FedRAMP

El gobierno federal de EE. UU. estableció el Federal Risk and Authorization Management Program (FedRAMP), un programa gubernamental que proporciona un enfoque estandarizado para la evaluación, la autorización y la supervisión continua de la seguridad para productos y servicios en la nube. Todos los modelos de servicio e implementaciones en la nube de organismos federales (salvo determinadas nubes privadas locales) deben cumplir los requisitos de FedRAMP al nivel de impacto adecuado (bajo, medio o alto).

Hay dos estrategias para obtener una autorización del FedRAMP: una autorización provisional a través del Joint Authorization Board (JAB) o una autorización a través de una agencia. En la opción de autorización por agencia, las agencias pueden trabajar directamente con un proveedor de servicios en la nube (CSP) para obtener autorización en cualquier momento. Los CSP que toman la decisión empresarial de trabajar directamente con una agencia para conseguir una Authority to Operate (ATO) colaboran con la agencia a lo largo de todo el proceso de autorización del FedRAMP.

Ambas estrategias requieren una evaluación por parte de una organización independiente de terceros (3PAO) que esté acreditada por el programa, así como una estricta revisión técnica por parte del FedRAMP Program Management Office (PMO).

FedRAMP se basa en el estándar de la publicación especial 800-53 rev. 4 del Instituto Nacional de Normas y Tecnología de EE. UU. (NIST), ampliado por controles específicos de FedRAMP y mejoras de control. Las autorizaciones de FedRAMP se conceden en tres niveles de impacto (bajo, medio y alto) según la clasificación de seguridad FIPS 199 del NIST. Estos niveles clasifican el impacto que podría tener en una organización la pérdida de confidencialidad, integridad o disponibilidad: bajo (efecto limitado), medio (efecto adverso grave) o alto (efecto grave o catastrófico).