A medida que más organizaciones dependen de los proveedores de servicios en la nube (CSP) para proporcionar infraestructuras y servicios seguros y confiables, los gobiernos estatales y locales están adoptando cada vez más regulaciones y criterios de seguridad para protegerse contra las vulnerabilidades en las plataformas en la nube, las configuraciones incorrectas o las brechas de seguridad en la infraestructura subyacente que podrían exponer a estas entidades a riesgos de seguridad significativos.

El Programa de Gestión de Riesgos y Autorización de Texas (TX-RAMP) es uno de estos marcos para gestionar estos riesgos.

En esta publicación de blog, exploraremos qué es TX-RAMP, quién debe cumplir con él, cuántos niveles de certificación existen y cómo Secureframe puede optimizar el proceso. También responderemos algunas preguntas frecuentes para asegurarnos de que tenga una comprensión completa de este marco.

¿Qué es el Programa de Gestión de Riesgos y Autorización de Texas (TX-RAMP)?

El Programa de Gestión de Riesgos y Autorización de Texas (TX-RAMP) es un marco que estandariza el proceso de gestión de riesgos y autorizaciones para los servicios en la nube utilizados por agencias gubernamentales, universidades y otras instituciones de Texas. Desarrollado por el Departamento de Recursos de Información de Texas (DIR), TX-RAMP tiene como objetivo garantizar que los proveedores de servicios en la nube cumplan con los requisitos de seguridad y privacidad del estado para facilitar el uso seguro y eficiente de los servicios en la nube en el sector público.

TX-RAMP 3.0, la versión más reciente del marco, se lanzó en octubre de 2023 y entró en vigor en diciembre de 2023. A continuación, veamos esta revisión con más detalle.

TX-RAMP 3.0

TX-RAMP 3.0 representa la última iteración del programa. Un objetivo central de esta revisión fue incluir mejoras y optimizar los flujos de trabajo para que el proceso de cumplimiento para las organizaciones sea más rápido y menos difícil. TX-RAMP 3.0 también incluye actualizaciones basadas en los comentarios de versiones anteriores y en el panorama de amenazas en evolución, para garantizar que los servicios en la nube utilizados por las entidades estatales de Texas sean seguros y resistentes contra amenazas emergentes.

Para estos fines, TX-RAMP 3.0 introduce controles de seguridad más estrictos, directrices más claras y un proceso de evaluación más eficiente.

Aquí hay tres de los cambios más significativos de TX-RAMP 2.0 a TX-RAMP 3.0:

• Introducción del proceso de evaluación Fast Track: TX-RAMP 3.0 introdujo un proceso de evaluación Fast Track. Esto permite a los CSP utilizar evaluaciones de terceros existentes, aprobadas por DIR, o informes de auditoría que proporcionan evidencia de las prácticas de seguridad, para obtener una certificación de Nivel 1 o Nivel 2. Estas evaluaciones de terceros que pueden ser aceptables para el proceso Fast Track incluyen SOC 2 Tipo 2, PCI DSS y HITRUST.
• Introducción de un período de transición: TX-RAMP 3.0 también introdujo un período de transición. Esto permite que las agencias estatales elaboren y utilicen un plan de transición en caso de que la certificación TX-RAMP de una solución conforme expire o sea revocada. Este cronograma no debe exceder los 24 meses desde la implementación planificada hasta la ejecución.
• Aclaración de servicios que no están sujetos a la certificación TX-RAMP: En TX-RAMP 3.0 se realizan aclaraciones adicionales para los servicios de computación en la nube que no están dentro del alcance de la certificación TX-RAMP en una nueva sección del manual del programa. Ejemplos incluyen algunos CSP que tienen un uso no sustancial de datos confidenciales controlados por el estado y aplicaciones personalizadas desarrolladas, entre otras categorías.

¿Qué organizaciones deben cumplir con los requisitos de TX-RAMP?

Las agencias estatales, universidades, colegios comunitarios públicos y proveedores de servicios en la nube deben cumplir con los requisitos de TX-RAMP. Sin embargo, los requisitos aplicables varían para estos grupos.

Las agencias estatales, universidades, colegios comunitarios públicos y otras entidades definidas por la Sección 2054.00 del Código de Gobierno de Texas deben cumplir con los requisitos legales para celebrar contratos de servicios en la nube con la certificación correspondiente de TX-RAMP. En otras palabras, solo pueden celebrar o renovar contratos para obtener servicios de computación en la nube que cumplan con los requisitos de TX-RAMP. Esto incluye determinar si un servicio de computación en la nube está dentro del alcance de TX-RAMP y el nivel de TX-RAMP correspondiente para el servicio.

Por otro lado, los proveedores de servicios en la nube que procesan datos sensibles o confidenciales en nombre de estas entidades deben cumplir con los criterios de seguridad para obtener y mantener una certificación TX-RAMP para un servicio de computación en la nube.

Es importante destacar que no es necesario que todos los proveedores de servicios en la nube conformes a TX-RAMP utilicen únicamente proveedores conformes a TX-RAMP o servicios de terceros.

Ahora que entendemos para quién es aplicable TX-RAMP, echemos un vistazo a los niveles de certificación que se indican a continuación.

Niveles de Certificación TX-RAMP

TX-RAMP tiene tres niveles de certificación para abordar diferentes niveles de riesgo y sensibilidad de datos en relación con los servicios en la nube. Estos niveles se enumeran a continuación.

Certificación TX-RAMP Nivel 1

El Nivel 1 es para servicios en la nube que una agencia clasifica como recursos de información de bajo impacto. Esto significa que el CSP maneja o almacena una cantidad y/o calidad insignificante de datos confidenciales y controlados por el Estado, de modo que cualquier pérdida de confidencialidad, integridad o disponibilidad de dichos datos tendría impactos adversos limitados en la agencia.

Los requisitos de seguridad para este nivel son menos estrictos que los del Nivel 2. La Base del Nivel 1 incluye 117 controles basados en la Línea de Base de Bajo Impacto de NIST 800-53.

Certificación TX-RAMP Nivel 2

Este nivel es para servicios en la nube que una agencia clasifica como recursos de información de impacto moderado o alto. Esto significa que el CSP maneja o almacena una cantidad significativa de datos confidenciales y controlados por el Estado, de modo que cualquier pérdida de confidencialidad, integridad o disponibilidad de dichos datos tendría impactos adversos graves o catastróficos en la agencia.

El Nivel 2 requiere controles de seguridad más exhaustivos y una evaluación de riesgos rigurosa. Este nivel incluye 223 controles basados en la Línea de Base de Impacto Moderado de NIST 800-53.

Certificación Provisional TX-RAMP

La Certificación Provisional TX-RAMP es una designación que permite a los CSPs que las agencias estatales de Texas celebren o renueven temporalmente un contrato con un CSP mientras atraviesan el proceso completo de certificación TX-RAMP. El CSP debe obtener una certificación TX-RAMP Nivel 1 o Nivel 2 dentro de los 18 meses a partir de la fecha en que la DIR otorgó la certificación provisional, de lo contrario, expira.

Un CSP también puede mantener la validez de su certificación provisional alcanzando un estatus aceptable dentro de StateRAMP o FedRAMP.

Pasos para obtener la certificación TX-RAMP

Obtener la certificación TX-RAMP implica varios pasos diseñados para asegurar que los CSP cumplan con los criterios de seguridad requeridos por el Estado de Texas. Aquí hay una visión general detallada del proceso:

1. Comprender los requisitos de TX-RAMP

Antes de comenzar el proceso de certificación, es importante familiarizarse con los requisitos de TX-RAMP. Estos son establecidos por el Departamento de Recursos Informáticos de Texas e incluyen controles de seguridad específicos, documentación y prácticas de gestión de riesgos. Comprender estos requisitos es un primer paso importante para preparar y optimizar el proceso de certificación.

Si es cliente de Secureframe, estos requisitos ya están listados en la plataforma para usted. Sin embargo, también puede hablar con un gerente de cumplimiento para comprender estos requisitos y determinar cuáles se aplican a su entorno actual.

2. Determinación del nivel de certificación adecuado

Una agencia gubernamental es responsable de establecer el nivel de certificación TX-RAMP requerido para su servicio de computación en la nube.

Sin embargo, si está buscando la certificación TX-RAMP antes de que un cliente lo haya solicitado, usted mismo puede determinar el nivel más apropiado para su servicio en la nube en función del tipo de datos que almacena o procesa y el impacto potencial de las violaciones de seguridad.

Si utiliza una plataforma de automatización de cumplimiento, asegúrese de que esta admita ambos niveles de certificación, como es el caso de Secureframe. De esta manera, podrá trabajar con cualquier agencia, independientemente del nivel de certificación establecido para su servicio en la nube.

3. Realización de una autoevaluación y análisis de brechas

Realice una autoevaluación para evaluar su situación de seguridad actual en comparación con los requisitos de TX-RAMP. Identifique brechas o áreas que necesiten mejoras. Este paso es crucial para garantizar que cumpla con los controles necesarios y corrija cualquier deficiencia antes de la evaluación formal.
Una herramienta de automatización de cumplimiento como Secureframe puede automatizar este paso. Una vez que haya integrado el software y las herramientas relevantes para auditoría que utiliza diariamente, la plataforma Secureframe le mostrará exactamente dónde se encuentra y qué debe hacer para cumplir con el estándar de control TX-RAMP de acuerdo con sus configuraciones únicas y su infraestructura de TI. A medida que trabaja a través del marco y completa actividades dentro de la plataforma Secureframe, el porcentaje de progreso hacia el cumplimiento se actualizará.

4. Preparar la documentación requerida

En esta fase, deberá recopilar y preparar toda la documentación requerida. Esta normalmente incluye:

• Políticas y procedimientos de seguridad
• Libro de trabajo del plan de seguridad TX-RAMP
• Planes de respuesta a incidentes
• Evidencias de cumplimiento de controles de seguridad
• Documentación de auditorías o certificaciones de terceros (como FedRAMP, SOC 2 Tipo 2, etc.)
• Un POA&M para cada control de seguridad que haya sido identificado como insuficiente ya sea por el proveedor o por DIR (es decir, no implementado, parcialmente implementado).

Una plataforma de automatización de cumplimiento puede automatizar el proceso de preparación para auditorías y luego el proceso de recopilación de evidencia, lo que ahorra tiempo y recursos a su organización y reduce errores humanos.

5. Presentación de una solicitud de evaluación

Una vez que su documentación esté lista, inicie el proceso de certificación completando el formulario de solicitud de evaluación TX-RAMP en el sitio web de TX-RAMP en la página web de DIR.

El DIR lo guiará a través de los pasos específicos y le proporcionará toda la información adicional que necesite para su nivel de certificación. El paso más importante es completar el cuestionario de evaluación TX-RAMP, incluido el plan de seguridad TX-RAMP (Libro de trabajo de implementación de controles), y enviarlo a DIR.

6. Realización de la evaluación formal

Una vez que haya enviado su solicitud, el DIR o un auditor tercero autorizado realizará una evaluación formal de su servicio en la nube. Esta evaluación verificará si cumple con los controles de seguridad TX-RAMP y los requisitos de su nivel de certificación. El proceso de evaluación puede incluir lo siguiente:

• Revisión de la documentación
• Realización de entrevistas con personal clave
• Realización de evaluaciones técnicas de sus medidas de seguridad

7. Corrección de hallazgos

Si la evaluación identifica deficiencias en los controles (es decir, no implementados o parcialmente implementados), deberá documentar y corregir estos hallazgos en un POA&M. Corregir estos defectos puede implicar la implementación de medidas de seguridad adicionales, la actualización de la documentación o la modificación de procedimientos. Una vez que los problemas se hayan resuelto, es posible que deba someterse a una reevaluación.

8. Logro de la certificación

Después de llevar a cabo con éxito la evaluación y corregir los hallazgos, recibirá su certificación TX-RAMP. Esta certificación indica que su servicio en la nube cumple con los estándares de seguridad y gestión de riesgos requeridos y que está en condiciones de trabajar con agencias estatales de Texas.

9. Mantenimiento del cumplimiento

La certificación TX-RAMP suele tener una validez de tres años, con revisiones anuales necesarias para garantizar el cumplimiento continuo. Durante este tiempo, debe mantener sus controles de seguridad, responder a cambios en su servicio o en el panorama de amenazas, y presentar informes de monitoreo continuo.

Una plataforma de automatización de cumplimiento también puede automatizar el proceso de monitoreo continuo y proporcionar a su organización una visión mucho más dinámica de la efectividad de sus controles y del estado general de seguridad de la organización en comparación con los procesos manuales.

Siguiendo estos pasos y utilizando las herramientas correctas, puede llevar a cabo el proceso de certificación TX-RAMP de manera eficiente y asegurarse de que su servicio en la nube cumpla con los más altos estándares de seguridad y conformidad del estado de Texas.

Lista de verificación de cumplimiento de TX-RAMP

Lograr y mantener la certificación TX-RAMP implica un enfoque estructurado que abarca una variedad de actividades desde la evaluación inicial hasta el mantenimiento continuo. Use esta lista de verificación para guiar a su organización a través del proceso de cumplimiento.

¿Cuánto dura una certificación TX-RAMP?

Las certificaciones TX-RAMP Nivel 1 y Nivel 2 son válidas por tres años, siempre que el proveedor de servicios en la nube continúe cumpliendo con los requisitos del programa. Esto requiere revisiones anuales que evalúen los cambios en el servicio, el panorama de amenazas y la postura de seguridad del proveedor. La vigilancia continua y el cumplimiento de los requisitos de TX-RAMP son esenciales para mantener la validez del certificado durante todo su periodo de vigencia.

Para recertificarse, los proveedores de servicios en la nube deben revisar y actualizar los detalles de implementación de controles según sea necesario y presentar documentación actualizada para su revisión por parte de DIR. Los CSP pueden solicitar el inicio del proceso de recertificación hasta 12 meses antes de la fecha de vencimiento de la certificación.

Una certificación preliminar de TX-RAMP es válida por 18 meses a partir de la fecha de emisión de la certificación.

Evaluación Rápida TX-RAMP

La Evaluación Rápida TX-RAMP es un proceso acelerado diseñado para proveedores de servicios en la nube que ya han sido sometidos a rigurosas evaluaciones de seguridad y que cuentan con evaluaciones de terceros aprobadas por DIR o informes de auditoría existentes que proporcionan evidencia verificada de prácticas de seguridad.

Al permitir que los CSP utilicen sus evaluaciones de terceros o informes de auditoría existentes para obtener la certificación TX-RAMP más rápidamente, esta opción rápida pretende reducir redundancias y acelerar el proceso de aprobación, manteniendo al mismo tiempo los estándares de seguridad necesarios.

Actualmente, DIR acepta las siguientes evaluaciones de terceros o informes de auditoría para su consideración en la Evaluación Rápida:

• Informe del Tipo 2 del SOC 2
• HITRUST Autorizados Evaluadores Externos Validaron Evaluación
• PCI DSS Calificados Evaluadores de Seguridad Informe de Cumplimiento (RoC)

Mejores Prácticas para la Certificación TX-RAMP

Aquí hay algunas prácticas recomendadas para obtener y mantener la certificación TX-RAMP:

• Mantener una documentación completa: Mantén documentación detallada de todas las políticas, procedimientos y controles de seguridad, que sean de fácil acceso y estén actualizadas. Desarrolla un plan de emergencia bien definido que describa los pasos específicos en caso de un incidente de seguridad. Esta documentación exhaustiva respalda el cumplimiento y la preparación.
• Realizar entrenamientos regulares para empleados: Realiza capacitaciones regulares de seguridad para informar a los empleados sobre su papel en el mantenimiento de la seguridad. Implementa simulaciones de phishing y otros ejercicios de entrenamiento para mejorar su capacidad de reconocer y responder a amenazas de seguridad. La educación continua ayuda a crear una cultura de conciencia de seguridad dentro de la organización.
• Realizar revisiones periódicas: Realiza revisiones periódicas de tus prácticas y controles de seguridad para asegurarte de que sigan siendo efectivos y conformes. Si se identifican áreas donde tus prácticas actuales no cumplen con los estándares de TX-RAMP, desarrolla un plan de corrección con acciones específicas, cronogramas y responsabilidades asignadas para abordar estas deficiencias. Este enfoque proactivo ayuda a facilitar el camino hacia la conformidad.
• Uso de automatización: Utilizar una plataforma para la automatización del cumplimiento puede simplificar significativamente el proceso de certificación TX-RAMP. Con una herramienta así, puedes automatizar evaluaciones de riesgos, gestionar documentación, monitorear controles de seguridad y asegurar el cumplimiento continuo. Esto puede reducir el esfuerzo y el tiempo necesarios para alcanzar y mantener la certificación TX-RAMP.

Automatización del Cumplimiento TX-RAMP con Secureframe

Como la única plataforma para la automatización del cumplimiento que soporta TX-RAMP, Secureframe simplifica considerablemente el proceso para obtener la certificación TX-RAMP y ayuda a los proveedores de servicios en la nube a gestionar y cumplir eficientemente con los requisitos de seguridad necesarios.

Las características clave incluyen:

• Expertise en cumplimiento gubernamental: Nuestro dedicado equipo de cumplimiento de primer nivel incluye antiguos evaluadores de FISMA, FedRAMP y CMMC, que cuentan con el conocimiento y la experiencia para apoyarte en cada paso.
• Integraciones con productos de nube federal: Secureframe se integra con tu infraestructura tecnológica existente, incluyendo AWS GovCloud, para automatizar el monitoreo de la infraestructura y la recopilación de evidencia.
• Red de socios de confianza: Secureframe tiene fuertes asociaciones con socios que pueden ofrecer servicios vCISO (es decir, asesoramiento y apoyo personalizado) para simplificar la conformidad con TX-RAMP, como RISC Point y CyAlpha. Secureframe también trabaja con reconocidas empresas de auditoría que son organizaciones de evaluación de terceros certificadas (3PAOs) y pueden respaldar las Evaluaciones de Vía Rápida de TX-RAMP a través de otras auditorías federales como FedRAMP.
• Gestión de políticas: La plataforma ofrece políticas basadas en plantillas, procedimientos y un plan de seguridad del sistema (SSP) para cumplir con los requisitos y prepararlo para evaluaciones, incluidas las POA&M, evaluaciones de impacto y listas de verificación de preparación.
• Asignación transversal de marcos: TX-RAMP tiene muchos requisitos superpuestos con NIST 800-53, StateRAMP, NIST 800-171, FedRAMP, CJIS, CMMC y otros marcos federales. En lugar de comenzar desde cero, nuestra plataforma puede ayudarlo a mapear lo que ya ha hecho para TX-RAMP a otros marcos, para que no tenga que duplicar sus esfuerzos.
• Monitoreo continuo: Al monitorear su stack tecnológico las 24 horas, los 7 días de la semana, para alertarle sobre incumplimientos, Secureframe facilita el mantenimiento de una conformidad continua. Puede establecer intervalos de prueba y notificaciones para tareas regulares requeridas para garantizar la conformidad con TX-RAMP. También puede utilizar nuestras funciones de gestión de riesgos y vulnerabilidades para respaldar sus esfuerzos de monitoreo continuo y el mantenimiento de POA&M.

Para saber cómo Secureframe puede ayudar a su organización a reducir el tiempo y esfuerzo necesarios para obtener y mantener la certificación TX-RAMP, solicite una demostración con un experto en productos.