Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

Cumplimiento y Certificación FedRAMP | Por Qué Es Importante

Inicio Glosario Cumplimiento y Certificación FedRAMP | Por Qué Es Importante

El cumplimiento de FedRAMP es extremadamente importante si deseas proporcionar servicios en la nube a una oficina del gobierno federal, pero ¿cómo deberías comenzar este proceso?

¿Qué significa FedRAMP? FedRAMP significa el Programa de Gestión de Riesgos y Autorización Federal, que es administrado por la Oficina de Gestión y Presupuesto (OMB) y la Junta de Autorización Conjunta (JAB), y autoriza servicios en la nube que el gobierno federal puede utilizar.

Cumplimiento y Certificación FedRAMP | Por Qué Es Importante

¿Qué es FedRAMP y Quién Necesita Seguirlo?

El Programa de Gestión de Riesgos y Autorización Federal (FedRAMP) es un marco de cumplimiento único dirigido a proveedores de servicios gestionados y en la nube que trabajan con agencias federales.

A diferencia de otros marcos, como la Certificación del Modelo de Madurez de Ciberseguridad (dirigido a contratistas de defensa que trabajan con agencias bajo el Departamento de Defensa de EE. UU.), FedRAMP se aplica específicamente a cualquiera que proporcione productos basados en la nube a agencias gubernamentales.

¿Qué es FedRAMP?

FedRAMP fue establecido por la Oficina de Gestión y Presupuesto en 2011 para orientar la seguridad en la nube alrededor de enfoques “rentables y basados en riesgos” para la ciberseguridad. Según la OMB, cualquier sistema en la nube que transmita o contenga datos federales cae bajo su jurisdicción.

Para administrar el estándar de cumplimiento y proporcionar a las organizaciones su Autorización para Operar (ATO), varias entidades del poder ejecutivo gestionan el cumplimiento. Estas entidades incluyen las siguientes:

Bajo estos organismos de gobierno, las regulaciones son aprobadas, refinadas, revisadas e implementadas. FedRAMP extrae sus requisitos técnicos y físicos reales de algunos documentos principales:

  • Publicación Especial NIST 800-53: NIST SP 800-53 define controles de seguridad que las organizaciones pueden implementar para asegurar mejor sus sistemas, particularmente en alineación con la Ley de Gestión de Seguridad de la Información Federal (FISMA). Más relevante para las organizaciones que buscan cumplimiento, NIST 800-53 define niveles crecientes de controles de seguridad basados en la sensibilidad de esa información. FedRAMP aprovecha NIST 800-53 para definir controles y mejores prácticas que las organizaciones deben cumplir para el cumplimiento.
  • Publicación Especial NIST 800-37: Este documento estableció el Marco de Gestión de Riesgos (RMF), un conjunto único de regulaciones que se aplican directamente a cómo las organizaciones implementan controles de evaluación y gestión de riesgos. Dependiendo del nivel de impacto, FedRAMP requerirá ciertos tipos de gestión de riesgos y adherencia a aspectos del RMF.
  • Estándares Federales de Procesamiento de Información (FIPS) 140-2: FIPS 140-2 define requisitos para agencias federales y contratistas al implementar módulos criptográficos y cifrar datos.
  • FIPS 199: Este documento define los niveles de impacto de seguridad utilizados por FedRAMP para determinar requisitos de seguridad, privacidad y gestión de riesgos.

Para obtener la designación ATO, los proveedores de la nube deben someterse a un riguroso proceso de auditoría. Uno de los aspectos más importantes de las auditorías es la participación de las Organizaciones Evaluadoras de Terceros (3PAOs).

Según las regulaciones federales, todos los proveedores de la nube que se someten a auditorías deben hacerlo a través de un evaluador imparcial y autorizado. Una firma de seguridad certificada en auditorías, un 3PAO cumple ese rol bajo la guía y supervisión de la PMO y JAB. Una organización que busca ATO en cualquier nivel solo puede lograr ATO una vez que ha pasado por una auditoría completa de un 3PAO, que proporciona una certificación sobre su cumplimiento con las regulaciones.

¿Por Qué Es Importante el Cumplimiento de FedRAMP?

El cumplimiento de FedRAMP es importante porque proporciona un enfoque estandarizado para la evaluación de seguridad, autorización y monitoreo continuo de productos y servicios en la nube utilizados por el gobierno federal. Ayuda a garantizar que cualquier solución en la nube implementada por una agencia gubernamental cumpla con los estrictos requisitos de seguridad del gobierno, proporcionando mayor seguridad y una incorporación más eficiente de soluciones en la nube. Además, la certificación FedRAMP asegura que las agencias puedan identificar y comparar fácilmente múltiples soluciones en la nube para encontrar la mejor opción para sus necesidades.

Por supuesto, las organizaciones disfrutan de muchos beneficios al convertirse en cumplidoras de FedRAMP.

  1. Mejora de la Seguridad: El cumplimiento de FedRAMP requiere que las organizaciones implementen un programa de seguridad estandarizado en todos los servicios basados en la nube, permitiendo a las organizaciones prevenir y responder mejor a las amenazas.
  2. Gestión de Riesgos: Los procesos y procedimientos cumplidores de FedRAMP proporcionan a las organizaciones la capacidad de identificar, evaluar y gestionar proactivamente los riesgos asociados con el uso de servicios basados en la nube.
  3. Estructura de Ahorro de Costos: Convertirse en cumplidor de FedRAMP elimina la necesidad de múltiples niveles de revisión de seguridad para cada proveedor de servicios en la nube, reduciendo los costos administrativos asociados con los servicios basados en la nube.
  4. Eficiencia: El cumplimiento de FedRAMP reduce el tiempo y esfuerzo requeridos para configurar y mantener servicios basados en la nube, facilitando mantenerse por delante de la competencia.
  5. Mandato Federal: Para las organizaciones que proporcionan servicios basados en la nube al Gobierno Federal de EE. UU., el cumplimiento de FedRAMP es obligatorio, lo que lleva a un mayor nivel de confianza y aceptación más amplia.

Tabla de Cumplimiento y Certificación

Kiteworks presume de una larga lista de logros en cumplimiento y certificación.

¿Qué Tipos de Negocios Necesitan Cumplir con FedRAMP?

Las empresas que almacenan, procesan o transmiten datos o sistemas críticos para la misión del gobierno federal deben cumplir con FedRAMP. Esto incluye proveedores de servicios en la nube, proveedores de Software como Servicio (SaaS), proveedores de Infraestructura como Servicio (IaaS) y proveedores de Plataforma como Servicio (PaaS). Las empresas que proporcionan servicios como alojamiento, desarrollo de software, correo electrónico y uso compartido de archivos, gestión de aplicaciones móviles, seguridad y cumplimiento, redes privadas virtuales (VPN) o cualquier otro servicio de TI que pueda interactuar con datos del gobierno federal también deben cumplir. Además, cualquier negocio que trabaje con proveedores o contratistas que almacenen o manejen información no clasificada controlada (CUI) u otros datos del gobierno federal también debe cumplir con los requisitos de FedRAMP.

Sin embargo, FedRAMP no es solo para contratistas gubernamentales. Al obtener la autorización FedRAMP, cualquier empresa del sector privado puede demostrar a sus clientes, socios y otras partes interesadas que sus soluciones de computación en la nube son seguras y cumplen con las regulaciones federales. Esto puede ayudar a las empresas del sector privado a aumentar la confianza y seguridad del cliente, reducir el riesgo legal y mejorar su posición competitiva. Por supuesto, una solución autorizada por FedRAMP también es una excelente manera para que las empresas del sector privado accedan a contratos más lucrativos entre agencias gubernamentales federales, estatales y locales.

¿Cuáles Son las Categorías de Cumplimiento de FedRAMP?

El proceso de cumplimiento de FedRAMP incluye tres categorías de cumplimiento: seguridad, operaciones y documentación.

  • Cumplimiento de seguridad: cubre autenticación y autorización, control de acceso, cifrado y respuesta a incidentes.
  • Cumplimiento de operaciones: cubre disponibilidad y rendimiento del sistema, parcheo de software, monitoreo y copias de seguridad.
  • Cumplimiento de documentación: cubre documentación del sistema y servicio, diagramas de flujo de datos y paquetes de autorización.

FedRAMP ATO, Niveles de Impacto y Auditorías

La autorización FedRAMP se divide en tres niveles de impacto, y los 3PAOs evalúan a los proveedores de la nube según los requisitos de estos niveles.

Los niveles de impacto de FedRAMP se describen en FIPS 199 e incluyen lo siguiente:

  1. Bajo Impacto: En este nivel, los sistemas de TI de un proveedor de la nube manejan información que, aunque está disponible públicamente a través de la Ley de Libertad de Información (FIA), todavía se considera sensible e importante para la operación de una agencia determinada. La pérdida, robo o daño de esta información podría impactar negativamente la operación de la agencia y afectar negativamente a los constituyentes.
  2. Impacto Moderado: Los sistemas de un proveedor de la nube manejan datos que impactarán seriamente a la agencia o sus constituyentes. Esto puede incluir daño operativo a los activos de la agencia, pérdidas financieras para la agencia o daño a individuos (incluyendo daño a las finanzas, privacidad o seguridad).
  3. Alto Impacto: En este nivel, si los datos gestionados por el proveedor son robados, perdidos o dañados, el resultado puede ser un impacto catastrófico en las agencias y sus constituyentes. Los efectos adversos pueden incluir la ruina financiera de la agencia y sus constituyentes, pérdida completa de privacidad de datos críticamente sensibles (como registros de salud o información personal identificable), o incluso el potencial de daño físico.

Finalmente, hay algunos documentos estándar que la mayoría de las organizaciones que persiguen ATO deben proporcionar a lo largo de su proceso de auditoría. Estos incluyen lo siguiente:

  • El Plan de Seguridad del Sistema (SSP): Mientras que la agencia gubernamental establece requisitos y controles, el proveedor de servicios en la nube debe iniciar el proceso proporcionando su SSP. Este informe describe la infraestructura existente del proveedor y los controles y medidas que deben implementar para cumplir con su ATO deseado.
  • El Resumen de Implementación de Controles (CIS): El proveedor documenta y describe las responsabilidades de seguridad que asumiría para la agencia, con la agencia revisando el resumen para verificar su precisión.
  • El Plan de Evaluación de Seguridad (SAP): El SAP se basa en el SSP. El proveedor de la nube y el 3PAO preparan el SAP, que describe todos los procedimientos, metodologías y pruebas utilizadas como parte de la auditoría.
  • El Informe de Evaluación de Seguridad (SAR): El SAR informa sobre los resultados de las auditorías. Preparado exclusivamente por el 3PAO, el SAR detalla qué se probó, qué no, qué controles cumplieron con los requisitos de cumplimiento y cuáles no lo hicieron. El SAR también sugiere cualquier paso de remediación.
  • El Plan de Acción e Hitos (POA&M): Este informe, preparado por el proveedor de la nube, describe cualquier paso de remediación y cronogramas necesarios para corregir sistemas no conformes. Bajo las reglas de cumplimiento, si el 3PAO determina que una organización está preparada para su ATO con pasos de remediación relativamente sencillos, el POA&M puede servir como una especie de acuerdo vinculante de que el proveedor implementará esos pasos dentro de un período de tiempo razonable.

¿Cuáles Son los Caminos hacia la Autorización FedRAMP?

Este artículo se ha centrado en enfoques generales para la autorización, pero es importante notar que estos enfoques caen en uno de dos caminos principales hacia ATO. El camino que una organización decide seguir puede afectar dramáticamente cómo proceden con sus auditorías de cumplimiento.

Los dos caminos que una organización puede tomar hacia la autorización son los siguientes:

  • Autorización de Agencia: En la mayoría de las circunstancias, un proveedor de la nube responderá a una Solicitud de Propuesta de una agencia gubernamental o se asociará con ellos de otra manera. A su vez, la agencia patrocinará y apoyará a ese proveedor a través del proceso de autorización. Como parte de este camino, la agencia define los requisitos de su autorización.

    Debido a que es una agencia la que determina los detalles de cumplimiento y seguridad, la agencia tendrá más libertad para determinar si una infraestructura no convencional cumple con sus requisitos bajo FedRAMP. Además, las agencias a menudo tendrán requisitos adicionales para los proveedores de la nube más allá de los niveles de impacto base.

    Finalmente, el proveedor no está autorizado para trabajar con otras agencias. Proporcionar un producto en la nube a otra agencia requeriría otro proceso de auditoría y autorización con esa organización.

  • Autorización JAB: Por el contrario, una organización puede someterse a una ATO Provisional (P-ATO) bajo la jurisdicción de JAB. JAB y la PMO aprueban directamente auditorías y autorizaciones.

    La ventaja de una P-ATO es que es más generalizada. Aunque el JAB no aceptará responsabilidad por las necesidades de seguridad específicas de la agencia, las agencias pueden usar un paquete P-ATO para considerar a un proveedor para una autorización específica. El proveedor de la nube con una P-ATO generalmente está listo para trabajar con más agencias.

    Sin embargo, el proceso es un poco más largo. Primero, el proveedor que busca P-ATO debe solicitar consideración a través del programa FedRAMP Connect. Una vez aprobado, el proveedor también debe proporcionar un Informe de Evaluación de Preparación completado por un 3PAO que certifique la capacidad del proveedor para completar la auditoría.

En cualquier caso, las mejores prácticas generalmente giran en torno a la exhaustividad y la integridad:

  • Trabaja con un Experto 3PAO: Estas organizaciones están listadas en el Mercado FedRAMP, y un 3PAO hábil y conocedor puede ser de gran ayuda para una preparación y reporte de auditoría efectivos.
  • Prepárate para el Monitoreo Continuo: El último paso en la auditoría de cumplimiento es el monitoreo continuo y las auditorías anuales. Una vez que se implementa el cumplimiento, depende del proveedor mantener estos estándares incluso cuando las amenazas y las mejores prácticas cambian.
  • Entiende las Plantillas y la Documentación: La PMO proporciona un conjunto de plantillas que los proveedores y 3PAOs utilizan para proporcionar informes estandarizados. Descarga estos informes y comprende cómo se utilizarán como parte del proceso de auditoría.

¿Cuánto Tiempo Tomará Lograr la Autorización FedRAMP?

El tiempo que lleva lograr la autorización FedRAMP depende de varios factores, como la complejidad de los controles de seguridad en la nube que la organización ha implementado, el alcance de la carga de trabajo de la organización y el compromiso de la organización con la Oficina de Gestión del Programa FedRAMP (PMO) durante el proceso de autorización. Las organizaciones que ya tienen controles de seguridad en la nube robustos pueden esperar que el proceso de autorización tome de 6 a 12 meses. Sin embargo, las organizaciones que son nuevas en la seguridad en la nube o cuyos controles de seguridad en la nube son más complejos pueden requerir más tiempo, dependiendo de los pasos que necesiten tomar para cumplir con los requisitos de seguridad de FedRAMP. Se recomienda encarecidamente involucrarse con la PMO de FedRAMP durante este proceso, ya que su experiencia y conocimiento pueden ayudar a acelerar el proceso de autorización.

¿Qué Herramientas Pueden Facilitar la Gestión de Tu Esfuerzo de Cumplimiento FedRAMP?

Con la creciente complejidad de los requisitos de FedRAMP, hay una serie de herramientas disponibles para ayudar a facilitar la gestión de los esfuerzos de cumplimiento de FedRAMP. Estas incluyen:

  1. Software FedRAMP: Hoy en día hay una serie de herramientas específicas de FedRAMP disponibles que pueden ayudar a automatizar y agilizar el proceso de cumplimiento. Estas herramientas a menudo incluyen soporte de automatización para evaluación de riesgos, creación de documentación, gestión de políticas, capacitación y gestión del conocimiento, y monitoreo y reporte continuos.
  2. Panel de Cumplimiento FedRAMP: Muchos proveedores de servicios en la nube ofrecen un panel centralizado para monitorear y gestionar los esfuerzos de cumplimiento a través de múltiples proyectos. Estos paneles generalmente proporcionan acceso con un solo clic a información y actividades relacionadas con el cumplimiento, facilitando la organización, el seguimiento y la gestión de los esfuerzos de cumplimiento a lo largo del tiempo.
  3. Listas de Verificación FedRAMP: Hay varias listas de verificación disponibles para que los proveedores de servicios en la nube aseguren que se tomen todos los pasos necesarios hacia el cumplimiento de FedRAMP. Estas listas de verificación proporcionan una vista clara y concisa del proceso, ayudando a realizar un seguimiento del progreso y asegurando que se hayan tomado todos los pasos hacia el cumplimiento.
  4. Evaluadores de Terceros: A menudo se utilizan evaluadores de terceros para revisar las actividades de cumplimiento y determinar si el proveedor de la nube está cumpliendo con todos los controles de seguridad. Estos evaluadores pueden ser invaluables para ayudar a identificar brechas, sugerir acciones correctivas y proporcionar orientación sobre las mejores prácticas.
  5. Capacitación y Educación: Como parte de cualquier esfuerzo de cumplimiento, es importante proporcionar capacitación y educación continuas a todo el personal. Esto permite que los equipos se mantengan actualizados sobre los últimos requisitos y proporciona una guía para mantenerse en cumplimiento a medida que se realizan cambios y actualizaciones.

¿Qué es el Mercado FedRAMP?

Las agencias deben poder verificar que los proveedores están autorizados, y es fundamental que los proveedores que se someten a auditorías puedan encontrar 3PAOs certificados bajo las regulaciones. El Mercado FedRAMP resuelve este problema proporcionando una base de datos buscable de proveedores que han obtenido su ATO, 3PAOs certificados para proporcionar auditorías, y plataformas y productos específicos que pueden cumplir o apoyar el cumplimiento.

Aquellos interesados en estos temas pueden utilizar el sitio web del Mercado FedRAMP para descubrir productos cumplidores, proveedores de la nube y evaluadores de terceros.

Aprovecha las Plataformas en la Nube Cumplidoras de FedRAMP para Ampliar Tu Base de Clientes

Aunque las regulaciones federales son estrictas, lo son por una razón: para proteger información crítica de ataques. Para las organizaciones dispuestas a someterse a los rigores de una auditoría ATO o P-ATO, casi siempre se encontrarán más seguras y mejor capacitadas para ofrecer productos y servicios a importantes agencias gubernamentales.

Los lectores pueden aprender más sobre la nube privada FedRAMP y por qué las organizaciones deberían usar proveedores de servicios en la nube autorizados por FedRAMP para proteger contenido sensible que se mueve dentro, hacia y desde sus organizaciones.

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks