Die erste Hälfte des Jahres 2023 verzeichnete einen Anstieg der weltweiten wöchentlichen Cyberangriffe um 8% – der größte Anstieg seit zwei Jahren. Angesichts der alarmierenden Häufigkeit und der zunehmenden Raffinesse der Bedrohungen besteht ein erheblicher Bedarf für staatliche, lokale und Bildungsbehörden (SLEDs), vollständige Sicherheit zu haben, dass ihre Drittanbieter über ausreichende Informationssicherheitspraktiken verfügen, um sensible Daten zu schützen. StateRAMP erfüllt dieses wichtige Bedürfnis, indem es SLEDs und den Cloud-Anbietern, die sie bedienen, eine Drittanbieterüberprüfung einer starken Sicherheitslage bietet.

StateRAMP, das 2021 ins Leben gerufen wurde, ist eine relativ neue Ergänzung der Cybersicherheitslandschaft. Um Organisationen zu helfen, die Vorteile des Rahmens und den Verifizierungsprozess zu verstehen, haben wir mit Vertretern der StateRAMP-Organisation gesprochen, die ihr Fachwissen teilten.

Wir hatten kürzlich die Gelegenheit, Rebecca Kee, Senior Government Engagement Director bei StateRAMP, und Liz Huston, Programmmanagerin bei StateRAMP, zu interviewen, um deren Best Practices und Ratschläge für Organisationen zu erfahren, die eine Verifizierung anstreben. Sie räumten mit gängigen Missverständnissen auf, teilten Einblicke in aktuelle Trends und Praktiken und boten fachkundige Beratung, um Organisationen auf die StateRAMP-Verifizierung vorzubereiten.

Welche gängigen Missverständnisse begegnen Ihnen im Zusammenhang mit StateRAMP und dem Verifizierungsprozess?

Liz nannte sofort die Kosten als großes Missverständnis. Sie sagte: „Viele Organisationen gehen davon aus, dass es unerschwinglich teuer sei, sich von StateRAMP verifizieren zu lassen. Wir haben Maßnahmen ergriffen, um die Kostenbarrieren zu senken, insbesondere für kleinere Unternehmen, durch Maßnahmen wie gestaffelte Mitgliedschaftspreise.“

Für Rebecca besteht ein wesentliches Missverständnis darin, wie StateRAMP im Verhältnis zu FedRAMP steht. „Es gibt ein häufiges Missverständnis, dass FedRAMP und StateRAMP austauschbar sind oder dass FedRAMP einen restriktiveren Kontrollsatz als StateRAMP hat. Sowohl FedRAMP als auch StateRAMP verwenden den NIST 800-53 Kontrollsatz, und die 3PAO sind dieselben Prüfer, die vom Regierungsprogramm zertifiziert sind. Sie bewerten im Wesentlichen dieselben Kontrollen auf dieselbe Weise“, erklärte sie.

„Der signifikanteste Unterschied besteht darin, dass staatliche und lokale Regierungen mit FedRAMP keinen Zugang zu kontinuierlichen Überwachungsberichten haben. Mit StateRAMP können staatliche und lokale Regierungen nun dasselbe Maß an Einblick und Risikobewertung erhalten, ohne sich auf Organisationen mit FedRAMP-ready-Status verlassen zu müssen. Die Unterschiede liegen in der Berichterstattung und den Kommunikationslinien und nicht in unterschiedlichen organisatorischen oder Kontrollparametern.“

Welche Trends oder Veränderungen sehen Sie bei Organisationen, die eine StateRAMP-Verifizierung anstreben?

„Historisch gesehen haben wir viele Organisationen gesehen, die bereits FedRAMP- oder Regierungszulassungen hatten und unser Fast Track-Programm durchliefen. Seit wir unsere Security Snapshot eingeführt haben, haben wir einen Anstieg von IaaS-, SaaS- und PaaS-Unternehmen gesehen, die zuerst eine StateRAMP-Verifizierung anstreben, sogar noch vor FedRAMP“, teilte Liz mit. „Mit dem Snapshot-Tool können sie sich einen klaren Überblick darüber verschaffen, wo sie in Bezug auf die Compliance stehen und genau wissen, was zu tun ist, was wirklich die Tür für eine breitere Vielfalt von Organisationen geöffnet hat.“

Wie viele Organisationen sind StateRAMP-konform?

Liz teilte mit, dass „ca. 250 Mitglieder der StateRAMP-Organisation beigetreten sind und 86 dieser Organisationen derzeit auf unserer Authorisierte Produktliste stehen.“

Nutzen Sie derzeit Automatisierung in einem Ihrer Prozesse?

„Mit dem Security Snapshot reichen Organisationen Kontrollnachweise und monatliche kontinuierliche Überwachungsberichte ein. Unser PMO-Team überprüft alles manuell – aber wir prüfen die Nutzung von Automatisierung in der Zukunft, um den Prozess zu straffen“, kommentierte Liz.

Welchen Rat haben Sie für Unternehmen, die möglicherweise konform mit mehreren RAMP-Frameworks sein müssen (d.h. TX-RAMP, StateRAMP und FedRAMP)?

Rebecca bot einige wichtige Ratschläge für Organisationen, die Compliance über mehrere staatliche Rahmenwerke hinweg verwalten. Sie sagte: „Meine erste Frage wäre: Wo machen Sie Geschäfte und mit wem? Wenn Sie vorhaben, außerhalb des Bundesstaates Texas Geschäfte zu machen, würden wir empfehlen, sich von StateRAMP verifizieren zu lassen. Wir senden automatisch Kriterien für Organisationen, die von StateRAMP verifiziert sind, an TX-RAMP. Es sei denn, Sie machen Geschäfte mit der Bundesregierung, es ist keine FedRAMP-Bestätigung erforderlich. Das heißt, wenn Sie bereits FedRAMP Ready sind, können Sie das StateRAMP Fast Track-Programm nutzen, um den Prozess der StateRAMP-Verifizierung zu beschleunigen.”

Welche Ratschläge würden Sie einer Organisation geben, die versucht zu entscheiden, ob sie den Verifizierungsstatus mit oder ohne Regierungssponsor anstreben sollte?

„StateRAMP ist so konzipiert, dass Sie keinen Regierungssponsor benötigen, selbst wenn Ihre Organisation den Autorisierungsstatus anstrebt“, erklärte Rebecca. „Wenn Sie zufällig einen Regierungssponsor haben, ist das großartig, aber wenn nicht, können Sie den Genehmigungsausschuss durchlaufen. Der einzige Grund, einen Regierungssponsor zu benennen, ist, wenn Sie mit einer Regierung zusammenarbeiten, die einen benötigt.”

Viele Staaten haben ihre eigenen Datenschutzgesetze verabschiedet oder eingeführt. Wie wirkt sich das auf StateRAMP aus? Wird StateRAMP zusätzliche Anforderungen einführen, um neue Datenschutzgesetze zu berücksichtigen?

Laut Rebecca: „Es wird wahrscheinlich vom Staat abhängen. Einige Staaten haben Gesetze erlassen, die direkt mit StateRAMP und anderen Standards verbunden sind, selbst wenn das Gesetz StateRAMP nicht ausdrücklich erwähnt. Viele andere Staaten verabschieden Gesetze, die StateRAMP bereits erfüllt. Wieder andere arbeiten mit dem Verständnis, dass der staatliche Chief Information Officer die notwendige Autorität hat und sie keine zusätzlichen Gesetze erlassen müssen. Jeder Staat ist anders.“

„Wir arbeiten derzeit mit mehreren Staaten zusammen, um Dinge wie die Frage zu klären, ob sie einen Vendor-Assessment-Prozess implementiert haben. Wird StateRAMP diesen Prozess ersetzen oder ergänzen? Zu diesem Zeitpunkt wollen die meisten Staaten letztendlich StateRAMP in irgendeiner Form vorschreiben, sind aber noch dabei herauszufinden, wie sie das Rahmenwerk am besten umsetzen können, um ihren Bedürfnissen gerecht zu werden“, erklärte sie.

Werden Sie StateRAMP-Ready mit Secureframe

Unsere führende GRC-Plattform wurde entwickelt, um Organisationen zu helfen, komplexe Sicherheits- und Datenschutz-Compliance-Bemühungen zu navigieren und zu rationalisieren. Hier sind einige Gründe, warum Organisationen Secureframe als ihren Partner für die Erreichung und Aufrechterhaltung der Compliance mit staatlichen und föderalen Rahmenwerken wie StateRAMP wählen:

Expertise in staatlicher und föderaler Compliance

Unser engagiertes, erstklassiges Compliance-Team umfasst ehemalige FISMA-, FedRAMP- und CMMC-Auditoren, die über das Fachwissen und die Erfahrung verfügen, um Sie in jeder Phase zu unterstützen.

Integrationen mit föderalen Cloud-Produkten

Secureframe integriert sich in Ihren bestehenden Tech-Stack, einschließlich AWS GovCloud, um die Überwachung der Infrastruktur und die Sammlung von Nachweisen zu automatisieren.

Vertrauenswürdiges 3PAO-Partnernetzwerk

Secureframe hat starke Beziehungen zu renommierten Prüfungsfirmen, die zertifizierte Third Party Assessment Organizations (3PAOs) sind und StateRAMP sowie andere föderale Prüfungen wie FedRAMP, CMMC und CJIS unterstützen können.

Framework-übergreifende Zuordnung

NIST 800-53 hat viele überlappende Anforderungen mit StateRAMP, NIST 800-171, FedRAMP, CJIS und anderen föderalen Rahmenwerken. Anstatt von vorne zu beginnen, kann unsere Plattform helfen, das, was Sie bereits für StateRAMP getan haben, auf andere Rahmenwerke zu übertragen, damit Sie niemals doppelte Anstrengungen unternehmen müssen.

Kontinuierliche Überwachung

Durch die Überwachung Ihres Tech-Stacks rund um die Uhr, um Sie auf Nichtkonformitäten aufmerksam zu machen, erleichtert Secureframe die Aufrechterhaltung der kontinuierlichen Compliance. Sie können Testintervalle und Benachrichtigungen für regelmäßig erforderliche Aufgaben festlegen, um die StateRAMP-Compliance aufrechtzuerhalten. Sie können auch unser Risiko-Register und unsere Risikomanagement-Funktionen nutzen, um Ihre Bemühungen zur kontinuierlichen Überwachung und Pflege des Plans of Action & Milestones (POA&M) zu unterstützen.

Um mehr darüber zu erfahren, wie Secureframe Ihnen helfen kann, die Anforderungen von StateRAMP, FedRAMP und anderen strengen Rahmenwerken zu erfüllen, vereinbaren Sie eine Demo mit einem Produktexperten.