Ir al contenido principal
Logotipo de Blackberry
Antecedentes del héroe

Soluciones en la nube con certificación FedRAMP

La seguridad de los servicios en la nube es una preocupación fundamental para las agencias federales de EE. UU. El manejo de datos gubernamentales confidenciales requiere un nivel de confianza y verificación que va mucho más allá de las prácticas comerciales estándar. El Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) ofrece un enfoque estandarizado para la evaluación de la seguridad, la autorización y la supervisión continua de los productos y servicios en la nube. Para un proveedor de servicios en la nube (CSP), obtener la certificación FedRAMP es un hito fundamental, ya que significa que su solución cumple con los rigurosos estándares de seguridad exigidos por el gobierno federal.

¿Qué significa tener la certificación FedRAMP?

FedRAMP es un programa gubernamental que establece una base de referencia para la seguridad de las ofertas en la nube. Cuando una solución en la nube recibe la designación «Certificada por FedRAMP» o, más exactamente, «Autorizada por FedRAMP», se confirma que la oferta ha sido sometida a una evaluación de seguridad exhaustiva y estandarizada. Esta autorización demuestra que la solución de un proveedor de servicios en la nube (CSP) ha implementado los controles necesarios para proteger la información federal.

El programa se diseñó para eliminar las evaluaciones de seguridad redundantes e inconsistentes entre las diferentes agencias, creando un marco único y fiable. La autorización de una agencia puede ser aprovechada por otras, siguiendo el modelo «hazlo una vez, úsalo muchas veces». Este proceso ahorra tiempo, recursos y esfuerzo tanto a las agencias gubernamentales como a los CSP.

Hay dos vías principales para obtener la autorización:

  1. Autorización provisional (P-ATO) de la Junta de Autorización Conjunta (JAB): La JAB está formada por los directores de información (CIO) del Departamento de Defensa (DoW), el Departamento de Seguridad Nacional (DHS) y la Administración de Servicios Generales (GSA). Una P-ATO de la JAB representa un alto nivel de confianza en materia de seguridad y se da prioridad a las soluciones en la nube con amplia aplicabilidad en todo el ámbito gubernamental.

  2. Autorización de la agencia para operar (ATO): un CSP puede trabajar directamente con una agencia federal específica para obtener una ATO para su oferta de servicios en la nube. La agencia revisa el paquete de seguridad del CSP y, si cumple los requisitos, concede una autorización para su uso dentro de esa agencia. Esta ATO puede ser revisada y reutilizada por otras agencias.

El proceso para obtener la certificación FedRAMP

El proceso para obtener la certificación FedRAMP es metódico y requiere una inversión significativa de tiempo y recursos. Aunque los detalles varían en función de la vía de autorización (JAB o agencia), las fases principales suelen ser las mismas.

Fase 1: Preparación

En esta fase inicial, el CSP determina si su servicio es adecuado para el mercado federal. El proveedor debe documentar la arquitectura de su sistema, identificar los límites del sistema que se va a autorizar y clasificar su sistema de información según las normas FIPS 199 (impacto bajo, moderado o alto). Esta clasificación determina el número y el rigor de los controles de seguridad que se deben implementar. El CSP también contrata a una organización de evaluación externa (3PAO) acreditada por FedRAMP para realizar pruebas de seguridad independientes.

Fase 2: Evaluación

Durante la fase de evaluación, la 3PAO lleva a cabo una evaluación de seguridad exhaustiva. Esto implica probar los controles de seguridad implementados por el CSP para verificar que sean eficaces y cumplan con los requisitos de FedRAMP. La 3PAO elabora un informe de evaluación de seguridad (SAR) que detalla los resultados de las pruebas. El CSP utiliza este informe para crear un plan de acción y hitos (POA&M) con el fin de realizar un seguimiento y corregir cualquier vulnerabilidad identificada.

Fase 3: Autorización

En esta fase, la JAB o la agencia patrocinadora revisa el paquete de seguridad completo. Este paquete incluye el Plan de Seguridad del Sistema (SSP), el SAR, el POA&M y otros documentos de apoyo. Si el organismo autorizado determina que el riesgo de seguridad es aceptable, concede una P-ATO o ATO. A continuación, la solución autorizada se incluye en el FedRAMP Marketplace, lo que la hace visible y disponible para todas las agencias federales.

Fase 4: Supervisión continua

La certificación FedRAMP no es un evento único. Los CSP autorizados deben supervisar continuamente sus controles de seguridad, informar sobre su estado y someterse a evaluaciones anuales por parte de una 3PAO. Esto garantiza que la solución mantenga su postura de seguridad a lo largo del tiempo y se adapte a las amenazas emergentes. Este proceso continuo proporciona a las agencias la garantía de que los servicios que utilizan siguen siendo seguros durante todo su ciclo de vida.

Beneficiarios

Aunque el mandato se aplica a las agencias federales, el valor de FedRAMP se extiende a otros sectores que manejan información confidencial.

  • Gobiernos estatales y locales: Muchas entidades gubernamentales estatales y locales consideran el marco FedRAMP como un estándar fiable a la hora de adquirir servicios en la nube, aunque no sea un requisito formal.

  • Infraestructura crítica: Sectores como el energético, el financiero, el sanitario y el del transporte gestionan datos altamente sensibles y se enfrentan a importantes amenazas cibernéticas. Estas organizaciones suelen preferir o exigir que sus proveedores de servicios en la nube cuenten con una autorización FedRAMP como indicador de una seguridad sólida.

  • Base industrial de defensa (DIB): Las empresas que tienen contratos con el Departamento de Guerra manejan información controlada no clasificada (CUI) y deben cumplir requisitos de seguridad estrictos, como CMMC. La certificación FedRAMP suele considerarse una base sólida para cumplir estas otras obligaciones de cumplimiento.

Para cualquier organización en la que la seguridad de los datos y el cumplimiento normativo sean primordiales, una solución con certificación FedRAMP ofrece una garantía de protección validada. Confirma que el proveedor ha invertido en un programa de seguridad maduro capaz de proteger los activos de información críticos frente a amenazas sofisticadas.

BlackBerry para comunicaciones seguras

Seguridad certificada. Autoridad de confianza.

Las soluciones de comunicaciones seguras de BlackBerry cuentan con la certificación de las autoridades de seguridad más exigentes del mundo, para tus operaciones de misión crítica.

Explore las certificaciones de comunicaciones seguras de BlackBerry.