¿Qué es el cumplimiento de las normas FedRAMP?

El Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP, por sus siglas en inglés) es un programa estandarizado de evaluación y autorización de la seguridad para todos los productos y servicios en la nube utilizados por las agencias gubernamentales federales. Introducido en 2012, FedRAMP se desarrolló en respuesta al aumento del uso de la computación en nube por parte de empresas y corporaciones a gran escala en todo EE.UU. FedRAMP se desarrolló de acuerdo con la Ley Federal de Modernización de la Seguridad de la Información de 2014 o FISMA 2014 como una de las muchas medidas adoptadas por el gobierno federal para actualizar su infraestructura tecnológica.

El FedRAMP es obligatorio para todas las agencias federales estadounidenses y para cualquier servicio de computación en la nube que estas entidades puedan emplear. Para ello, el FedRAMP está regido por la Oficina de Gestión y Presupuesto (Office of Management and Budget, OMB), la Administración de Servicios Generales (General Services Administration, GSA), el Departamento de Seguridad Nacional (Department of Homeland Security, DHS), el Departamento de Defensa (Department of Defense, DoD), el Instituto Nacional de Normas y Tecnología (National Institute of Standards & Technology, NIST) y el Consejo Federal de Directores de Información (Federal Chief Information Officers, CIO). FedRAMP es importante para las agencias federales por las siguientes razones:

• Promueve tanto la coherencia como la confianza en lo que respecta a los sistemas de computación en nube utilizados por las agencias gubernamentales de acuerdo con las normas establecidas por los Institutos Nacionales de Normas y Tecnología o NIST y la FISMA 2014.
• Promueve la transparencia entre el gobierno de EE.UU. y sus proveedores de servicios en la nube.
• Promueve tanto la automatización como la supervisión continua en tiempo real en relación con los proveedores de servicios en la nube.
• Promueve la adopción de soluciones seguras en la nube por parte del gobierno de Estados Unidos mediante la reutilización de evaluaciones y autorizaciones.

¿Cuáles son los requisitos para el cumplimiento de FedRAMP?

En virtud de FedRAMP, las agencias federales que hacen uso de soluciones de computación en nube en el curso de sus funciones y operaciones están obligadas a realizar evaluaciones y autorizaciones de seguridad, así como a mantener la supervisión continua de los servicios en nube relacionados. Para ello, la Oficina de Gestión del Programa FedRAMP o PMO ha establecido los siguientes requisitos que las agencias federales deben cumplir:

• Los proveedores de servicios en la nube o CSP deben contar con una Autoridad de Agencia para Operar o ATO (Agency Authority to Operate) otorgada por una agencia federal estadounidense o una Autoridad Provisional para Operar o P-ATO (Provisional Authority to Operate) otorgada por la Junta de Autorización Conjunta o JAB (Joint Authorization Board).
• Los proveedores de servicios en la nube deben cumplir todos los requisitos de control de seguridad de FedRAMP de acuerdo con la línea base de control de seguridad de los Institutos Nacionales de Estándares y Tecnología o NIST 800-53, Rev. 4 para niveles de impacto moderado y alto.
• Todos los paquetes de seguridad de soluciones en la nube deben hacer uso de las plantillas FedRAMP requeridas.
• Todos los proveedores de servicios en la nube utilizados por las agencias federales deben ser aprobados primero por una organización de evaluación de terceros o 3PAO.
• Todos los paquetes de evaluación de seguridad completados deben publicarse en el repositorio seguro de FedRAMP.

¿Cuáles son los dos tipos de cumplimiento de FedRAMP?

Las agencias federales que buscan lograr el cumplimiento de FedRAMP con respecto a sus proveedores de servicios en la nube pueden adherirse a las dos vías siguientes:

• Autorización de la Junta de Autorización Conjunta o JAB – Para recibir la Autoridad Provisional para Operar o P-ATO de la JAB de FedRAMP, un proveedor de servicios en la nube debe primero ser evaluado por una 3PAO acreditada por FedRAMP, someterse a la revisión de la PMO de FedRAMP y recibir una P-ATO de la JAB. El JAB está compuesto por los Jefes de Información o CIOs del Departamento de Defensa o DoD, el Departamento de Seguridad Nacional o DHS, y la Administración de Servicios Generales o GSA.
• Autorización de la Agencia – Alternativamente, las agencias gubernamentales también pueden lograr el cumplimiento de FedRAMP a través de la autorización de la agencia. Bajo esta vía, un proveedor de servicios en la nube es revisado primero por el CIO de una agencia cliente o por un Funcionario Autorizador Delegado para lograr una ATO que cumpla con FedRAMP y que luego sea verificada por la Oficina de Administración de Programas o PMO de FedRAMP.

Independientemente del camino que tome una agencia gubernamental en particular en términos del cumplimiento de FedRAMP, la autorización de FedRAMP implica los siguientes cuatro pasos:

• Desarrollo del paquete – El primer paso para lograr el cumplimiento de FedRAMP es el desarrollo de un plan de seguridad del sistema. Una vez desarrollado un plan de seguridad del sistema adecuado, se solicitará a una organización de evaluación externa aprobada por FedRAMP que desarrolle un plan de evaluación del plan de seguridad.
• Evaluación – A continuación, se solicitará a la organización de evaluación externa que presente un informe de evaluación de la seguridad, que incluya un plan de acción específico, además de los hitos.
• Autorización – En el tercer paso del proceso, la JAB o la agencia gubernamental autorizadora aplicable tendrá que decidir si los riesgos establecidos en los dos primeros pasos del proceso se consideran aceptables. Si estos riesgos se consideran aceptables, deberá enviarse una carta de autorización para operar al FedRAMP a la oficina de gestión de proyectos correspondiente. Además, el proveedor de servicios en la nube figurará en el mercado de FedRAMP.
• Supervisión: en el último paso del proceso de autorización, el proveedor de servicios en la nube que trabaje con una agencia federal será responsable de enviar mensualmente los resultados de la supervisión de seguridad a cada agencia federal que utilice el servicio.

A medida que la tecnología en línea continúa cambiando las formas en que los empleados realizan sus funciones laborales cotidianas, las regulaciones como FedRAMP son más importantes que nunca. De acuerdo con la FISMA 2014, el FedRAMP es cualquier forma en que el gobierno de EE.UU. ha tratado de modernizar su marco tecnológico. Dado que los sitios web utilizados por las agencias federales tendrán sin duda un mayor riesgo de ser afectados por ciberataques que otros sitios web, leyes como FedRAMP sirven de protección contra este tipo de ataques. De este modo, los ciudadanos estadounidenses pueden estar seguros de que el gobierno de Estados Unidos está tomando todas las medidas necesarias para proteger su infraestructura informática basada en la nube.