Il processo di autorizzazione FedRAMP inizia con una revisione completa del piano di sicurezza del sistema del fornitore di servizi cloud e della relativa documentazione. La revisione è condotta da un'organizzazione di valutazione di terze parti (3PAO) certificata dal FedRAMP Program Management Office (PMO). Una volta completata la revisione, il 3PAO emetterà un rapporto di valutazione della sicurezza che delinea eventuali problemi di sicurezza che devono essere risolti prima che il fornitore di servizi cloud possa essere autorizzato a operare.
Vantaggi dell'autorizzazione FedRAMP
Il vantaggio principale dell'autorizzazione FedRAMP è la garanzia che il fornitore di servizi cloud di un'agenzia soddisfi i requisiti di sicurezza del governo federale. Questa garanzia è particolarmente importante per le agenzie che devono aderire ai requisiti di cybersecurity del Federal Information Security Modernization Act (FISMA). Inoltre, il processo di autorizzazione FedRAMP aiuta le agenzie a risparmiare tempo e denaro semplificando il processo di valutazione della sicurezza.
Risk Management Under FedRAMP
Una volta autorizzato il fornitore di servizi cloud, il FedRAMP Program Management Office (PMO) richiede al fornitore di implementare un programma di monitoraggio continuo per garantire che la sicurezza del servizio cloud rimanga intatta. Il fornitore deve inoltre sviluppare un piano per rispondere a potenziali incidenti di sicurezza. Attraverso il programma di monitoraggio continuo, il PMO può garantire che qualsiasi problema di sicurezza che si presenti venga affrontato rapidamente.
Requisiti di sicurezza continui
Una volta autorizzato il fornitore di servizi cloud, il PMO richiede che il fornitore mantenga un programma di sicurezza completo che soddisfi i requisiti di sicurezza delineati nel FedRAMP Security Assessment Framework. Ciò include il mantenimento di forti misure di autenticazione e controllo degli accessi, la crittografia dei dati sensibili e l'implementazione di controlli di sicurezza per la protezione da software dannosi.
Preparazione al processo di autorizzazione FedRAMP
Per avviare il processo di autorizzazione FedRAMP, i fornitori di servizi cloud devono innanzitutto sviluppare un piano di sicurezza del sistema e la relativa documentazione. Il piano di sicurezza del sistema deve includere una descrizione dei controlli di sicurezza che verranno implementati e delle modalità di monitoraggio. Inoltre, il fornitore di servizi cloud deve disporre di un piano di risposta agli incidenti.
Lavorare con valutatori terzi
I fornitori di servizi cloud devono lavorare con un valutatore terzo (3PAO) certificato dal FedRAMP PMO per completare il processo di autorizzazione. Il 3PAO esaminerà il piano di sicurezza del sistema e la relativa documentazione e condurrà una valutazione della sicurezza. Il 3PAO emetterà quindi un rapporto di valutazione della sicurezza che delinea eventuali problemi di sicurezza che devono essere affrontati prima che il fornitore di servizi cloud possa essere autorizzato a operare.
Conclusione
Il Federal Risk and Authorization Program (FedRAMP) è un programma governativo che fornisce un approccio standardizzato alla valutazione della sicurezza, all'autorizzazione e al monitoraggio continuo di prodotti e servizi cloud. Il programma aiuta le agenzie ad adottare in modo sicuro i servizi cloud fornendo una serie di controlli di sicurezza di base e un approccio coerente alla valutazione e all'autorizzazione della sicurezza. Attraverso il processo di autorizzazione FedRAMP, le agenzie sono in grado di garantire che i loro fornitori di servizi cloud soddisfino i requisiti di sicurezza del governo federale.
Secondo il sito web del Federal Risk and Authorization Management Program (FedRAMP), a marzo 2021 sono oltre 650 le aziende certificate FedRAMP. Tra queste figurano aziende come Amazon Web Services, Microsoft Azure, Google Cloud Platform e Salesforce.
NIST 800-53 è un quadro di controllo della sicurezza che fornisce indicazioni per la sicurezza dei sistemi informativi. FedRAMP è un quadro di controllo della sicurezza che fornisce indicazioni per la protezione dei sistemi informativi basati sul cloud. I due framework sono simili per molti aspetti, ma ci sono alcune differenze fondamentali.
Il NIST 800-53 contiene un insieme completo di controlli di sicurezza che possono essere applicati a qualsiasi tipo di sistema informativo. FedRAMP, invece, si concentra specificamente sui sistemi informativi basati sul cloud. Come tale, contiene un insieme più ristretto di controlli rilevanti per questo tipo di sistema.
Un'altra differenza fondamentale è che NIST 800-53 è un framework volontario, mentre FedRAMP è un framework obbligatorio. Ciò significa che le organizzazioni non sono tenute a implementare il NIST 800-53, ma sono tenute a implementare FedRAMP se vogliono utilizzare sistemi informativi basati sul cloud.
Infine, NIST 800-53 è sviluppato e mantenuto dal National Institute of Standards and Technology (NIST), mentre FedRAMP è sviluppato e mantenuto dal Federal Risk and Authorization Management Program (FedRAMP).