Poner fin a las diferencias entre los estándares estatales y federales es más fácil de lo que piensa
Explorar el complejo panorama de la gestión y protección de datos gubernamentales puede ser una tarea desalentadora para las empresas que buscan asociarse con las entidades gubernamentales. Las regulaciones como SOC 2, PCI DSS, HIPAA y los programas específicamente personalizados, como FedRAMP y StateRAMP, son fundamentales para garantizar la integridad de la información basada en la nube. Esta publicación del blog explica cómo puede superar estos desafíos.
Las agencias gubernamentales no funcionan de manera aislada. Colaboran con proveedores de servicios externos para lograr sus objetivos. Las empresas que quieran asociarse con empresas gubernamentales primero deben cumplir criterios específicos de gestión y protección de datos, lo que incluye el compliance con los protocolos SOC 2, PCI DSS e HIPAA. En general, este proceso de preparación implica la verificación de la finalización de cientos de requisitos de prueba de compliance y, además, hoy en día todo está codificado mediante el Programa Federal de Gestión de Riesgos y Autorizaciones (FedRamp).
FedRAMP se estableció en 2011 con el fin de ofrecer un enfoque estandarizado para la evaluación de la seguridad, la autorización y el monitoreo continuo de productos y servicios en la nube, a fin de demostrar cuáles son los más altos estándares posibles en seguridad en la nube. FedRAMP les permite a las agencias federales aprovechar tecnologías modernas en la nube, al tiempo que pueden garantizar la confidencialidad, integridad y disponibilidad de la información federal que se almacena y procesa en la nube.
A nivel local, StateRAMP, una organización sin fines de lucro, busca su misión de reducir la confusión y aumentar la ciberseguridad y el compliance en la nube estableciendo protocolos de preparación y gestión (RAMP) para los estados. Con los programas de certificación FedRAMP y StateRAMP, los proveedores de servicios de manufacturing, retail, atención médica, finanzas y otros sectores de la industria pueden cumplir con estas regulaciones y estar calificados para trabajar en asociación con entidades gubernamentales.
California y Texas se encuentran entre los estados que se han asociado con StateRAMP y sus protocolos guía, y Texas ahora orienta a una docena de estados con su propia versión ligera de FedRAMP, que se conoce como el Programa de Gestión y Autorización de Riesgos de Texas (TX-RAMP).
StateRAMP es una coalición de partes interesadas que brindan soporte a una ciberseguridad sólida y estandarizada para IaaS, SaaS y PaaS. Ofrece una certificación de seguridad exhaustiva para ayudar a las empresas y a los gobiernos locales a identificar riesgos y encontrar acciones mitigadoras, lo que, a la larga, mejora la confianza y la seguridad cuando se tiene que trabajar con proveedores de nube.
Es posible que el proceso de certificación StateRAMP parezca complicado, pero puede ser sencillo. Comienza con información básica de incorporación, una lista de verificación para comenzar e información detallada sobre las condiciones para verificar el compliance de StateRAMP.
Reducir la complejidad
Cuando los proveedores de software carecen de una certificación, no pueden asociarse con agencias estatales. Si bien el compliance de las leyes y los estándares actuales es esencial para que las empresas garanticen su capacidad de ofrecer sus servicios a entidades gubernamentales, poner fin entre las diferencias entre los estándares federales y estatales es más fácil de lo que se piensa.
Las agencias estatales deben cumplir con los requisitos de TX-RAMP para celebrar o renovar un contrato con un proveedor de servicios en la nube. TX-RAMP establece un enfoque estandarizado para la evaluación, la autorización y el monitoreo de la seguridad, lo que ayuda a las organizaciones a ahorrar tiempo y recursos obteniendo autorizaciones recíprocas con StateRAMP y FedRAMP.
Estas son cuatro cosas clave que debe tener en cuenta para salvar las diferencias y solicitar las certificaciones federales y estatales:
- Las empresas suelen cometer errores al tratar de cumplir con los requisitos de compliance. El primer error suele ser no identificar y evaluar correctamente todos los elementos relacionados con el compliance.
- Por el contrario, algunas empresas pueden ir demasiado lejos en sus intentos de satisfacer las necesidades de compliance. La definición precisa de los límites de los servicios impulsados por el compliance puede hacer que sea más sencillo lograrlo y fácil de definir para las auditorías de compliance.
- La gestión del conocimiento en torno al compliance es fundamental. Una mala comunicación de los requisitos de compliance puede hacer que un proyecto fracase. Asegurarse de que el personal clave esté al tanto de la necesidad de compliance y de lo que se requiere para cumplirlo es fundamental. No comprender la complejidad del compliance puede dar lugar a que no se cumpla con los plazos, a que haya exceso de costos en los presupuestos y proyectos que no cumplen con los requisitos.
- Finalmente, recuerde que el compliance es un proceso continuo que requiere de un esfuerzo constante. Los requisitos y las regulaciones de compliance cambian todo el tiempo, por lo que es importante mantenerse al día con los últimos cambios y adaptarse en consecuencia.
Normalmente, un proveedor necesita de 18 a 36 meses y de US$2 a US$4 millones para recibir una Autorización para operar (ATO) de una agencia federal. Esto tendrá como resultado costos anuales de seguimiento de aproximadamente US$750,000. Con la ayuda de un socio que se dedica a un proceso para acelerar los pasos de compliance, un proveedor puede alcanzar la ATO multiagencia y mantenerla durante 9 a 12 meses a un costo de aproximadamente 30 % menos.
Comience con las certificaciones FedRAMP, StateRAMP y TX-RAMP
Prepárese para garantizar el éxito de su empresa cumpliendo con todos los requisitos federales y estatales para llevar adelante actividades comerciales. Considere usar un tercero que pueda aportar una solución proactiva para ayudar a abordar los requisitos de las certificaciones. Por lo general, un socio puede guiar y apoyar a una empresa a través del proceso y, a menudo, hacer posible la aprobación provisional en un año. Esto puede tener como resultado un ahorro en los costos y limitar la pérdida potencial de ingresos, al tiempo que agiliza el proceso.
Comience hoy mismo a poner fin a las diferencias entre los estándares estatales y federales, y consiga las certificaciones FedRAMP y StateRAMP para que pueda proporcionarles rápidamente servicios basados en la nube a las agencias gubernamentales. Acelere su acceso al mercado de las agencias gubernamentales, aumente su rendimiento y confiabilidad, escalabilidad y flexibilidad, y mejore la seguridad.
HPC y AI: el dúo poderoso en TI
About the Authors
Chief Architect, Government Solutions
Jason Wicker
With over 25+ years in the Enterprise IT world, Jason has a successful career as a leader managing complex strategic alliances and high-performing teams - consistently innovating, strategizing, and executing to generate long-term growth in F500 and the public sector. Jason has worked for all the major players in the space; Getronics, Rackspace Technology, EMC, VMware and IBM, to name a few. With a drive for mentoring and bringing value to customers and partners, Jason has led and contributed to many critical projects over his career. His first major enterprise project was designing and overseeing the security integration of British Petroleum when they first acquired Aamco (7,500 users) and later Arco (4,000 users) for North and South America. At EMC and VMware, he helped design, service, sell and support the enterprise tooling suite that later became VMware’s VCenter Operations. Most recently Jason has been designing and driving the offering that is the Public Cloud Manager for the State of Texas, with over two hundred cloud properties under a single management plane across four cloud providers and twenty-six agencies. In his current role as Chief Architect for Government, Jason is responsible for driving Rackspace Technology's technological innovations and business solutions across the public sector line of business. He is highly motivated and results oriented, with a track record of building lasting relationships with key stakeholders and executives. Working as a partner with his clients, Jason brings the ability to create and drive close plans in alignment with clients' priorities allowing them to achieve their business objectives. He has expertise in enterprise software design, process, and architecture delivering in the areas of Business Management, Cost Transparency, Hybrid Cloud platforms, SaSS, eDiscovery, Security, Operations, Automation, Software Defined Data Center, and Orchestration. Most recently Jason has joined Rackspace’s FAIR initiative for ethical and responsible AI. The Foundry for Generative AI by Rackspace (FAIR) is a groundbreaking approach to accelerating the responsible and sustainable adoption of Generative AI solutions across industries.
Read more about Jason WickerRelated Topics