Ir al contenido principal
Logotipo de Blackberry
Antecedentes del héroe

Soluciones en la nube con certificación FedRAMP

La seguridad de los servicios en la nube es una de las principales preocupaciones de las agencias federales de EE. UU. El manejo de datos gubernamentales confidenciales exige un nivel de confianza y verificación que va mucho más allá de las prácticas comerciales habituales. El Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) ofrece un enfoque estandarizado para la evaluación de la seguridad, la certificación y la supervisión continua de los productos y servicios en la nube. Para un proveedor de servicios en la nube (CSP), obtener la certificación FedRAMP es un hito fundamental, ya que significa que su solución cumple con los rigurosos estándares de seguridad exigidos para su uso por parte del gobierno federal.

¿Qué significa tener la certificación FedRAMP?

FedRAMP es un programa de ámbito gubernamental que establece unos requisitos mínimos de seguridad para las ofertas de servicios en la nube. Cuando una solución en la nube recibe la designación de «Certificada por FedRAMP» o, más exactamente, «Certificada por FedRAMP», se confirma que dicha oferta ha sido sometida a una evaluación de seguridad exhaustiva y estandarizada. Esta certificación demuestra que la solución de un proveedor de servicios en la nube (CSP) ha implementado los controles necesarios para proteger la información federal.

El programa se diseñó para eliminar las evaluaciones de seguridad redundantes e incoherentes entre los distintos organismos, creando un marco único y fiable. La certificación obtenida por un organismo puede ser utilizada por otros, siguiendo el modelo de «hacerlo una vez, utilizarlo muchas veces». Este proceso ahorra tiempo, recursos y esfuerzo tanto a los organismos públicos como a los proveedores de servicios en la nube.

Hay dos vías principales para obtener la certificación:

  1. Autorización provisional (P-ATO) de la Junta de Autorización Conjunta (JAB): La JAB está formada por los directores de información (CIO) del Departamento de Defensa (DoW), el Departamento de Seguridad Nacional (DHS) y la Administración de Servicios Generales (GSA). Una P-ATO de la JAB representa un alto nivel de confianza en materia de seguridad y se da prioridad a las soluciones en la nube con amplia aplicabilidad en todo el ámbito gubernamental.

  2. Autorización de funcionamiento de una agencia (ATO): Un proveedor de servicios en la nube (CSP) puede colaborar directamente con una agencia federal concreta para obtener una ATO para su oferta de servicios en la nube. La agencia examina el paquete de seguridad del CSP y, si cumple los requisitos, concede la autorización para su uso dentro de dicha agencia. Posteriormente, esta ATO puede ser revisada y reutilizada por otras agencias.

El proceso para obtener la certificación FedRAMP

El proceso para obtener la certificación FedRAMP es metódico y requiere una inversión considerable de tiempo y recursos. Aunque los detalles varían en función de la vía de certificación (JAB o agencia), las fases principales suelen ser las mismas.

Fase 1: Preparación

En esta fase inicial, el proveedor de servicios en la nube (CSP) debe determinar si su servicio es un buen candidato para el mercado federal. El proveedor debe documentar la arquitectura de su sistema, identificar los límites del sistema que se va a certificar y clasificar su sistema de información según las normas FIPS 199 (impacto bajo, moderado o alto). Esta clasificación determina el número y el rigor de los controles de seguridad que deben implementarse. El CSP también contrata a una organización de evaluación de terceros (3PAO) acreditada por FedRAMP para que realice pruebas de seguridad independientes.

Fase 2: Evaluación

Durante la fase de evaluación, la 3PAO lleva a cabo una evaluación de seguridad exhaustiva. Esto implica probar los controles de seguridad implementados por el CSP para verificar que sean eficaces y cumplan con los requisitos de FedRAMP. La 3PAO elabora un informe de evaluación de seguridad (SAR) que detalla los resultados de las pruebas. El CSP utiliza este informe para crear un plan de acción y hitos (POA&M) con el fin de realizar un seguimiento y corregir cualquier vulnerabilidad identificada.

Fase 3: Certificación

En esta fase, el JAB o la agencia patrocinadora revisa el paquete de seguridad completo. Este paquete incluye el Plan de Seguridad del Sistema (SSP), el SAR, el POA&M y otros documentos de apoyo. Si el organismo revisor determina que el riesgo de seguridad es aceptable, concede una P-ATO o una ATO. A continuación, la solución certificada se incluye en el FedRAMP Marketplace, lo que la hace visible y accesible para todas las agencias federales.

Fase 4: Supervisión continua

La certificación FedRAMP no es un evento único. Los CSP autorizados deben supervisar continuamente sus controles de seguridad, informar sobre su estado y someterse a evaluaciones anuales por parte de una 3PAO. Esto garantiza que la solución mantenga su postura de seguridad a lo largo del tiempo y se adapte a las amenazas emergentes. Este proceso continuo proporciona a las agencias la garantía de que los servicios que utilizan siguen siendo seguros durante todo su ciclo de vida.

Beneficiarios

Aunque el mandato se aplica a las agencias federales, el valor de FedRAMP se extiende a otros sectores que manejan información confidencial.

  • Gobiernos estatales y locales: Muchas entidades gubernamentales estatales y locales consideran el marco FedRAMP como un estándar fiable a la hora de adquirir servicios en la nube, aunque no sea un requisito formal.

  • Infraestructuras críticas: Sectores como el energético, el financiero, el sanitario y el del transporte gestionan datos altamente sensibles y se enfrentan a importantes amenazas cibernéticas. Estas organizaciones suelen preferir o exigir que sus proveedores de servicios en la nube cuenten con la certificación FedRAMP como garantía de una seguridad sólida.

  • Base industrial de defensa (DIB): Las empresas que tienen contratos con el Departamento de Guerra manejan información controlada no clasificada (CUI) y deben cumplir requisitos de seguridad estrictos, como CMMC. La certificación FedRAMP suele considerarse una base sólida para cumplir estas otras obligaciones de cumplimiento.

Para cualquier organización en la que la seguridad de los datos y el cumplimiento normativo sean primordiales, una solución con certificación FedRAMP ofrece una garantía de protección validada. Confirma que el proveedor ha invertido en un programa de seguridad maduro capaz de proteger los activos de información críticos frente a amenazas sofisticadas.

BlackBerry para comunicaciones seguras

Seguridad certificada. Autoridad de confianza.

Las soluciones de comunicaciones seguras de BlackBerry cuentan con la certificación de las autoridades de seguridad más exigentes del mundo, para tus operaciones de misión crítica.

Explore las certificaciones de comunicaciones seguras de BlackBerry.