Quzara LLC, una firma de consultoría con sede en Reston, Virginia, ha lanzado una herramienta de evaluación de preparación de FedRAMP, realizando 30 revisiones de proveedores de software independientes y proveedores de nube en sus primeros 60 días de disponibilidad.
FedRAMP, que significa Programa Federal de Gestión de Autorización de Riesgos, es una iniciativa de todo el gobierno para proporcionar una especie de sello de aprobación a las empresas que ofrecen servicios en la nube a agencias federales. El programa detalla un proceso estándar de evaluación y autorización de seguridad.
La Oficina de Administración y Presupuesto estableció FedRAMP en 2011 y requiere que cualquier servicio en la nube que contenga datos federales esté autorizado bajo la iniciativa. Concibió el programa para facilitar la adopción de la nube, pero los ejecutivos de la industria han considerado que el proceso de verificación de la seguridad de la nube es lento y costoso. Los proveedores de nube más pequeños, en particular, se han resistido al costo y la complejidad de obtener la autorización de FedRAMP para sus ofertas.
En ese contexto, Quzara lanzó su herramienta de evaluación de preparación FedRAMP, denominada FRAT. Saif Rahman, cofundador y director gerente de Quzara, dijo que los grandes actores de la nube, AWS y Salesforce, entre otros, tenían los bolsillos profundos para invertir en el cumplimiento de FedRAMP hace seis o siete años. Pero eso potencialmente deja al margen a miles de otros proveedores de la nube.
“Tenemos un montón de ISV y SaaS más pequeños [providers] que quieren ingresar al mercado federal, pero lo encuentran extremadamente difícil ”, dijo Rahman.
La herramienta FRAT tiene como objetivo reducir el gasto de FedRAMP. El proceso de autorización comienza con una evaluación de preparación de FedRAMP, que determina hasta qué punto la nube de un proveedor cumple con los controles de FedRAMP, o no lo hace. La evaluación de la preparación suele costar alrededor de 50.000 dólares en promedio, y el precio sube a 100.000 dólares en algunos casos, dijo Rahman. El costo de la verificación preliminar en la nube es un factor decisivo para muchos aspirantes a FedRAMP.
«El setenta por ciento de las conversaciones mueren allí», dijo Rahman.
FRAT, sin embargo, es una herramienta gratuita basada en la web que permite a los proveedores de la nube realizar una autoevaluación basada en un conjunto reducido de controles de seguridad. Por ejemplo, FRAT reduce los 325 controles para una línea de base de seguridad moderada de FedRAMP a 100 de los controles más críticos, explicó Rahman.
Quzara y su cliente en la nube discuten los resultados de la autoevaluación en un taller de dos horas, también gratuito. Después de las conversaciones, los clientes logran comprender el costo y el nivel de esfuerzo requerido para lograr el cumplimiento de FedRAMP, dijo Rahman.
“Les ayudamos a construir una hoja de ruta de FedRAMP”, dijo. Esa guía incluye un cronograma inicial para lograr la autorización y una lista de tareas pendientes priorizadas para cumplir con los requisitos de FedRAMP.
Las empresas que participan en las evaluaciones FRAT hasta ahora han incluido los ISV más pequeños que se esperaban, pero también entidades más grandes. Rahman citó el ejemplo de un contratista de defensa con múltiples aplicaciones basadas en centros de datos que planea convertir en servicios en la nube. El contratista necesita la autorización de FedRAMP para cada uno, una propuesta costosa incluso para una empresa importante.
Para Quzara, la evaluación sin costo de preparación de FedRAMP ha mantenido vivas las conversaciones con posibles clientes y podría conducir a negocios basados en tarifas en el futuro. Mientras tanto, Rahman dijo que el interés inicial en la evaluación es alentador.
«Hay un mercado que está hambriento de datos reales», dijo Rahman.