FedRAMP and StateRAMP

Fechar a lacuna entre as normas estaduais e federais é mais fácil do que você pensa

Lidar com o complexo mundo da gestão e da proteção de dados governamentais pode ser complicado para empresas que desejam fechar parceria com entidades governamentais. Regulamentações como SOC 2, PCI DSS, HIPAA; e programas especificamente adaptados, como FedRAMP e StateRAMP, são fundamentais na integridade das informações baseadas na nuvem. Este artigo do blog mostra como você pode enfrentar esses desafios.

Os órgãos do governo não trabalham de forma isolada; eles colaboram com prestadores de serviços externos. As empresas que desejam fechar parceria com empresas governamentais devem primeiro atender aos critérios específicos de gestão e proteção dos dados, incluindo o cumprimento dos protocolos SOC 2, PCI DSS e HIPAA. Esse processo de prontidão normalmente envolve a confirmação da conclusão de centenas de requisitos de comprovação de conformidade, hoje regulado pelo Federal Risk and Authorization Management Program (FedRAMP).

O FedRAMP foi criado em 2011 para padronizar uma abordagem à avaliação da segurança, autorização e monitoramento contínuo de produtos e serviços em nuvem, a fim de comprovar os mais altos padrões possíveis em segurança na nuvem. Graças ao FedRAMP, os órgãos federais podem usar as modernas tecnologias de nuvem com a confidencialidade, a integridade e a disponibilidade das informações federais armazenadas e processadas na nuvem.

No nível mais local, a organização sem fins lucrativos StateRAMP tem como missão reduzir a confusão e aumentar a cibersegurança e a conformidade na nuvem. Para isso, ela estabeleceu o Readiness and Management Protocols (RAMP) para os estados. Com os programas de certificação FedRAMP e StateRAMP, os prestadores de serviços em setores de manufatura, varejo, saúde, finanças e outros verticais do setor pode atender a essas regulamentações e se qualificarem para trabalhar em parceria com as entidades governamentais.

A Califórnia e o Texas estão entre os estados que fecharam parceria com o StateRAMP e agora seguirão os protocolos dele. Com isso, o Texas passa a orientar uma dúzia de estados com uma versão mais simples do FedRAMP, conhecida como Texas Risk and Authorization Management Program (TX-RAMP).

O StateRAMP é uma coalizão de partes interessadas que buscam a cibersegurança forte e padronizada para IaaS, SaaS e PaaS. Elas oferecem uma certificação completa de segurança para que empresas e governos locais identifiquem riscos e encontrem ações mitigadoras — o que aumenta a confiança e a segurança ao se trabalhar com provedores de nuvem.

O processo de certificação StateRamp parece complicado, mas é simples. Ele começa com informações básicas da integração, um checklist para iniciar e informações abrangentes sobre as condições para confirmar o cumprimento do StateRAMP.

 

Reduzindo a complexidade

Sem certificação, os fornecedores de software não podem fechar parceria com órgãos estaduais. Cumprir as leis e as normas atuais é essencial para que as empresas prestem serviços às entidades governamentais, e fechar a lacuna entre as normas federais e estaduais é mais fácil do que se imagina.

Ao firmarem ou renovarem um contrato de prestação de serviços de nuvem, os órgãos estaduais devem cumprir os requisitos do TX-RAMP. O TX-RAMP fixa uma abordagem padronizada na avaliação, autorização e monitoramento da segurança, de modo que as organizações economizam tempo e recursos ao obterem autorizações recíprocas com o StateRAMP e o FedRAMP.

 

Confira quatro pontos importantes ao preencher a lacuna e buscar as certificações federais e estaduais:

  1. As empresas geralmente erram ao tentar atender aos requisitos de conformidade. O primeiro erro geralmente é a falha em identificar e avaliar adequadamente todos os itens relacionados à conformidade.
  2. Por outro lado, algumas empresas generalizam demais ao tentarem atender às necessidades de conformidade. A definição correta dos limites dos serviços orientados por conformidade pode facilitar a obtenção da conformidade e facilitar a definição das auditorias de conformidade.
  3. A gestão do conhecimento em relação à conformidade é fundamental. A comunicação deficiente dos requisitos de conformidade podem estragar um projeto. É vital que os principais funcionários fiquem cientes da necessidade da conformidade e do que é preciso para cumpri-la. Não entender a complexidade da conformidade pode levar à perda de prazos, estouros no orçamento e projetos que não atendem aos requisitos.
  4. Por fim, lembre-se de que a conformidade é um processo contínuo, que exige esforço contínuo. Os requisitos e regulamentos da conformidade estão em constante mudança; por isso, é importante saber as mudanças mais recentes e se adaptar de acordo.

Para receber a Autorização para Operar (ATO) de um órgão federal, o fornecedor geralmente precisa de 18 a 36 meses e US$ 2 a 4 milhões. Em custos anuais subsequentes, são quase US$ 750 mil. Com a ajuda de um parceiro focado no processo para agilizar as etapas da conformidade, o fornecedor pode obter a ATO de vários órgãos com validade de 9 a 12 meses e com um custo cerca de 30% menor.

 

Comece com as certificações FedRAMP, StateRAMP e TX-RAMP

Prepare-se para garantir o sucesso da sua empresa em atender a todos os requisitos federais e estaduais para conduzir negócios. Considere um parceiro terceirizado com uma solução proativa para você atender aos requisitos da certificação. Normalmente, esse parceiro orienta e apoia a empresa durante o processo e, muitas vezes, viabiliza a aprovação provisória dentro de um ano. Isso pode resultar em menos custos, limitando a possível perda de receita e, ao mesmo tempo, agilizando o processo.

Comece hoje mesmo a preencher a lacuna entre as normas estaduais e federais e a proteger as certificações FedRAMP e StateRAMP, para prestar serviços baseados em nuvem para os órgãos governamentais o quanto antes. Agilize seu acesso ao mercado dos órgãos governamentais; aumente o desempenho, confiabilidade e flexibilidade; e melhore a segurança.

 

Join the Conversation: Find Solve on Twitter and LinkedIn, or follow along via RSS.

Stay on top of what's next in technology

Learn about tech trends, innovations and how technologists are working today.

Subscribe
HPC and AI

HPC e IA: a dupla dinâmica da TI

About the Authors

Jason Wicker

Chief Architect, Government Solutions

Jason Wicker

With over 25+ years in the Enterprise IT world, Jason has a successful career as a leader managing complex strategic alliances and high-performing teams - consistently innovating, strategizing, and executing to generate long-term growth in F500 and the public sector. Jason has worked for all the major players in the space; Getronics, Rackspace Technology, EMC, VMware and IBM, to name a few. With a drive for mentoring and bringing value to customers and partners, Jason has led and contributed to many critical projects over his career. His first major enterprise project was designing and overseeing the security integration of British Petroleum when they first acquired Aamco (7,500 users) and later Arco (4,000 users) for North and South America. At EMC and VMware, he helped design, service, sell and support the enterprise tooling suite that later became VMware’s VCenter Operations. Most recently Jason has been designing and driving the offering that is the Public Cloud Manager for the State of Texas, with over two hundred cloud properties under a single management plane across four cloud providers and twenty-six agencies. In his current role as Chief Architect for Government, Jason is responsible for driving Rackspace Technology's technological innovations and business solutions across the public sector line of business. He is highly motivated and results oriented, with a track record of building lasting relationships with key stakeholders and executives. Working as a partner with his clients, Jason brings the ability to create and drive close plans in alignment with clients' priorities allowing them to achieve their business objectives. He has expertise in enterprise software design, process, and architecture delivering in the areas of Business Management, Cost Transparency, Hybrid Cloud platforms, SaSS, eDiscovery, Security, Operations, Automation, Software Defined Data Center, and Orchestration. Most recently Jason has joined Rackspace’s FAIR initiative for ethical and responsible AI. The Foundry for Generative AI by Rackspace (FAIR) is a groundbreaking approach to accelerating the responsible and sustainable adoption of Generative AI solutions across industries.

Read more about Jason Wicker