ES|EN

Análisis del programa de seguridad cloud FedRAMP (I)

FedRAMP (Federal Risk and Authorization Management Program) es el instrumento creado por el gobierno americano para facilitar la contratación de servicios en la nube por la administración americana. Este programa ha sido promovido por los departamentos con responsabilidad en esta materia: DOD (Defensa), DHS (Interior) y GSA (Administración de Servicios Generales) mediante la creación de un órgano conjunto denominado JAB (Joint Administration Board) que vendría a ser algo similar al Payment Card Industry Security Standard Council ya que ejerce funciones semejantes, es decir, fundamentalmente:

  • Estandarizar los requisitos de seguridad (partiendo de la publicación 800-53 del NIST, "Security and Privacy Controls for Federal Information Systems and Organizations")
  • Homologar asesores (3PAOs - Third-party assessment organizations)
  • Llevar registro de proveedores y asesores homologados (en el caso de PCI SSC solo son los asesores)
  • Adicionalmente, FedRAMP incluye modelos de ANS para que sean utilizados por las partes y simplificar así este proceso.

La idea consiste, básicamente, en "hacer una y usar muchas veces", es decir, revisar una vez la seguridad del proveedor y utilizar los resultados tantas veces como sea necesario, en función de las agencias del gobierno que quieran utilizar sus servicios.

FedRAMP nos parece un esquema muy interesante que aborda desde otro enfoque el objetivo de que la seguridad deje de ser un freno a la contratación de servicio en la nube. Además, el programa comparte algunas características con el esquema de calificación que proponemos en leet, aunque las principales son las cuatro siguientes:

  • Aporta transparencia al proceso de contratación mediante un registro público en el que figuran los proveedores que cumplen los criterios. De esta manera también se consigue reducir el número de valoraciones necesarias de lo mismo, por lo que, la sociedad, en su conjunto, es más eficiente.
  • Reconoce que pueden existir diferentes necesidades por parte de los usuarios en cuanto a su nivel de seguridad en función de los procesos a los que den soporte [por desgracia, por el momento, solo han desarrollado los requisitos para sistemas de seguridad con requerimientos bajos y medios según NIST 800-53].
  • No solo es importante la "homologación" inicial, sino que el mantenimiento de las condiciones es importante y se monitoriza a lo largo del tiempo.
  • Los criterios de valoración son públicos.

Aunque también tenemos nuestras diferencias, siendo las principales las siguientes:

  • Solo utilizan (potencialmente) tres niveles, mientras que en nuestra calificación hay cinco.
  • No segrega el nivel de seguridad en cuanto a las tres dimensiones de confidencialidad, integridad y disponibilidad, sino que las considera en su conjunto (la mayor de todas ellas).
  • FedRAMP solo es para las agencias públicas [norteamericanas], no para el sector privado.
  • El esquema de calificación que propone leet no requiere de terceros autorizados sino que aborda la problemática del cumplimiento mediante una combinación de autodeclaración, vigilancia y denuncia de incumplimientos.
  • Finalmente, el esquema de calificación que nosotros proponemos está más orientado a los servicios de manera específica y toma en consideración en la valoración aspectos adicionales a los meramente técnicos (orientados a valorar la viabilidad del proveedor y a su perduración en el mercado).

En cualquier caso, como decíamos una aproximación muy interesante que acabaremos de analizar la semana que viene, revisando con un poco más de profundidad los criterios de seguridad que utiliza para la valoración.