FedRAMP – ¿Cuál es el gran problema?


Si trabaja para un proveedor de servicios en la nube en el negocio de la contratación federal, probablemente ya tenga un buen conocimiento de FedRAMP. También es possible que los lectores habituales de nuestro web site conozcan los entresijos de este programa.

Para aquellos que no están involucrados en estas áreas, sin embargo, este acrónimo puede resultar menos common. Tal vez solo haya oído hablar de él en una conversación pasajera con algunos de sus colegas expertos en ciberseguridad, o simplemente tenga curiosidad por saber de qué se trata todo el bombo. Si entra en esta categoría, ¡siga leyendo! Este web site es para ti.

A primera vista, FedRAMP puede parecer una especie de vía de acceso a una interestatal que se dirige al gobierno federal y, en cierto modo, lo es.

FedRAMP significa Programa federal de gestión de autorizaciones y riesgos, que proporciona una evaluación de seguridad estándar, autorización y monitoreo continuo para productos y servicios en la nube para ser utilizados por agencias federales. La misión normal del programa es proteger los datos de los ciudadanos estadounidenses en la nube y promover la adopción de servicios seguros en la nube en todo el gobierno con un enfoque estandarizado.

Una vez que un servicio en la nube ha ingresado con éxito en la interestatal, o ha obtenido la autorización de FedRAMP, puede ser utilizado por una agencia y enumerado en el Mercado de FedRAMP. FedRAMP Marketplace es una ventanilla única para que las agencias encuentren servicios en la nube que hayan sido probados y aprobados como seguros de usar, lo que hace que sea mucho más fácil determinar si una oferta cumple con los requisitos de seguridad.

En el cuarto año del programa, FedRAMP tenía 20 ofertas de servicios en la nube autorizados. Ahora, ocho años después de iniciado el programa, FedRAMP ha mas de 200 ofertas autorizadas, lo que refleja su compromiso de ayudar al gobierno a cambiar a la nube y aprovechar las nuevas tecnologías.

¿Quién debería estar autorizado por FedRAMP?

Cualquier proveedor de servicios en la nube que tenga un contrato con una agencia federal o quiera trabajar con una agencia en el futuro debe tener la autorización de FedRAMP. El cumplimiento de FedRAMP también puede beneficiar a los proveedores que no tienen planes de asociarse con el gobierno, ya que le indica al sector privado que están comprometidos con la seguridad en la nube.

El uso de un servicio en la nube que cumpla con los estándares de FedRAMP es obligatorio para las agencias federales. También se ha vuelto popular entre las organizaciones de la industria privada, que a menudo buscan los estándares FedRAMP como un punto de referencia de seguridad para los servicios en la nube que utilizan.

¿Cómo puede un servicio en la nube obtener autorización?

Hay dos formas de que un servicio en la nube obtenga la autorización de FedRAMP. Uno es con una autorización provisional (P-ATO) de la Junta de Autorización Conjunta (JAB) y el otro es a través de una Autoridad para Operar (ATO) de una agencia person.

Un P-ATO es una aprobación inicial del proveedor de servicios en la nube por parte de la JAB, que está compuesta por los directores de información (CIO) del Departamento de Defensa (DoD), el Departamento de Seguridad Nacional (DHS) y la Administración de Servicios Generales ( GSA). Esta designación significa que la JAB ha proporcionado una aprobación provisional para que las agencias aprovechen al otorgar una ATO a un sistema en la nube.

El director de una agencia otorga una ATO como parte del proceso de autorización de la agencia. Se puede otorgar una ATO después de que el patrocinador de una agencia revise la oferta del servicio en la nube y comprehensive una evaluación de seguridad.

¿Por qué buscar la aprobación de FedRAMP?

Lograr la autorización de FedRAMP para un servicio en la nube es un proceso muy largo y riguroso, pero ha recibido grandes elogios de los funcionarios de seguridad y los expertos de la industria por su enfoque estandarizado para evaluar si una oferta de servicios en la nube cumple con algunos de los requisitos de ciberseguridad más estrictos.

Existen varios beneficios para los proveedores de la nube que autorizan su servicio con FedRAMP. El programa permite que un servicio en la nube autorizado se reutilice continuamente en todo el gobierno federal, lo que ahorra tiempo, dinero y esfuerzo tanto para los proveedores de servicios en la nube como para las agencias. La autorización de un servicio en la nube también brinda a los proveedores de servicios una mayor visibilidad de su producto en todo el gobierno con una lista en FedRAMP Market.

Al optar por cumplir con FedRAMP, los proveedores de la nube pueden demostrar dedicación a los más altos estándares de seguridad de datos. Aunque el proceso para lograr la aprobación de FedRAMP es complejo, vale la pena para los proveedores, ya que indica un compromiso con la seguridad para los clientes gubernamentales y no gubernamentales.

Compromiso de McAfee con FedRAMP

En McAfee, nos dedicamos a garantizar que nuestros servicios en la nube cumplan con los estándares de FedRAMP. Estamos orgullosos de que MVISION Cloud de McAfee sea la primera plataforma de agente de seguridad de acceso a la nube (CASB) en recibir una Autoridad Provisional para Operar de Alto Impacto (P-ATO) de FedRAMP de la Junta de Autorización Conjunta (JAB) del gobierno de EE. UU.

Actualmente, diez agencias federales utilizan MVISION Cloud, incluido el Departamento de Energía (DOE), el Departamento de Salud y Servicios Humanos (HHS), el Departamento de Seguridad Nacional (DHS), la Administración de Alimentos y Medicamentos (Fda) y Aeronáutica Nacional y Administración del Espacio (NASA).

MVISION Cloud permite a las organizaciones federales tener total visibilidad y command de su infraestructura para proteger sus datos y aplicaciones en la nube. La designación FedRAMP High JAB P-ATO es el nivel de cumplimiento más alto disponible bajo FedRAMP, lo que significa que MVISION Cloud está autorizado para administrar datos gubernamentales altamente sensibles.

Esperamos seguir trabajando en estrecha colaboración con el programa FedRAMP y otros proveedores de nube dedicados a autorizar las ofertas de servicios en la nube con FedRAMP.





Enlace a la noticia unique