Krypton Solid

La última tecnología en raciones de 5 minutos

Los requisitos de seguridad de FedRAMP dan prioridad a la automatización

Cuando se trata de las reglas de la nube del gobierno federal, la automatización de la seguridad es el rey.

Ese fue el mensaje de Matt Goodrich, director del Programa Federal de Gestión de Autorizaciones y Riesgos (FedRAMP), GSA. Goodrich habló en la Cumbre de la Alianza de Seguridad en la Nube el lunes durante la Conferencia RSA 2018 y habló sobre la historia y las lecciones aprendidas de FedRAMP, que se presentó por primera vez en 2011.

“Queríamos estandarizar la forma en que el gobierno federal realiza autorizaciones para productos en la nube”, dijo Goodrich, al describir el caos de cada departamento y agencia individual que tiene su propio conjunto de pautas y enfoques para aprobar proveedores de servicios en la nube.

Goodrich describió en detalle la visión detrás del programa regulatorio, los problemas de seguridad que impulsaron su creación y cómo se desarrollaron los requisitos de seguridad de FedRAMP. Uno de los detalles más interesantes que discutió fue la importancia de la automatización de la seguridad para esos requisitos.

Tres niveles de impacto

FedRAMP tiene un sistema de tres niveles para las ofertas de servicios en la nube según el nivel de impacto: bajo, moderado y alto. Los sistemas de bajo impacto incluyen sitios web públicos con datos no sensibles, que tienen 35 requisitos de seguridad de FedRAMP. Goodrich dijo que su organización ha reducido la cantidad de requisitos para los sistemas de bajo impacto, que habían sido más de 100. “Con estos sistemas, estamos buscando preguntar [cloud providers]: ¿Tiene un programa de seguridad básico? ¿Hace escaneo, parchea y tiene procesos de gestión de vulnerabilidades como ese? ”, Dijo.

Mientras tanto, los sistemas de impacto moderado incluyen aproximadamente el 80% de todos los datos del gobierno federal y, como tal, tienen 325 requisitos de seguridad de FedRAMP para los proveedores de la nube. Eso incluye tener un programa de gestión de riesgos bien operado, dijo Goodrich, así como controles de cifrado y acceso a los datos.

Los sistemas de alto impacto son otra historia. “Estos son algunos de los sistemas más sensibles que tenemos en todo el gobierno”, dijo Goodrich, como los datos del Departamento de Defensa. Los compromisos de los datos de estos sistemas, dijo, podrían provocar catástrofes financieras para las agencias gubernamentales y las organizaciones del sector privado o incluso la muerte. Los sistemas de alto impacto tienen requisitos de seguridad 420 FedRAMP, y el enfoque de esos requisitos está en la automatización de la seguridad.

“Básicamente, buscamos un alto grado de automatización detrás de gran parte de lo que hacen estos sistemas de alto impacto”, dijo Goodrich. “Si puedes cortar lo que puede hacer un humano y hacer que una máquina lo haga, entonces eso es lo que tendrás que implementar. Es la diferencia entre sistemas moderados y altos «.

Muchos de los requisitos de seguridad de FedRAMP para sistemas moderados y altos son los mismos, dijo Goodrich, pero es la forma en que los proveedores de la nube implementan los controles para esos requisitos que son diferentes. Tener herramientas de administración de configuración, por ejemplo, en su lugar, le otorgará un contrato para mantener sistemas de impacto moderado en la nube, pero tener herramientas de administración de configuración automatizadas le permitirá acceder a los sistemas de alto impacto.

La automatización de la seguridad es algo de lo que se ha hablado durante años, pero los nuevos desarrollos e inversiones en torno a la inteligencia artificial y la automatización parecen haber reavivado el interés últimamente. Las ideas de Goodrich se hacen eco de declaraciones similares en la Conferencia RSA de esta semana del sector privado sobre el valor de los sistemas automatizados que no solo alivian la carga de los profesionales de la seguridad de la información, sino que también mejoran las operaciones de seguridad dentro de una organización.

CrowdStrike, por ejemplo, presentó Falcon X, la parte más nueva de su plataforma Falcon basada en la nube, que automatiza los procesos de análisis de malware para ayudar a las empresas a responder más rápido a los incidentes de seguridad. Además, el informe State of Cybersecurity 2018 de ISACA enfatizó el valor de la automatización de la seguridad para compensar la escasez de personal capacitado en seguridad informática dentro de una organización.

Los requisitos de seguridad de FedRAMP dejan en claro que el gobierno de EE. UU. No confía en los humanos para manejar sus datos más confidenciales, lo que plantea la pregunta: ¿Deberían las empresas adoptar el mismo enfoque?

Deja un comentario

También te puede interesar...

No todas las noticias sobre estatinas son buenas

Un presentador de la CNBC bromeó sobre «poner estatinas en el agua» hoy, pero no todas las noticias sobre las estatinas de hoy fueron buenas, especialmente si tienes muchas existencias. (Imagen de la molécula de

Definición de Smeal College of Business

¿Qué es la Facultad de Negocios de Smeal? Smeal College of Business es una escuela de negocios ubicada en la Universidad Estatal de Pensilvania. La escuela ofrece títulos de pregrado y programas de posgrado, como

Producción en Orden Ahorro

Una economía dirigida es un sistema económico en el que el gobierno, o el planificador central, determina qué bienes y servicios se deben producir, la oferta que se debe producir y el precio de los

Definición de mercado técnicamente pobre

¿Qué es un mercado técnicamente débil? Un mercado técnicamente débil refleja señales frágiles o puntos de datos negativos en el flujo de caja o análisis técnico que contribuyen a la fragilidad general del mercado. Los

Crear una empresa conectada: no es ciencia espacial

Internet de las cosas es más que cosas (dispositivos y sensores) y su conectividad (Internet) con infraestructura de TI. La definición real de IoT comienza cuando estas cosas habilitadas para IoT revelan datos críticos complementados

Informes: PlayStation 2 llegará el 23 de enero

El analista financiero Merrill Lynch predice que la PlayStation 2, la última consola de juegos de Sony, llegará a los estantes japoneses el 23 de enero a un alto precio de 45.000 yenes (GBP 238),

Novedades de Netflix: 24 de enero de 2019

Hotel Transilvania 3 ahora en Netflix – Copyright Sony Pictures Dos nuevos grandes lanzamientos acaban de aterrizar hoy en Netflix en los Estados Unidos. Esto es lo nuevo en Netflix y lo que salió de