está preparado para someterse al proceso de certificación (FedRAMP Ready)
  2. Que el CSP ha pasado exitosamente las pruebas y auditorías para atestiguar su certificación (llamada la designación Autorizado para Operar o ATO)
  3. Que el CSP continúa manteniendo el cumplimiento después de la certificación (Mantenimiento Continuo)

Además, los registros de auditoría son una parte necesaria del mantenimiento continuo de FedRAMP: No solo un CSP debe mantener registros sobre eventos como el acceso de usuarios, brechas u otros elementos relacionados con los datos, sino que deben demostrar su capacidad para hacerlo en diferentes alcances y escalas, dependiendo de los datos que manejen.

En todas las etapas de este proceso, las regulaciones de FedRAMP requieren que las 3PAOs creen un panorama detallado de los cambios, actualizaciones e implementaciones de controles de seguridad. Y, si trabajas con agencias federales, cualquier CSP o proveedor de servicios con el que te asocies para servicios debe cumplir con estos requisitos mínimos, incluyendo la auditoría de FedRAMP.

Los CSPs generalmente comparten los informes y auditorías continuas de las 3PAO con los clientes, asegurándoles así una estrategia continua de administración de riesgos de ciberseguridad.

¿Cuándo se requiere la autorización de FedRAMP?

FedRAMP es un requisito obligatorio para cualquier agencia u organización que planee usar servicios de computación en la nube de un proveedor de servicios en la nube que ofrezca servicios a agencias federales y sus socios para procesar, compartir o almacenar datos federales, incluyendo información no clasificada controlada (CUI). También se requiere para cualquier agencia federal que desee usar servicios en la nube para sus propios propósitos internos.

¿Cuáles son los requisitos de cumplimiento de FedRAMP?

El cumplimiento de FedRAMP requiere que las agencias aseguren que los servicios que están utilizando cumplan con los requisitos de seguridad definidos por el Programa de Gestión de Riesgos y Autorización Federal (FedRAMP). Las agencias deben verificar la postura de seguridad de los servicios creando un Plan de Seguridad del Sistema (SSP) y, cuando sea necesario, certificando el servicio con una Autoridad para Operar (ATO) de una 3PAO acreditada (Organización Evaluadora de Terceros).

Además, las agencias deben asegurar que el proveedor de servicios implemente capacidades y controles que cumplan con los requisitos de seguridad de FedRAMP, incluyendo la realización de evaluaciones de riesgos regulares y la implementación de un Plan de Monitoreo Continuo. Además, las agencias deben asegurar que el proveedor de servicios esté al día con los controles de seguridad más actuales y cumpla con los requisitos del estándar de Línea Base Adaptada de FedRAMP. Finalmente, las agencias deben estar preparadas para monitorear la postura de seguridad del proveedor de servicios y asegurar que todos los requisitos de seguridad se cumplan consistentemente.

Cumplimiento de Auditoría de FedRAMP

El cumplimiento de auditoría de FedRAMP es esencial para todas las organizaciones que esperan proporcionar servicios en la nube al gobierno federal. FedRAMP está diseñado para proporcionar estándares de seguridad y orientación sobre cómo deben operar los proveedores de servicios en la nube.

Para cumplir con FedRAMP, las organizaciones deben adherirse a estrictas directrices para la protección de datos, gestión de contraseñas, parches de seguridad, copias de seguridad del sistema y más.

Aquí hay solo algunos de los requisitos necesarios para lograr el cumplimiento de FedRAMP:

  1. Adopción del Marco de Ciberseguridad del NIST
  2. Desarrollo de un Plan de Seguridad del Sistema de Información
  3. Identificación de riesgos y vulnerabilidades
  4. Documentación integral del sistema
  5. Planes de respuesta a riesgos e incidentes
  6. Uso de autenticación multifactor
  7. Uso de tecnologías de cifrado
  8. Roles y privilegios de usuario definidos
  9. Monitoreo del sistema y la red
  10. Gestión de parches

El objetivo principal del cumplimiento de FedRAMP es reducir el riesgo, aumentar la seguridad y asegurar que todos los servicios en la nube proporcionados al gobierno federal cumplan con los más altos estándares de seguridad.

¿Cómo puedo crear, mantener y asegurar registros de auditoría?

No existe una solución de auditoría “única para todos” para ninguna empresa, y los requisitos para el registro variarán según los controles requeridos.

¿Qué es un control de seguridad de FedRAMP? NIST SP 800-53 define una serie de controles de seguridad que un CSP debe adoptar para demostrar su cumplimiento. Cuando trabajas con un proveedor que cumple con FedRAMP, ellos anunciarán el nivel de impacto para el cual están autorizados.

Estos controles se aplican ampliamente a los sistemas, y no todos los socios deben implementar toda la funcionalidad. Sin embargo, muchas de estas características son partes importantes de la seguridad, y los proveedores de la nube a menudo las incluyen sin importar el trabajo que realicen. De hecho, es un testimonio de su confiabilidad si tu proveedor puede hablar de sus capacidades avanzadas más allá de los requisitos mínimos de impacto.

Por ejemplo, hay varias maneras de crear “no repudio” en un sistema. El no repudio es el requisito de que los registros de auditoría estén indiscutiblemente vinculados a un usuario o evento para que el usuario no pueda negar que es correcto. Esto generalmente implica algún método para asegurar que un registro no haya sido manipulado después de su creación.

Algunos de estos métodos son más efectivos que otros. Algunos usan una firma digital hash que muestra que el archivo no ha sido manipulado—un método que tiene efectividad limitada y requiere el uso de claves hash para ser efectivo. Este método tampoco necesariamente ayuda a garantizar que no falten registros en una pista de auditoría. Algunos proveedores están utilizando nueva tecnología blockchain como método de no repudio.

En este caso específico, correspondería al CSP, en consulta con su 3PAO, determinar que un método de no repudio en los registros es seguro, efectivo y se encuentra dentro del alcance de las regulaciones de FedRAMP.

Dicho esto, los proveedores asociados deberían poder hablar sobre sus métodos de auditoría en términos de algunas características básicas. Estas incluyen:

  1. Crear registros que contengan suficiente información para ser útiles para propósitos de auditoría. Esto incluye elementos como datos y tiempo, registros de eventos, estado del sistema, acceso de usuarios y otra información.
  2. Automatizar la generación, respaldo y seguridad de registros. Aunque pueda parecer obvio que un sistema debería generar registros automáticamente, los CSPs también deberían tener planes de redundancia para registros que sean seguros y confiables.
  3. Utilizar una cadena de evidencia efectiva para asegurar la integridad. Ya sean hashes, blockchains u otra herramienta, siempre debería haber alguna medida de seguridad en su lugar para garantizar la integridad de una pista de auditoría.
  4. Entender el Nivel de Impacto de FedRAMP de tu proveedor. FedRAMP, a través de la publicación de Estándares Federales de Procesamiento de Información (FIPS), divide los niveles de impacto de datos en Bajo, Moderado y Alto, dependiendo de la privacidad requerida para los datos y el daño potencial que podría ocurrir si se comprometieran.

Mejores Prácticas para el Registro de Auditoría de FedRAMP

Para asegurar la seguridad de los servicios de computación en la nube, deben implementarse y monitorearse prácticas adecuadas de registro de auditoría. Este conjunto de Mejores Prácticas para el Registro de Auditoría de FedRAMP describe los pasos clave que las organizaciones pueden tomar para implementar y mantener un sistema efectivo de registro de auditoría.

  1. Establecer y documentar una política de auditoría: Desarrollar y documentar una política de auditoría que describa todos los requisitos de registro de auditoría. Esto debería incluir los tipos de información y actividades a registrar, la frecuencia de registro, los períodos de retención de archivos de registro, la seguridad de los registros de auditoría y las personas responsables del análisis y gestión de registros.
  2. Implementar un sistema de registro: Implementar un sistema de registro de auditoría que sea capaz de capturar de manera confiable los datos de registro requeridos. Esto debería incluir procesos de recopilación, almacenamiento y transferencia de registros.
  3. Realizar revisiones regulares de registros: Revisar regularmente los registros de auditoría para asegurar que se estén capturando correctamente y que los datos se estén almacenando de manera segura. Cualquier anomalía debería investigarse para verificar la integridad de los datos.
  4. Usar controles de seguridad adecuados: Utilizar controles de seguridad apropiados para proteger los registros de auditoría del acceso no autorizado, manipulación y destrucción. Los datos deberían cifrarse cuando sea posible y el acceso restringirse al personal autorizado.
  5. Establecer un plan de respuesta a incidentes: Establecer un plan de respuesta a incidentes para detectar, investigar y responder rápida y efectivamente a cualquier incidente de seguridad relacionado con los registros de auditoría.
  6. Capacitar al personal: Proporcionar capacitación al personal sobre procedimientos de registro de auditoría y respuesta a incidentes para asegurar que estén equipados para identificar y responder a cualquier problema relacionado con los registros de auditoría.

Registro de Cumplimiento Automatizado de Kiteworks

La plataforma Kiteworks es un proveedor de Impacto Bajo y Moderado de transferencia de archivos administrada (MFT) y SFTP para FedRAMP, almacenamiento de archivos y herramientas de correo electrónico seguro para FedRAMP que lleva innovación de nivel empresarial al ámbito federal. Kiteworks proporciona capacidades en las siguientes áreas:

  1. Seguridad: Kiteworks emplea un enfoque de defensa en profundidad que consiste en cifrado integral para datos sensibles en movimiento y en reposo, un firewall de red integrado y optimizado y un firewall de aplicaciones web (WAF), tecnología anti-malware, múltiples capas de refuerzo del servidor, comunicaciones de confianza cero entre servicios internos y nodos de clúster, y trampas internas. Kiteworks permite a las organizaciones compartir y transferir archivos sensibles a través de varios canales, ya sea uso compartido seguro de archivos, correo electrónico cifrado, SFTP, transferencia de archivos administrada, formularios web, o interfaces de programación de aplicaciones (APIs). Los administradores utilizan controles basados en roles para hacer cumplir las políticas de seguridad y cumplimiento y para configurar conexiones simples a componentes de infraestructura de seguridad como MFA. Los clientes de Kiteworks se mantienen actualizados con los últimos parches con actualizaciones de un solo clic, tal como lo hacen al usar sus teléfonos inteligentes.
  2. Cumplimiento: Si eres un proveedor o agencia que trabaja con o en el gobierno federal, entonces puedes utilizar Kiteworks, que cumple con numerosos estándares federales como la Certificación del Modelo de Madurez de Ciberseguridad (CMMC), NIST 800-171, entre otros. Kiteworks también está Autorizado por FedRAMP para Impacto Bajo y Moderado de FedRAMP, incluyendo controles para áreas de seguridad importantes como Control de Acceso, Integridad del Sistema e Información, y Auditoría y Responsabilidad.
  3. Gobernanza y visibilidad: Kiteworks genera, almacena y asegura registros compatibles con FedRAMP, mientras proporciona una gobernanza extensa y visibilidad integral a través del Tablero del CISO. Este último incluye la capacidad de hacer cumplir la geolocalización estableciendo listas de bloqueo y listas de permitidos para rangos de direcciones IP, configuración para almacenar datos de usuarios solo en su país de origen, pistas de auditoría para informes de cumplimiento, informes sobre qué archivos han pasado o fallado el antivirus, prevención de pérdida de datos y protección avanzada contra amenazas. El Tablero del CISO monitorea el acceso al sistema, las transferencias de datos y las posibles brechas en tiempo real. Alerta automáticamente sobre eventos de posible brecha como trampas internas y escenarios sospechosos de transferencia de datos. Y para aquellas organizaciones que buscan consolidar información sobre envíos, comparticiones y transferencias de contenido sensible, el servidor reforzado de Kiteworks hace cumplir el registro inmutable y reenvía automáticamente los registros a tu sistema de gestión de información y eventos de seguridad (SIEM).
  4. Nube privada: Para mayor seguridad, cada cliente de Kiteworks se implementa en un entorno de nube privada, lo que significa que son el único inquilino en tu servidor en la nube y, por lo tanto, sus datos y metadatos no se mezclan con los de otros clientes de Kiteworks. Finalmente, cada nube privada de Kiteworks se implementa en su propia Nube Privada Virtual (VPC) de Amazon Web Services (AWS); tu infraestructura no se comparte con otros clientes de AWS o Kiteworks.

La plataforma Kiteworks incluye características avanzadas de seguridad como la certificación SOC 2, sistemas de nube virtual separados, informes extensos con auditorías anuales y pruebas continuas, y una pista de auditoría inmutable para asegurar la seguridad y el cumplimiento.

Si deseas comenzar con Kiteworks hoy o simplemente quieres más detalles sobre la Autorización FedRAMP de Kiteworks, solicita una demostración o consulta nuestra página de Autorización FedRAMP.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks