Sector público 
A medida que las agencias federales enfrentan amenazas cibernéticas cada vez más sofisticadas, proteger los sistemas de alto impacto y los datos confidenciales no clasificados se
El programa federal de administración de riesgos y autorizaciones (FedRAMP por sus siglas en inglés) es un programa del gobierno de los Estados Unidos diseñado para estandarizar y agilizar la evaluación, la autorización y el monitoreo continuo de los servicios de computación en la nube para agencias federales. Establece un conjunto coherente de requisitos de seguridad para los proveedores de servicios en la nube (CSP) para asegurar que sus productos cumplan con las rigurosas necesidades de seguridad y privacidad del gobierno federal.
La diferencia entre ser autorizado por FedRAMP y equivalente a FedRAMP es que un producto autorizado por FedRAMP ha sido oficialmente reconocido como una solución en la nube segura y conforme, aprobada para uso del gobierno federal y está listado en el Mercado FedRAMP oficial. Por el contrario, un producto equivalente a FedRAMP es una autocertificación de un nivel similar de esfuerzo e intención de seguridad, pero el producto no está listado en el FedRAMP Marketplace oficial.
¿Qué significa “equivalencia FedRAMP”?
Los CSP que afirman haber alcanzado la equivalencia de FedRAMP están declarando que su producto cumple con estándares de seguridad comparables a FedRAMP, pero dicho CSP no ha completado formalmente el riguroso proceso de autorización de FedRAMP. Este término puede ser empleado por organizaciones, gobiernos estatales o entidades privadas no estadounidenses que implementan controles basados en las directrices de FedRAMP. En algunos casos, los CSP utilizan la equivalencia de FedRAMP para indicar que se están preparando para el cumplimiento de FedRAMP o que quieren obtener una autorización FedRAMP completa.
Las características clave de la equivalencia de FedRAMP son las siguientes:
- El CSP autocertifica que su producto se alinea con los controles de seguridad de FedRAMP o los utiliza como punto de referencia.
- Es posible que el producto del CSP no haya sido evaluado formalmente o no haya recibido una autorización para operar (ATO por sus siglas en inglés) de una agencia federal o la Junta de Autorización Conjunta (JAB por sus siglas en inglés).
- El producto del CSP no está listado en el FedRAMP Marketplace oficial.
¿Qué significa «autorizado por FedRAMP»?
Los CSP que venden productos autorizados por FedRAMP completaron el proceso de autorización de FedRAMP, incluidas rigurosas evaluaciones de seguridad realizadas por una organización de evaluación de terceros (3PAO por sus siglas en inglés), y el producto recibió una ATO por parte de una agencia federal o la JAB.
Las características clave de la autorización de FedRAMP son las siguientes:
- El producto del CSP ha sido sometido a una revisión de seguridad muy detallada y un proceso de prueba por parte de un 3PAO y debe someterse a una auditoría de reautorización anualmente.
- El producto del CSP ha recibido una ATO por parte de una agencia federal o de la JAB.
- El producto del CSP aparece en el FedRAMP Marketplace oficial.
Diferencias clave entre equivalente a FedRAMP y autorizado por FedRAMP
En la siguiente tabla se resumen las principales diferencias entre la equivalencia de FedRAMP y la autorización de FedRAMP.
|
|
FedRAMP Authorized | FedRAMP Equivalent |
|---|---|---|
| Definition | A cloud product that has undergone the full FedRAMP security assessment process and received an official Authority to Operate (ATO) or Provisional Authority to Operate (P-ATO). | A cloud product that claims to be aligned with FedRAMP security controls but has not completed the formal FedRAMP authorization process. |
| Assessment Process | Requires a formal review by a FedRAMP-approved 3PAO and approval from a federal agency or the JAB. | Often involves internal assessments or informal audits aligned with FedRAMP standards, which may or may not have been done with oversight by a 3PAO or federal entity. |
| Security Standards | Fully compliant with FedRAMP’s standardized controls, derived from NIST SP 800-53. | Aligns with FedRAMP security controls but may not fully meet them. |
| Government Recognition | Listed on the FedRAMP Marketplace and officially recognized by federal agencies. | Not listed on the FedRAMP Marketplace and may not be recognized by federal agencies. |
| Verification | Includes comprehensive documentation, audits and ongoing monitoring validated by the U.S. government. | May or may not include partial documentation and assessments. |
| Continuous Monitoring | Requires continuous monitoring, with regular reporting and updates to maintain authorization. | Continuous monitoring may be implemented but not necessarily aligned with FedRAMP’s formal requirements. |
| Use Cases | Can be used by U.S. federal agencies procuring cloud services. Suitable for systems processing sensitive but unclassified (Moderate) or highly sensitive (High) data. | May be used for state, local or private sector applications where full FedRAMP authorization is not mandatory. May not be sufficient for direct federal use and cannot be used for highly sensitive (High) data. |
| Reusability Across Agencies | Can be reused across multiple federal agencies without having to examine the CSP’s entire Body of Evidence (BoE). This significantly reduces the time and cost of evaluating and onboarding the product. | No reusability. Each agency or organization may need to conduct its own security assessment, including a review of the CSP’s entire BoE, including their System Security Plan (SSP), Security Assessment Plan (SAP) and all attachments. This duplicates effort and significantly increases the time and cost of evaluating and onboarding the product. |
Los riesgos de trabajar con un proveedor “equivalente a FedRAMP” en lugar de un proveedor autorizado por FedRAMP
Elegir trabajar con un CSP equivalente a FedRAMP en lugar de un CSP autorizado por FedRAMP conlleva ciertos riesgos debido a la ausencia de validación formal y reconocimiento gubernamental de las medidas de seguridad del proveedor. Los riesgos adicionales de trabajar con un CSP «equivalente a FedRAMP» incluyen posibles brechas de seguridad e implementación inconsistente de controles de seguridad. La autorización FedRAMP incluye más de 325 controles y monitoreo continuo para garantizar un estándar de seguridad muy alto. Los proveedores equivalentes pueden implementar menos controles o carecer de procesos de monitoreo robustos. Además, debido a que no existe un proceso de certificación estandarizado para la equivalencia de FedRAMP, el nivel de cumplimiento puede variar significativamente entre los CSP.
Debido a estos riesgos, los productos equivalentes a FedRAMP son los más apropiados para organizaciones no federales, como empresas privadas o gobiernos estatales y locales, que necesitan alinearse con estándares de alta seguridad sin el costo de un producto autorizado por FedRAMP. Por ejemplo, una organización de atención médica del sector privado puede usar un sistema equivalente a FedRAMP para ayudar a garantizar la seguridad de los datos para el cumplimiento de HIPAA.
La conclusión
Trabajar con un proveedor equivalente a FedRAMP en lugar de un proveedor autorizado por FedRAMP expone a las organizaciones a riesgos como brechas de seguridad, incumplimiento y mayor vulnerabilidad a los ataques cibernéticos. Si bien los CSP equivalentes a FedRAMP pueden demostrar buena fe en alinearse con los estándares de seguridad, solo los CSP autorizados por FedRAMP se someten a la validación formal y monitoreo continuo necesarios para mitigar completamente estos riesgos.
Además, la evaluación de un proveedor equivalente a FedRAMP es un proceso largo y costoso que implica el examen de todo el BoE del proveedor, que normalmente incluye cientos, si no miles, de páginas de documentación. Por el contrario, elegir un proveedor autorizado por FedRAMP significa que un 3PAO ya ha examinado el BoE del proveedor, probado sus controles y confirmado que el producto del proveedor cumple con los estándares de FedRAMP. Las agencias pueden verificar esto simplemente revisando la lista del CSP en el mercado oficial de FedRAMP.
Para uso federal, trabajar con un proveedor autorizado por FedRAMP High, como Keeper, es esencial para garantizar una seguridad y un cumplimiento robustos.
