Programa de Evaluación y Gestión de Riesgos de Texas (TX-RAMP)
TX-RAMP fue establecido por el Departamento de Recursos Informáticos de Texas para proporcionar un enfoque estandarizado para la evaluación de seguridad, aprobación y monitoreo continuo de servicios de computación en la nube que procesan, almacenan o transmiten los datos de una agencia estatal.
Solicite una demostración de los Marcos Personalizados de SecureframeDefinición y Propósito
El propósito principal de TX-RAMP es establecer medidas de seguridad para productos y servicios en la nube que procesan, almacenan o transmiten datos a agencias estatales de Texas, con el fin de proteger la información y los recursos de información de estas agencias.
Organismo Administrativo
TX-RAMP es administrado por el Departamento de Recursos Informáticos de Texas (DIR). DIR es responsable de supervisar la implementación del programa, garantizar el cumplimiento y actualizar las regulaciones según sea necesario.
Última Actualización
La versión más reciente de TX-RAMP, Manual de TX-RAMP v3.0, fue actualizada por última vez en octubre de 2023 y entrará en vigor el 1 de diciembre de 2023. Hasta entonces, seguirá vigente el Manual de TX-RAMP v2.0.
Aplicable a
TX-RAMP se aplica a servicios de computación en la nube, como se define en la Sección 2054.0593(a) del Código de Gobierno de Texas.
Las agencias estatales, instituciones de educación superior y colegios comunitarios públicos, como se define en el Código de Gobierno de Texas 2054.003(13), solo pueden celebrar o renovar contratos para recibir servicios de computación en la nube que cumplan con los requisitos de TX-RAMP.
Controles y Requisitos
TX-RAMP describe requisitos específicos que los proveedores de servicios en la nube deben cumplir para obtener y mantener una certificación para un servicio de computación en la nube. Algunos de los requisitos más importantes incluyen:
- Informes
- Clasificación, seguridad y retención de datos
- Capacitación en ciberseguridad
- Desarrollo y mantenimiento del plan de seguridad de la información
Los controles que los proveedores de la nube deben cumplir dependen del nivel de certificación de TX-RAMP que deben alcanzar. Si deben cumplir con el Nivel 1 de TX-RAMP, los controles usan las líneas base NIST 800-53 Low. Este es un conjunto de controles de seguridad mínima para sistemas de información, basados en su nivel de impacto. Si deben cumplir con el Nivel 2 de TX-RAMP, los controles usan las líneas base NIST 800-53 Moderate. Puede obtener más información sobre NIST 800-53 y sus líneas base de control de seguridad en nuestra Guía definitiva de los marcos federales.
Para las agencias gubernamentales, TX-RAMP también establece requisitos legales para la adjudicación de contratos para servicios en la nube con la certificación correspondiente.
Por favor, consulte la legislación oficial del Departamento de Gestión de Emergencias de Texas para una lista detallada de los controles y requisitos.
Tipo de auditoría, frecuencia y duración
Para obtener la certificación TX-RAMP, las ofertas en la nube deben someterse a una evaluación por parte del DIR para garantizar el cumplimiento de los requisitos del programa.
La frecuencia varía según el nivel de certificación. Hay tres niveles de certificación TX-RAMP:
- Nivel 1: para información pública/no confidencial o sistemas con bajo impacto
- Nivel 2: para datos confidenciales/regulados en sistemas con impacto medio o alto
- Provisional: permite a una agencia gubernamental celebrar un contrato para el uso de un producto hasta por 18 meses sin la certificación de Nivel 1 o 2. La certificación completa o una certificación equivalente debe lograrse durante el período provisional.
Las certificaciones TX-RAMP de Nivel 1 y 2 son válidas por tres años, siempre que el servicio en la nube cumpla con los requisitos del programa. Estas evaluaciones, por lo tanto, deben realizarse al menos cada tres años para que la certificación pueda renovarse.
La duración de las auditorías varía según varios factores, como la exhaustividad de las
respuestas y la documentación, la respuesta oportuna a las aclaraciones, el nivel de evaluación realizado y el volumen de solicitudes. El DIR se esfuerza por completar una evaluación y emitir una recomendación dentro de las 4 semanas.