TL;DR

¿Vender servicios en la nube a agencias federales estadounidenses? Sin autorización FedRAMP = no hay trato.

Basado en NIST 800-53, pero adaptado a la nube: requiere auditorías 3PAO, controles estrictos y supervisión continua.

Lleva entre 12 y 18 meses (o más), pero desbloquea todo el mercado gubernamental estadounidense. Merece la pena si quieres jugar en las grandes ligas.

Resumen del Scorecard de FedRAMP:

• Esfuerzo del desarrollador: Alto (Requiere construir y operar servicios de acuerdo a los estrictos controles NIST 800-53, documentación extensa (SSP), soportar rigurosas evaluaciones 3PAO y monitoreo continuo).
• Coste de herramientas: Muy alto (Requiere una inversión significativa en herramientas de seguridad alineadas con NIST 800-53, registro/monitorización, entornos FedRAMP potencialmente separados, además de costosas tasas de evaluación 3PAO).
• Impacto en el mercado: Crítico (Requisito obligatorio para los CSP que vendan servicios en la nube a agencias federales estadounidenses).
• Flexibilidad: Baja (Prescribe líneas de base específicas NIST 800-53 (Baja, Moderada, Alta), requiere adherencia a procesos y plantillas FedRAMP PMO).
• Intensidad de auditoría: Muy Alta (Requiere evaluación inicial y autorización por parte de un 3PAO y agencia patrocinadora o JAB, además de exigir seguimiento continuo y reevaluaciones anuales).

¿Qué es FedRAMP?

El Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP, por sus siglas en inglés) es un programa gubernamental estadounidense creado en 2011 para proporcionar un enfoque estandarizado y basado en riesgos para la evaluación de la seguridad, la autorización y la supervisión continua de las ofertas de servicios en la nube (CSO, por sus siglas en inglés) utilizadas por las agencias federales. Su principio básico es "hazlo una vez, úsalo muchas veces": un proveedor de servicios en la nube (CSP) se somete al proceso FedRAMP una vez y, a continuación, varias agencias federales pueden reutilizar ese paquete de autorización de seguridad para conceder su propia autorización para operar (ATO).

Componentes clave:

• Líneas de base de seguridad estandarizadas: FedRAMP basa sus requisitos de seguridad en NIST SP 800-53. Define líneas de base de control específicas para los niveles de impacto Bajo, Moderado y Alto (según la categorización FIPS 199), especificando qué controles y mejoras 800-53 son necesarios para cada uno.
• Vías de autorización: Hay dos vías principales para conseguir un FedRAMP Autorización:
  
  1. Autorización de la agencia: Una agencia federal específica trabaja directamente con un CSP, revisa su paquete de seguridad, acepta el riesgo y concede una ATO para el uso de su agencia. Esta es la vía más habitual.
  2. Autorización provisional (P-ATO) de la Junta de Autorización Conjunta (JAB): El JAB (compuesto por CIOs del DoD, DHS, GSA) selecciona un pequeño número de CSOs para una revisión rigurosa y centralizada, resultando en una P-ATO que las agencias pueden aprovechar. Se trata de una opción muy solicitada, pero más difícil de obtener.
• Organizaciones de Evaluación de Terceros (3PAOs): Las organizaciones independientes acreditadas (3PAOs) realizan la evaluación inicial de seguridad de la CSO contra los requisitos de FedRAMP y llevan a cabo evaluaciones anuales continuas.
• Supervisión continua: Las OSC autorizadas deben supervisar continuamente su postura de seguridad, informar de los hallazgos (vulnerabilidades, incidentes) y someterse a evaluaciones anuales por parte de una 3PAO.
• Mercado FedRAMP: Una lista pública de OSC que han logrado una designación FedRAMP ("Listo", "En proceso" o "Autorizado").

FedRAMP actúa esencialmente como guardián que garantiza que los servicios en nube cumplen las normas federales de seguridad antes de manejar datos gubernamentales.

¿Por qué es importante?

Para los proveedores de servicios en la nube (CSP), la autorización FedRAMP es crucial:

• Acceso al mercado federal: Es obligatorio para cualquier OSC que procese o almacene datos del gobierno federal de Estados Unidos. Sin una ATO FedRAMP, las agencias federales generalmente no pueden utilizar su servicio en la nube.
• Mayor credibilidad y confianza: Conseguir la autorización FedRAMP indica un nivel muy alto de garantía de seguridad, lo que genera confianza no solo con las agencias federales, sino también con los gobiernos estatales/locales y las empresas comerciales (especialmente las de sectores regulados).
• Enfoque estandarizado: Aunque complejo, proporciona un único conjunto de requisitos reconocidos en todo el gobierno federal, evitando demandas de seguridad potencialmente diferentes de cada agencia.
• Ventaja competitiva: Contar con la autorización FedRAMP da a los CSP una ventaja significativa sobre los competidores no autorizados a la hora de conseguir contratos federales.
• Postura de seguridad mejorada: El riguroso proceso obliga a los CSP a implantar sólidos controles de seguridad basados en NIST 800-53, lo que mejora significativamente su seguridad general.

En pocas palabras, si un CSP quiere hacer negocios con el gobierno federal de Estados Unidos, FedRAMP es imprescindible.

Qué y cómo aplicar (técnica y política)

Conseguir la autorización FedRAMP es un proceso de varias fases que requiere una inversión significativa y el cumplimiento de los controles NIST 800-53:

1. Preparación y asociación:
   
   • Determinar el nivel de impacto: Categorizar la CSO como de impacto Bajo, Moderado o Alto en base a FIPS 199 según el tipo de datos que manejará. Esto dicta la línea base de control NIST 800-53 requerida.
   • Encontrar una Agencia Patrocinadora (para ATO de Agencia): Identificar una agencia federal dispuesta a asociarse y patrocinar la OSC a través del proceso de autorización. Este suele ser el mayor obstáculo. (La vía JAB tiene su propio proceso de selección).
   • Contratar un 3PAO y asesores: Seleccione un 3PAO acreditado para la evaluación y potencialmente asesores para guiar la preparación.
2. Documentación y evaluación de la preparación:
   
   • Desarrollar un Plan de Seguridad del Sistema (SSP): Crear un SSP detallado que describa el límite del sistema, la arquitectura, los flujos de datos y cómo se implementa cada control NIST 800-53 requerido de la línea de base pertinente. Se trata de una tarea ingente.
   • Desarrollar documentos de apoyo: Políticas, procedimientos, Plan de Respuesta a Incidentes, Plan de Gestión de la Configuración, Plan de Contingencia, etc.
   • (Opcional pero recomendado) Evaluación de la preparación: Pida a una 3PAO que realice un Informe de Evaluación de la Preparación (RAR) para calibrar la preparación antes de la evaluación completa.
3. Evaluación completa de la seguridad (por 3PAO):
   
   • Desarrollar el Plan de Evaluación de Seguridad (SAP): La 3PAO crea un plan en el que detalla cómo pondrá a prueba cada control.
   • Realización de la evaluación: La 3PAO realiza pruebas rigurosas (entrevistas, revisión de documentación, validación técnica) de todos los controles aplicables descritos en el PSS.
   • Elaborar un informe de evaluación de la seguridad (SAR): La 3PAO documenta las conclusiones, incluidas las vulnerabilidades y las deficiencias de control.
4. Remediación y POA&M:
   
   • Elaborar un plan de acción e hitos (POA&M): Elabore un plan detallado que indique cómo y cuándo se subsanarán las deficiencias detectadas.
   • Remediar los problemas: Corregir las vulnerabilidades y lagunas de control identificadas.
5. Autorización:
   
   • Envío del paquete: Presentar el paquete final (SSP, SAR, POA&M, etc.) a la agencia patrocinadora (para ATO de Agencia) o JAB (para P-ATO).
   • Revisión de la Agencia/JAB: El organismo autorizador revisa el paquete y toma una decisión basada en el riesgo.
   • Concesión de ATO / P-ATO: Si el riesgo es aceptable, se concede una Autorización de Explotación (ATO o P-ATO), normalmente por 3 años sujeta a una supervisión continua.
6. Supervisión continua:
   
   • Análisis continuos: Realice análisis mensuales de vulnerabilidad de sistemas operativos, bases de datos y aplicaciones web.
   • Gestión del POA&M: Gestione y corrija continuamente los elementos del POA&M.
   • Notificación de incidentes: Notifique los incidentes de seguridad de acuerdo con las directrices del US-CERT.
   • Evaluación anual: Someterse a una evaluación anual por parte de un 3PAO que cubra un subconjunto de controles.
   • Solicitudes de cambios importantes: Presente solicitudes de aprobación antes de realizar cambios importantes en el sistema autorizado.

FedRAMP exige una profunda implantación de los controles NIST 800-53, una amplia documentación y prácticas de seguridad rigurosas y continuas.

Errores comunes que hay que evitar

El camino hacia la autorización FedRAMP está plagado de escollos potenciales:

1. Subestimar el coste y el esfuerzo: No se tiene en cuenta la importante inversión económica (honorarios de 3PAO, utillaje, personal) y de tiempo (más de 12-18 meses) necesaria.
2. Falta de compromiso ejecutivo: Tratar FedRAMP únicamente como una tarea de TI/cumplimiento sin un apoyo sostenido desde arriba y una asignación de recursos a través de los equipos de ingeniería, producto, seguridad y GRC.
3. Sin patrocinador de la agencia (para la vía de la agencia): Comenzar el trabajo técnico sin haber conseguido un patrocinador de la agencia federal comprometido y dispuesto a conceder una ATO.
4. SSP incompleto/inexacto: presentar un plan de seguridad del sistema que no refleje con exactitud los límites del sistema o que no describa adecuadamente cómo se aplican todos los controles requeridos. Este es uno de los principales motivos de retraso o rechazo.
5. Mala selección/gestión del 3PAO: Elección de un 3PAO sin experiencia o no gestión eficaz del proceso de evaluación.
6. Ignorar los requisitos de supervisión continua: Conseguir la autorización pero luego no implantar los sólidos procesos de supervisión continua necesarios para mantenerla.
7. Suponer que el entorno comercial es suficiente: Intentar que se autorice una oferta de nube comercial sin modificaciones significativas o construir potencialmente un entorno independiente y reforzado para cumplir los estrictos requisitos federales (por ejemplo, validación criptográfica FIPS 140).
8. No comprender la responsabilidad compartida: Para los proveedores de PaaS/SaaS que construyen sobre un IaaS autorizado, no entender y documentar qué controles se heredan frente a cuáles son responsables de implementar.

Lo que preguntarán los auditores/3PAO (Enfoque en el desarrollador)

Las evaluaciones FedRAMP realizadas por 3PAO profundizan en los controles NIST 800-53. Se puede pedir a los desarrolladores que demuestren el cumplimiento en relación con:

• (Familia SA - Adquisición de Sistemas) "¿Cómo incorpora la seguridad en su SDLC? Muestre documentación y pruebas de la formación en seguridad de los desarrolladores (SA-3), pruebas de seguridad como SAST/DAST (SA-11) y gestión de riesgos de la cadena de suministro para componentes de software (SA-12)."
• (Familia CM - Gestión de la configuración) "Demuestre su proceso de control de cambios para las versiones de software (CM-3). ¿Cómo se mantienen las configuraciones de referencia seguras para las aplicaciones (CM-2, CM-6)?".
• (Familia SI - Integridad del sistema) "¿Cómo protege la aplicación contra fallos comunes (SI-15)? ¿Cómo se detecta/evita el código malicioso (SI-3)? ¿Cómo se gestiona la salida de información (SI-11)?"
• (Familia AC - Control de acceso) "Muestre cómo se implementan los privilegios mínimos (AC-6) y la separación de funciones (AC-5) para los desarrolladores que acceden a diferentes entornos o datos."
• (Familia AU - Auditoría y Rendición de Cuentas) "Proporcionar evidencia de que los eventos a nivel de aplicación relevantes para la seguridad se registran (AU-2) y los registros están protegidos (AU-9)".
• (Familia SC - Protección de sistemas y comunicaciones) "¿Cómo se cifran los datos en tránsito (SC-8) y en reposo (SC-28) dentro de la pila de aplicaciones? ¿Se utilizan módulos validados por FIPS 140 (SC-13)?"

Las 3PAO exigen pruebas verificables: documentación (SSP, políticas, procedimientos), ajustes de configuración, registros, resultados de escaneado, registros de formación y, a menudo, demostraciones en directo.

Ganancias rápidas para los equipos de desarrollo

Si bien FedRAMP completo requiere un gran esfuerzo, los equipos de desarrollo que se alinean con NIST 800-53 (la base de FedRAMP) pueden comenzar con:

1. Adoptar prácticas SDLC seguras: Integrar los requisitos de seguridad, el modelado de amenazas, los estándares de codificación segura y las pruebas sólidas (SAST, DAST, SCA) en el ciclo de vida del desarrollo (alineado con la familia SA).
2. Implantar autenticación fuerte: Utilice MFA para el acceso de los desarrolladores a repos de código, CI/CD y entornos en la nube (se alinea con la familia IA).
3. Mejorar los registros: Asegúrese de que las aplicaciones generan registros de auditoría detallados y relevantes para la seguridad (en línea con la familia AU).
4. Gestión de secretos: Elimine los secretos codificados; utilice bóvedas aprobadas (en consonancia con las familias AC, SI).
5. Gestión de dependencias (SBOM/SCA): Gestionar activamente las vulnerabilidades en las bibliotecas de terceros (alineado con las familias SI, RA, SA).
6. Infraestructura inmutable e IaC: utilice la infraestructura como código con análisis de seguridad para gestionar los entornos de forma coherente y segura (en consonancia con la familia CM).
7. Utilice FIPS 140 Validated Crypto: Asegúrese de que los módulos criptográficos utilizados para el cifrado cumplen las normas FIPS 140 cuando sea necesario (en consonancia con la familia SC).

Ignore esto y... (Consecuencias del incumplimiento)

Para los proveedores de servicios en nube que se dirigen al mercado federal estadounidense, no conseguir o mantener la autorización FedRAMP significa:

• Sin acceso al mercado federal: Por lo general, las agencias federales tienen prohibido utilizar servicios en la nube que carezcan de una ATO FedRAMP. El incumplimiento bloquea por completo el acceso a este lucrativo segmento del mercado.
• Pérdida de clientes federales existentes: Si una ATO existente es revocada debido a una supervisión continua o a evaluaciones anuales fallidas, las agencias federales que utilizan el servicio pueden verse obligadas a migrar fuera de él.
• Inversión significativa desperdiciada: El tiempo y el dinero invertidos en conseguir la autorización FedRAMP se pierden si no se consigue o mantiene la ATO.
• Desventaja competitiva: Los competidores con autorización FedRAMP captarán la cuota de mercado federal.
• Daños a la reputación: No superar el proceso FedRAMP puede afectar negativamente a la reputación de un CSP, pudiendo afectar también a las ventas comerciales.

En esencia, FedRAMP es el billete de entrada obligatorio para los CSP en el espacio federal estadounidense.

PREGUNTAS FRECUENTES

¿Quién necesita la autorización FedRAMP?

Cualquier proveedor de servicios en la nube (Cloud Service Provider, CSP) que ofrezca una oferta de servicios en la nube (Cloud Service Offering, CSO) -ya sea IaaS, PaaS o SaaS- que procese o almacene datos del gobierno federal de EE.UU. debe obtener la autorización FedRAMP antes de que las agencias federales puedan utilizarla.

¿Cuáles son los niveles de impacto de FedRAMP (Bajo, Moderado, Alto)?

Estos niveles categorizan los requisitos de seguridad en función del impacto potencial (Bajo, Moderado o Alto) de una pérdida de confidencialidad, integridad o disponibilidad de los datos manejados por el servicio en nube, según FIPS 199. Los niveles de impacto más elevados requieren un número significativamente mayor de controles NIST 800-53. Moderado es el nivel de referencia más común.

¿Cuál es la diferencia entre la ATO de la Agencia y la P-ATO de JAB?

• Agencia ATO (Autoridad para operar): Otorgada por una agencia federal específica para su propio uso de una OSC. La agencia acepta el riesgo basado en el paquete de seguridad FedRAMP. Esta es la vía más común.
• JAB P-ATO (Autoridad Provisional para Operar): Concedida por la Junta de Autorización Conjunta (DoD, DHS, GSA) tras una revisión rigurosa. Significa que la agencia está preparada para la revisión, pero no garantiza una ATO de la agencia. Las agencias pueden aprovechar el paquete P-ATO para conceder sus propias ATO más rápidamente.

¿Qué es una 3PAO?

Una Organización de Evaluación de Terceros FedRAMP (3PAO) es una organización independiente y acreditada calificada para realizar las evaluaciones de seguridad requeridas por el programa FedRAMP. Los CSP deben contratar a una 3PAO para la evaluación inicial y las evaluaciones anuales de monitoreo continuo.

¿Cuánto tarda la autorización FedRAMP?

El proceso es largo y suele durar entre 12 y 18 meses o más desde la preparación hasta la obtención de la ATO, dependiendo de la complejidad de la OSC, su nivel de impacto, su preparación y la vía de autorización elegida.

¿Cuánto cuesta FedRAMP?

Los costes son significativos y varían ampliamente, pero pueden ascender fácilmente a cientos de miles o incluso millones de dólares, incluidos los costes de los servicios de consultoría/asesoramiento, las evaluaciones 3PAO (iniciales y anuales), el posible endurecimiento o reconstrucción del entorno, la mejora de las herramientas y el tiempo del personal interno.

¿Es permanente la autorización FedRAMP?

No. Una ATO/P-ATO se concede normalmente por tres años, pero está supeditada a una supervisión continua satisfactoria y a la superación de las evaluaciones anuales realizadas por una 3PAO. Si no se mantiene la postura de seguridad, la autorización puede suspenderse o revocarse.