Settore pubblico 
Poiché le agenzie federali affrontano minacce informatiche sempre più sofisticate, garantire la sicurezza di sistemi ad alto impatto e dati sensibili non classificati è diventato una
Il Federal Risk and Authorization Management Program (FedRAMP) è un programma del governo statunitense progettato per standardizzare e semplificare la valutazione, l’autorizzazione e il monitoraggio continuo dei servizi di cloud computing per le agenzie federali. Stabilisce un insieme coerente di requisiti di sicurezza per i fornitori di servizi cloud (CSP), allo scopo di garantire che i loro prodotti soddisfino le rigorose esigenze di sicurezza e privacy del governo federale.
La differenza tra l’essere Autorizzato da FedRAMP e Equivalente a FedRAMP è che un prodotto Autorizzato da FedRAMP è stato ufficialmente riconosciuto come una soluzione cloud sicura e conforme approvata per l’uso del governo federale ed è elencato nel FedRAMP Marketplace ufficiale. Al contrario, un prodotto equivalente a FedRAMP è un’autocertificazione di un livello simile di impegno e intenti in materia di sicurezza, ma il prodotto non è elencato nel Marketplace ufficiale di FedRAMP.
Cosa significa “equivalenza a FedRAMP”?
I CSP che dichiarano di aver raggiunto l’equivalenza a FedRAMP affermano che il loro prodotto soddisfa standard di sicurezza paragonabili a FedRAMP, ma il CSP non ha completato formalmente il rigoroso processo di autorizzazione FedRAMP. Questo termine potrebbe essere utilizzato da organizzazioni non statunitensi, governi statali o enti privati che implementano controlli basati sulle linee guida FedRAMP. Spesso, ma non sempre, i CSP utilizzano l’equivalenza FedRAMP per indicare la prontezza alla conformità FedRAMP o l’intenzione di ottenere l’autorizzazione FedRAMP completa.
Le caratteristiche principali dell’equivalenza FedRAMP sono le seguenti:
- Il CSP dichiara autonomamente che il suo prodotto è conforme ai controlli di sicurezza FedRAMP o li utilizza come riferimento.
- Il prodotto del CSP può essere stato o meno formalmente valutato o aver ottenuto un’autorizzazione a operare (ATO) da un’agenzia federale o dal Joint Authorization Board (JAB).
- Il prodotto del CSP non è elencato nel FedRAMP Marketplace ufficiale.
Cosa significa Autorizzato da FedRAMP?
I CSP che vendono prodotti autorizzati da FedRAMP hanno completato il processo di autorizzazione di FedRAMP, comprese rigorose valutazioni di sicurezza condotte da un’organizzazione di valutazione di terze parti (3PAO), e il prodotto ha ottenuto un ATO da un’agenzia federale o dal JAB.
Le caratteristiche principali dell’autorizzazione FedRAMP sono le seguenti:
- Il prodotto del CSP è stato sottoposto a un processo di revisione e test di sicurezza molto dettagliato da parte di un 3PAO e deve essere sottoposto a una verifica di ri-autorizzazione annuale.
- Il prodotto del CSP ha ricevuto un ATO da un’agenzia federale o dal JAB.
- Il prodotto del CSP è elencato nel FedRAMP Marketplace ufficiale.
Differenze chiave tra “Equivalente a FedRAMP” e “Autorizzato da FedRAMP”
La seguente tabella riassume le principali differenze tra l’equivalenza FedRAMP e l’autorizzazione FedRAMP.
|
|
FedRAMP Authorized | FedRAMP Equivalent |
|---|---|---|
| Definition | A cloud product that has undergone the full FedRAMP security assessment process and received an official Authority to Operate (ATO) or Provisional Authority to Operate (P-ATO). | A cloud product that claims to be aligned with FedRAMP security controls but has not completed the formal FedRAMP authorization process. |
| Assessment Process | Requires a formal review by a FedRAMP-approved 3PAO and approval from a federal agency or the JAB. | Often involves internal assessments or informal audits aligned with FedRAMP standards, which may or may not have been done with oversight by a 3PAO or federal entity. |
| Security Standards | Fully compliant with FedRAMP’s standardized controls, derived from NIST SP 800-53. | Aligns with FedRAMP security controls but may not fully meet them. |
| Government Recognition | Listed on the FedRAMP Marketplace and officially recognized by federal agencies. | Not listed on the FedRAMP Marketplace and may not be recognized by federal agencies. |
| Verification | Includes comprehensive documentation, audits and ongoing monitoring validated by the U.S. government. | May or may not include partial documentation and assessments. |
| Continuous Monitoring | Requires continuous monitoring, with regular reporting and updates to maintain authorization. | Continuous monitoring may be implemented but not necessarily aligned with FedRAMP’s formal requirements. |
| Use Cases | Can be used by U.S. federal agencies procuring cloud services. Suitable for systems processing sensitive but unclassified (Moderate) or highly sensitive (High) data. | May be used for state, local or private sector applications where full FedRAMP authorization is not mandatory. May not be sufficient for direct federal use and cannot be used for highly sensitive (High) data. |
| Reusability Across Agencies | Can be reused across multiple federal agencies without having to examine the CSP’s entire Body of Evidence (BoE). This significantly reduces the time and cost of evaluating and onboarding the product. | No reusability. Each agency or organization may need to conduct its own security assessment, including a review of the CSP’s entire BoE, including their System Security Plan (SSP), Security Assessment Plan (SAP) and all attachments. This duplicates effort and significantly increases the time and cost of evaluating and onboarding the product. |
I rischi di lavorare con un fornitore “equivalente a FedRAMP” rispetto a un fornitore “autorizzato da FedRAMP”
La scelta di lavorare con un CSP equivalente a FedRAMP anziché con un CSP autorizzato da FedRAMP comporta alcuni rischi dovuti all’assenza di una convalida formale e del riconoscimento governativo delle misure di sicurezza del fornitore. I rischi aggiuntivi derivanti dalla collaborazione con un CSP “equivalente a FedRAMP” includono possibili lacune di sicurezza e un’implementazione incoerente dei controlli di sicurezza. L’autorizzazione FedRAMP prevede oltre 325 controlli e un monitoraggio continuo per garantire uno standard di sicurezza molto elevato. I fornitori equivalenti potrebbero implementare meno controlli o non disporre di solidi processi di monitoraggio. Inoltre, poiché non esiste un processo di certificazione standardizzato per l’equivalenza FedRAMP, il livello di conformità può variare significativamente tra i vari CSP.
A causa di questi rischi, i prodotti equivalenti a FedRAMP sono più appropriati per le organizzazioni non federali, come le aziende private o i governi statali e locali, che necessitano di un allineamento con standard di sicurezza elevati senza il costo di un prodotto autorizzato da FedRAMP. Ad esempio, un’organizzazione sanitaria del settore privato può utilizzare un sistema equivalente a FedRAMP per contribuire a garantire la sicurezza dei dati per la conformità all’HIPAA.
Conclusione
Lavorare con un provider equivalente a FedRAMP piuttosto che con un provider autorizzato da FedRAMP espone le organizzazioni a rischi quali lacune di sicurezza, non conformità e maggiore vulnerabilità agli attacchi informatici. Sebbene i CSP equivalenti a FedRAMP possano dimostrare buona fede nell’allineamento agli standard di sicurezza, solo i CSP autorizzati da FedRAMP sono sottoposti alla convalida formale e al monitoraggio continuo necessari per mitigare completamente questi rischi.
Inoltre, la valutazione di un fornitore equivalente a FedRAMP è un processo lungo e costoso che comporta l’esame dell’intero BoE del fornitore, che in genere include centinaia se non migliaia di pagine di documentazione. Al contrario, scegliere un fornitore autorizzato da FedRAMP significa che un 3PAO ha già esaminato la BoE del fornitore, testato i suoi controlli e confermato che il prodotto del fornitore soddisfa gli standard FedRAMP. Le agenzie possono verificarlo semplicemente controllando l’elenco del CSP nel FedRAMP Marketplace ufficiale.
Per uso federale, collaborare con un fornitore autorizzato da FedRAMP High, come Keeper, è essenziale per garantire una sicurezza e conformità solide.
