FedRAMP
¿Qué es FedRAMP?
FedRAMPPrograma del Gobierno de EE. UU. que estandariza la evaluación de seguridad, la autorización y la monitorización continua de los servicios cloud utilizados por las agencias federales.
El Federal Risk and Authorization Management Program (FedRAMP) se creó en 2011 y se consolidó por ley con la FedRAMP Authorization Act de 2022. Proporciona una autorización de seguridad única y reutilizable para las ofertas cloud (CSO) vendidas a agencias federales estadounidenses. Los proveedores cloud son evaluados por una 3PAO acreditada conforme a las líneas base NIST SP 800-53 (Low, Moderate, High) y obtienen una P-ATO del Joint Authorization Board o una ATO concedida por una agencia. Los servicios autorizados figuran en el FedRAMP Marketplace y deben someterse a monitorización continua, actualizaciones mensuales de POA&M y notificación de incidentes a CISA. El programa, gestionado por la GSA con supervisión de la OMB, reduce auditorías duplicadas.
● Ejemplos
- 01
Un proveedor SaaS que persigue una ATO Moderate de FedRAMP para vender a agencias federales.
- 02
Una agencia que reutiliza una P-ATO High de FedRAMP existente para incorporar un servicio cloud de colaboración.
● Preguntas frecuentes
¿Qué es FedRAMP?
Programa del Gobierno de EE. UU. que estandariza la evaluación de seguridad, la autorización y la monitorización continua de los servicios cloud utilizados por las agencias federales. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa FedRAMP?
Programa del Gobierno de EE. UU. que estandariza la evaluación de seguridad, la autorización y la monitorización continua de los servicios cloud utilizados por las agencias federales.
¿Cómo defenderse de FedRAMP?
Las defensas contra FedRAMP combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para FedRAMP?
Nombres alternativos comunes: Programa Federal de Autorización y Gestión de Riesgos.