Setor público 
Os órgãos públicos estão sob pressão crescente para reduzir custos operacionais e, ao mesmo tempo, fortalecer suas defesas contra ameaças digitais dispendiosas. Sistemas legados e ferramentas
O Programa Federal de Gestão de Riscos e Autorizações (FedRAMP) é um programa do governo dos Estados Unidos criado para padronizar e agilizar a avaliação, a autorização e o monitoramento contínuo de serviços de computação em nuvem para agências federais. Ele estabelece um conjunto consistente de requisitos de segurança para provedores de serviços em nuvem (CSPs) a fim de garantir que seus produtos atendam às rigorosas necessidades de segurança e privacidade do governo federal.
A diferença entre ser FedRAMP autorizado e FedRAMP equivalente é que um produto FedRAMP autorizado foi oficialmente reconhecido como uma solução em nuvem segura e compatível, aprovada para uso pelo governo federal e listada no FedRAMP Marketplace oficial. Já um produto FedRAMP equivalente é uma autoafirmação de um esforço e intenção de segurança semelhantes, mas o produto não aparece listado no FedRAMP Marketplace.
O que significa “equivalência FedRAMP”?
Os CSPs que alegam ter atingido a equivalência FedRAMP afirmam que seu produto atende a padrões de segurança comparáveis ao FedRAMP, mas ainda não concluíram formalmente o rigoroso processo de autorização do programa. Esse termo pode ser utilizado por organizações não americanas, governos estaduais ou entidades privadas que implementam controles baseados nas diretrizes do FedRAMP. Com frequência, mas nem sempre, os CSPs usam a equivalência FedRAMP para indicar prontidão para conformidade ou a intenção de buscar a autorização completa no futuro.
As principais características da equivalência do FedRAMP são as seguintes:
- O CSP autoafirma que seu produto está alinhado com os controles de segurança do FedRAMP ou os utiliza como referência.
- O produto do CSP pode ou não ter sido formalmente avaliado ou recebido uma autorização para operar (ATO) por uma agência federal ou pelo Joint Authorization Board (JAB).
- O produto do CSP não está listado no FedRAMP Marketplace oficial.
O que significa FedRAMP autorizado?
Os CSPs que vendem produtos FedRAMP autorizados concluíram o processo de autorização do FedRAMP, incluindo avaliações rigorosas de segurança conduzidas por uma organização de avaliação terceirizada (3PAO), e o produto recebeu uma ATO de uma agência federal ou do JAB.
As principais características da autorização do FedRAMP são as seguintes:
- O produto do CSP passou por uma análise e testes de segurança extremamente detalhados realizados por uma 3PAO e deve passar por uma auditoria de reautorização anualmente.
- O produto do CSP recebeu uma ATO de uma agência federal ou do JAB.
- O produto do CSP está listado no FedRAMP Marketplace oficial.
Principais diferenças entre FedRAMP equivalente e FedRAMP autorizado
A tabela a seguir resume as principais diferenças entre equivalência FedRAMP e autorização FedRAMP.
|
|
FedRAMP Authorized | FedRAMP Equivalent |
|---|---|---|
| Definition | A cloud product that has undergone the full FedRAMP security assessment process and received an official Authority to Operate (ATO) or Provisional Authority to Operate (P-ATO). | A cloud product that claims to be aligned with FedRAMP security controls but has not completed the formal FedRAMP authorization process. |
| Assessment Process | Requires a formal review by a FedRAMP-approved 3PAO and approval from a federal agency or the JAB. | Often involves internal assessments or informal audits aligned with FedRAMP standards, which may or may not have been done with oversight by a 3PAO or federal entity. |
| Security Standards | Fully compliant with FedRAMP’s standardized controls, derived from NIST SP 800-53. | Aligns with FedRAMP security controls but may not fully meet them. |
| Government Recognition | Listed on the FedRAMP Marketplace and officially recognized by federal agencies. | Not listed on the FedRAMP Marketplace and may not be recognized by federal agencies. |
| Verification | Includes comprehensive documentation, audits and ongoing monitoring validated by the U.S. government. | May or may not include partial documentation and assessments. |
| Continuous Monitoring | Requires continuous monitoring, with regular reporting and updates to maintain authorization. | Continuous monitoring may be implemented but not necessarily aligned with FedRAMP’s formal requirements. |
| Use Cases | Can be used by U.S. federal agencies procuring cloud services. Suitable for systems processing sensitive but unclassified (Moderate) or highly sensitive (High) data. | May be used for state, local or private sector applications where full FedRAMP authorization is not mandatory. May not be sufficient for direct federal use and cannot be used for highly sensitive (High) data. |
| Reusability Across Agencies | Can be reused across multiple federal agencies without having to examine the CSP’s entire Body of Evidence (BoE). This significantly reduces the time and cost of evaluating and onboarding the product. | No reusability. Each agency or organization may need to conduct its own security assessment, including a review of the CSP’s entire BoE, including their System Security Plan (SSP), Security Assessment Plan (SAP) and all attachments. This duplicates effort and significantly increases the time and cost of evaluating and onboarding the product. |
Os riscos de trabalhar com um provedor “FedRAMP equivalente” em vez de um provedor FedRAMP autorizado
Optar por trabalhar com um CSP FedRAMP equivalente em vez de um FedRAMP autorizado envolve certos riscos devido à ausência de validação formal e do reconhecimento governamental das medidas de segurança do provedor. Riscos adicionais de trabalhar com um CSP “FedRAMP equivalente” incluem possíveis lacunas de segurança e implementação inconsistente de controles de segurança. A autorização FedRAMP inclui mais de 325 controles e monitoramento contínuo para garantir um padrão de segurança elevado. Provedores equivalentes podem implementar menos controles ou carecer de processos robustos de monitoramento. Além disso, como não existe um processo padronizado de certificação para equivalência FedRAMP, o nível de conformidade pode variar significativamente entre CSPs.
Devido a esses riscos, produtos FedRAMP equivalentes são mais adequados para organizações não federais, como empresas privadas ou governos estaduais e locais, que precisam de alinhamento com altos padrões de segurança sem os custos de um produto FedRAMP autorizado. Por exemplo, uma organização privada do setor de saúde pode usar um sistema FedRAMP equivalente para ajudar a garantir a segurança de dados em conformidade com a HIPAA.
O resultado final
Trabalhar com um provedor FedRAMP equivalente em vez de um FedRAMP autorizado expõe as organizações a riscos como lacunas de segurança, não conformidade e maior vulnerabilidade a ataques cibernéticos. Embora CSPs FedRAMP equivalentes possam demonstrar boa fé ao alinhar-se a padrões de segurança, apenas CSPs FedRAMP autorizados passam pela validação formal e pelo monitoramento contínuo necessários para mitigar totalmente esses riscos.
Além disso, avaliar um provedor FedRAMP equivalente é um processo demorado e caro que envolve a análise de todo o conjunto de evidências (BoE) do provedor, que normalmente inclui centenas, se não milhares, de páginas de documentação. Por outro lado, escolher um provedor FedRAMP autorizado significa que uma 3PAO já examinou o BoE do provedor, testou seus controles e confirmou que o produto atende aos padrões do FedRAMP. As agências podem verificar isso simplesmente consultando o registro do CSP no FedRAMP Marketplace oficial.
Para uso federal, trabalhar com um provedor FedRAMP autorizado, como o Keeper, é essencial para garantir segurança robusta e conformidade.
