La primera mitad de 2023 vio un aumento del 8% en los ciberataques semanales globales, el mayor salto en dos años. Dada la alarmante frecuencia y mayor sofisticación de las amenazas, existe una necesidad significativa para que las organizaciones gubernamentales estatales, locales y educativas (SLEDs) tengan total garantía de que sus proveedores externos tienen prácticas de seguridad de la información suficientes para proteger los datos sensibles. StateRAMP satisface esta necesidad crítica al ofrecer a SLEDs y los proveedores de la nube que los atienden una verificación independiente de una postura de seguridad sólida.

Lanzado en 2021, StateRAMP es una adición relativamente reciente al panorama de ciberseguridad. Para ayudar a las organizaciones a comprender los beneficios del marco y el proceso de verificación, conversamos con funcionarios de la organización StateRAMP quienes compartieron su experiencia.

Recientemente tuvimos la oportunidad de entrevistar a Rebecca Kee, Directora Senior de Compromiso Gubernamental en StateRAMP, y a Liz Huston, Gerente de Programas en StateRAMP, para conocer sus mejores prácticas y consejos para las organizaciones que buscan la verificación. Aclararon conceptos erróneos comunes, compartieron perspectivas sobre las tendencias y prácticas actuales, y ofrecieron orientación experta para ayudar a las organizaciones a prepararse para la verificación de StateRAMP.

¿Qué conceptos erróneos comunes encuentra en torno a StateRAMP y el proceso de verificación?

Liz mencionó inmediatamente el costo como un gran concepto erróneo. Ella dijo: “Muchas organizaciones asumen que será prohibitivamente caro obtener la verificación de StateRAMP. Hemos tomado medidas para reducir las barreras de costos, especialmente para las pequeñas empresas, con medidas como la fijación de precios por niveles de membresía.”

Para Rebecca, un malentendido clave es cómo se relaciona StateRAMP con FedRAMP. “Existe un concepto erróneo común de que FedRAMP y StateRAMP son intercambiables, o que FedRAMP tiene un conjunto de controles más restrictivo que StateRAMP. Ambos FedRAMP y StateRAMP utilizan el conjunto de control NIST 800-53, y los 3PAO son los mismos evaluadores que están certificados por el programa del gobierno federal. Están evaluando esencialmente los mismos controles de la misma manera”, explicó.

“La diferencia más significativa es que con FedRAMP, los gobiernos estatales y locales no tienen acceso a informes de monitoreo continuo. Con StateRAMP, los gobiernos estatales y locales ahora pueden obtener el mismo nivel de conocimiento y evaluación de riesgos sin tener que depender de organizaciones con el estatus de FedRAMP. Las diferencias están en los informes y las líneas de comunicación, en lugar de en diferentes parámetros organizacionales o de control.”

¿Qué tendencias o cambios está viendo con las organizaciones que buscan la verificación de StateRAMP?

“Históricamente hemos visto muchas organizaciones que ya tenían FedRAMP o autorización del gobierno pasar por nuestro programa de vía rápida. Desde que introdujimos nuestro Security Snapshot, hemos visto un aumento en las empresas de IaaS, SaaS y PaaS que buscan la verificación de StateRAMP primero, incluso antes que FedRAMP”, compartió Liz. “Con la herramienta Snapshot, pueden obtener una imagen clara de dónde se encuentran en términos de cumplimiento y exactamente lo que necesitan hacer, lo que realmente ha abierto la puerta a una variedad más amplia de organizaciones.”

¿Cuántas organizaciones son compatibles con StateRAMP?

Liz compartió que, “Aproximadamente 250 miembros se han unido a la organización StateRAMP, y 86 de esas organizaciones están actualmente en nuestra Lista de Productos Autorizados.”

¿StateRAMP actualmente aprovecha la automatización en alguno de sus procesos?

“Con el Security Snapshot, las organizaciones envían evidencia de control e informes mensuales de monitoreo continuo. Nuestro equipo de PMO luego revisa todo manualmente, pero estamos considerando aprovechar la automatización en el futuro para agilizar el proceso,” comentó Liz.

¿Qué consejo tiene para las empresas que puedan necesitar cumplir con múltiples marcos RAMP (es decir, TX-RAMP, StateRAMP y FedRAMP)?

Rebecca ofreció algunos consejos clave para las organizaciones que gestionan el cumplimiento de múltiples marcos gubernamentales. Dijo: “Mi pregunta inicial sería: ¿dónde están haciendo negocios y con quién? Si planean hacer negocios fuera del estado de Texas, nuestro consejo sería obtener la verificación de StateRAMP. Automáticamente enviamos los criterios para las organizaciones que están verificadas por StateRAMP a TX-RAMP. A menos que estén haciendo negocios con el gobierno federal, no hay necesidad de hacer FedRAMP. Dicho esto, si ya están listos para FedRAMP, pueden aprovechar el programa StateRAMP Fast Track para acelerar el proceso de obtener la verificación de StateRAMP.”

¿Qué orientación le darías a una organización que está tratando de decidir si deben buscar el estado de verificación con o sin un patrocinador gubernamental?

“StateRAMP está diseñado para que no necesites un patrocinador gubernamental, incluso si tu organización está buscando el estado Autorizado,” explicó Rebecca. “Si tienes un patrocinador gubernamental, eso es genial, pero si no lo tienes, puedes pasar por el Comité de Aprobaciones. La única razón para nombrar un patrocinador gubernamental es si estás trabajando con un gobierno que lo requiere.”

Muchos estados han aprobado o introducido sus propias leyes de privacidad de datos. ¿Cómo afecta eso a StateRAMP? ¿StateRAMP introducirá requisitos adicionales para tener en cuenta la nueva legislación sobre privacidad?

Según Rebecca, “Probablemente dependerá del estado. Algunos estados han aprobado códigos que están directamente relacionados con StateRAMP y otros estándares, incluso si el código no menciona explícitamente a StateRAMP. Muchos otros estados están aprobando códigos que StateRAMP ya cumple. Aún otros están operando bajo el entendimiento de que el Oficial Principal de Información del estado tiene la autoridad necesaria y no necesitan aprobar códigos adicionales. Cada estado es diferente.”

“Actualmente estamos trabajando con varios estados para determinar cosas como, ¿tienen un proceso de evaluación de proveedores en su lugar? ¿StateRAMP va a reemplazar o complementar ese proceso? En este punto, la mayoría de los estados en última instancia quieren requerir StateRAMP de alguna forma, pero todavía están tratando de averiguar cómo implementar el marco para que se ajuste mejor a sus necesidades,” explicó.

Prepárate para StateRAMP con Secureframe

Nuestra plataforma GRC líder está diseñada para ayudar a las organizaciones a navegar y simplificar los complejos esfuerzos de cumplimiento de seguridad y privacidad. Estas son algunas de las razones por las que las organizaciones eligen a Secureframe como su socio para lograr y mantener el cumplimiento con marcos gubernamentales y federales como StateRAMP:

Experiencia en cumplimiento gubernamental y federal

Nuestro equipo dedicado de cumplimiento de clase mundial incluye ex auditores de FISMA, FedRAMP y CMMC que tienen la experiencia y el conocimiento para apoyarte en cada paso.

Integraciones con productos de nube federales

Secureframe se integra con tu pila tecnológica existente, incluyendo AWS GovCloud, para automatizar la supervisión de la infraestructura y la recopilación de evidencia.

Red de socios de 3PAO de confianza

Secureframe tiene relaciones sólidas con respetadas firmas de auditoría que están certificadas como Organizaciones de Evaluación de Terceros (3PAOs) y pueden apoyar auditorías federales como StateRAMP, FedRAMP, CMMC y CJIS.

Mapeo cruzado entre marcos

NIST 800-53 tiene muchos requisitos superpuestos con StateRAMP, NIST 800-171, FedRAMP, CJIS y otros marcos federales. En lugar de empezar desde cero, nuestra plataforma puede ayudar a mapear lo que ya has hecho para StateRAMP a otros marcos para que nunca estés duplicando esfuerzos.

Monitoreo continuo

Al monitorear tu pila tecnológica 24/7 para alertarte de no conformidades, Secureframe facilita el mantenimiento del cumplimiento continuo. Puedes especificar intervalos de prueba y notificaciones para tareas regulares requeridas para mantener el cumplimiento de StateRAMP. También puedes usar nuestro Registro de Riesgos y capacidades de Gestión de Riesgos para apoyar tus esfuerzos de monitoreo continuo y mantenimiento de POA&M.

Para obtener más información sobre cómo Secureframe puede ayudarte a cumplir con StateRAMP, FedRAMP y otros marcos rigurosos, programa una demostración con un experto en productos.