¿Cuál es la diferencia entre FISMA y FedRAMP?

Para prestar servicios basados en la nube al gobierno, es importante conocer las normas federales de cumplimiento de TI promulgadas por el gobierno

Listen

Con su política de la nube primero, el gobierno estadounidense se ha comprometido a conceder a las agencias una autoridad más amplia para adoptar servicios basados en la nube disponibles comercialmente. Los principales motores de esta adopción son la mejora del retorno de la inversión, o ROI, de las inversiones en infraestructuras informáticas de los organismos, el refuerzo de la seguridad informática gubernamental y la prestación de servicios de mayor calidad al pueblo estadounidense.

Según Gartner, a mediados de 2018, casi la mitad de las organizaciones gubernamentales ya utilizaban activamente servicios en la nube. La adopción está en alza, y las ofertas de nube híbrida y multi-nube crecen en importancia. Si planea prestar servicios basados en la nube al gobierno, es más importante que nunca comprender a fondo las normas federales de cumplimiento de TI promulgadas por el gobierno. Dos importantes mandatos de cumplimiento relacionados con la seguridad informática que se discuten mucho cuando se habla de la infraestructura informática federal son FISMA y FedRAMP.

FISMA y FedRAMP tienen los mismos objetivos de alto nivel de proteger los datos del gobierno y reducir el riesgo de seguridad de la información dentro de los sistemas de información federales. Ambos se basan también en los controles de la Publicación Especial 800-53A del NIST. Sin embargo, existe un claro contraste entre ambos en términos de política federal, controles de seguridad y autorización.

¿Qué es la FISMA?

Promulgada en 2002, la FISMA - Ley Federal de Gestión de la Seguridad de la Información - cubre los parámetros de cumplimiento en materia de almacenamiento y tratamiento de datos gubernamentales. Exige que las agencias federales y sus proveedores del sector privado implementen controles de seguridad de la información que garanticen la protección de los datos de los sistemas de información federales. Todas las empresas del sector privado que venden servicios al gobierno federal deben cumplir los requisitos de la FISMA.

El marco principal para el cumplimiento de la FISMA es NIST SP 800-53. En pocas palabras, para que los proveedores cumplan con la FISMA, deben implementar los controles de seguridad de la información recomendados para los sistemas de información federales, tal y como se identifican en el NIST SP 800-53. Las evaluaciones de la FISMA se centran tradicionalmente en los sistemas de información que dan soporte a un único organismo.

Los proveedores que cumplen con la FISMA reciben la Autoridad para Operar, o ATO, sólo de la agencia federal concreta con la que están haciendo negocios. Si un proveedor tiene contratos comerciales con varias agencias federales, deberá obtener la ATO de cada una de ellas, ya que los controles de seguridad pueden diferir en función de las necesidades específicas de seguridad de los datos de cada agencia.

Hablemos de FedRAMP

Con la promulgación de FedRAMP, el gobierno pretendía facilitar a las agencias el proceso de contratación de proveedores de servicios en la nube. En el nivel más básico, FedRAMP se dirige más específicamente a los proveedores de servicios en la nube. Los sistemas evaluados bajo FedRAMP para su uso por parte de agencias gubernamentales son sistemas comerciales basados en la nube (por ejemplo, IaaS, PaaS, SaaS) utilizados por empresas del sector privado.

Los sistemas de información evaluados bajo FISMA o FedRAMP se categorizan de acuerdo con FIPS 199 como altos, moderados o bajos basándose en algunos criterios diferentes. A continuación, basándose en la categorización de la seguridad, se aplican al sistema de información los controles de seguridad aplicables del NIST SP 800-53 como impacto alto, impacto moderado o impacto bajo. Los requisitos de FedRAMP incluyen controles adicionales por encima de los controles estándar de línea de base del NIST en NIST SP 800-53 Revisión 4. Estos controles adicionales abordan los elementos únicos de la computación en la nube para garantizar que todos los datos federales estén seguros en entornos de nube.

Las agencias federales saben que un servicio basado en la nube es seguro de usar una vez que ha obtenido el sello de aprobación FedRAMP y, a diferencia de FISMA, FedRAMP ATO califica a un proveedor de servicios en la nube para hacer negocios con cualquier agencia federal.

Debido a su mayor alcance, el proceso de certificación FedRAMP es también mucho más riguroso. El programa de autorización exige que los proveedores de nubes se sometan a una evaluación de seguridad independiente realizada por una organización de evaluación externa, o 3PAO, para vender servicios gubernamentales en la nube a las agencias federales.

Conclusión

Las agencias federales que busquen un producto o servicio que cumpla con FedRAMP probablemente también esperarán que cumpla con FISMA. Los proveedores de servicios en la nube deben cumplir tanto la normativa FISMA como la FedRAMP para mantener una ATO del gobierno estadounidense. 

 

Los departamentos gubernamentales nacionales y federales de todo el mundo cuentan con Palo Alto Networks para evitar ciberataques exitosos, salvaguardar datos clasificados y confidenciales y optimizar las operaciones de seguridad. 

Saber más