Una visión general de FedRAMP y por qué debería importarle
En 2017, la Casa Blanca firmó una orden ejecutiva para reforzar la ciberseguridad de las redes federales y las infraestructuras críticas. Con esta directiva, combinada con la Ley de Modernización de la Tecnología Gubernamental, las agencias federales de EE.UU. se están centrando en modernizar su infraestructura informática al tiempo que hacen de la seguridad una prioridad absoluta. Un componente clave de esta modernización es acelerar la adopción de servicios seguros basados en la nube. El Programa Federal de Gestión de Riesgos y Autorizaciones, o FedRAMP, fue concebido como una forma de minimizar el riesgo de ciberseguridad para las agencias federales a medida que se trasladan a la nube.
FedRAMP prescribe un enfoque estandarizado para la evaluación de la seguridad, la autorización y la supervisión continua para el uso por parte de las agencias gubernamentales estadounidenses de productos y servicios basados en la nube. Las agencias federales dependen de este programa para proteger la confidencialidad e integridad de sus datos cuando adoptan tecnologías de seguridad, infraestructura o plataforma como servicio del sector privado, abreviadas SaaS, IaaS y PaaS, respectivamente. Los vendedores de servicios en la nube -lo que el programa denomina proveedores de servicios en la nube, o CSP- siguen caminos prescritos para obtener la certificación. Las organizaciones de evaluación de terceros llevan a cabo evaluaciones exhaustivas, mientras que la Oficina de Gestión del Programa FedRAMP ofrece supervisión y asesoramiento, además de revisar las presentaciones y tomar decisiones de autorización.
Ventajas de FedRAMP para las agencias federales
El programa ofrece un marco estandarizado de "hacer una vez, usar muchas veces" para ahorrar tiempo, esfuerzo y dinero a las agencias federales a la hora de evaluar la seguridad. Al mismo tiempo, los organismos conservan el control del nivel de riesgo de ciberseguridad que están dispuestos a aceptar para un servicio en nube concreto. Las agencias pueden evaluar los paquetes de presentación de los proveedores de nubes autorizados y decidir por sí mismas si la postura de riesgo es aceptable para sus necesidades o si desean realizar cambios.
Otras partes que pueden estar interesadas en FedRAMP
Un servicio en la nube autorizado por el FedRAMP tiene aplicabilidad más allá de las agencias federales, incluidos los gobiernos estatales y locales, así como las empresas que hacen negocios con agencias federales, que tienen requisitos similares en torno a la seguridad de los datos y la ciberseguridad. A menudo también tienen objetivos similares: simplificar las operaciones, reducir la sobrecarga operativa y mejorar la agilidad trasladando los servicios a la nube. Un servicio en la nube que recibe la autorización FedRAMP ha cumplido rigurosos criterios en cuanto a normas de seguridad, y las corporaciones más amplias del sector público y afiliadas al mismo pueden aprovechar con confianza un servicio de este tipo, sabiendo que es una alternativa segura a utilizar sus propios recursos para gestionar e implementar la infraestructura.
Más información
Puede encontrar FAQs y orientaciones detalladas para agencias, proveedores de servicios en la nube y organizaciones de evaluación de terceros en el sitio web FedRAMP. Para obtener más información sobre Palo Alto Networks® y FedRAMP, lea nuestro anuncio o visite la página gubernamental de Palo Alto Networks.
