por Luke Bencie
Vale la pena la inversión en cumplir con FedRAMP.
• • •
Con la reciente explosión de aplicaciones, soluciones de software e Internet de las cosas (IoT), es bastante inevitable que todas las start-up de Silicon Valley, incluidos los rudos emprendedores adolescentes que escriben códigos revolucionarios en los garajes de sus padres, quieran vender sus productos y servicios al gobierno federal de los Estados Unidos. El potencial de ventas del tío Sam es prácticamente ilimitado. Pregúntele a cualquier contratista de defensa importante que haya aprovechado la aproximadamente$ gastan 800 000 millones de dólares al año en defensa. Sin embargo, entrar en el espacio federal no se trata solo de tener el mejor producto o servicio, sino también de implementar protocolos de ciberseguridad eficaces.
Los vendedores deben ser conscientes de la enorme amenaza que el espionaje económico representa para los EE. UU. (tanto en el sector público como en el privado) y, por lo tanto, proporcionar tecnología que limite el acceso clandestino a las plataformas en línea. Con el robo de propiedad intelectual costando a los Estados Unidos alrededor de 200 a 600 000 millones de dólares al año, quienes vendan al gobierno deben asegurarse de entregar un producto libre de códigos maliciosos, ransomware o alguna otra «mano oculta» implantada por un servicio de inteligencia extranjero hostil. Yendo un paso más allá, imagine las implicaciones y responsabilidades de un sistema de software que proporcionara acceso a terceros a una de las infraestructuras críticas de los Estados Unidos (es decir, la red eléctrica, los servicios de agua, los sistemas de transporte) y las consecuencias de una infracción.
Las campañas militares asimétricas ya no son la excepción, son la regla. Como tal, los gastos de defensa ya no se destinan únicamente a la aprovisionamiento de equipo militar. A medida que el Departamento de Defensa (DOD) de los Estados Unidos y otras agencias hacen la transición a una era de ciberguerra mundial y campos de batalla virtuales, están surgiendo nuevas empresas para cubrir las desesperadas necesidades cibernéticas del Pentágono. Solo este año, las agencias federales de EE. UU. comprarán más de 80$ millones de dólaresen soluciones de IT privadas, 9$ millones de dólaresde los cuales se destinarán a soluciones basadas en la nube.
Lamentablemente, no basta con tener un software innovador basado en la nube, sino que también debe ser seguro. La amenaza de que los piratas informáticos o gobiernos extranjeros hostiles utilicen códigos malintencionados para acceder por la puerta trasera a la infraestructura de IT del gobierno de los EE. UU. es un enorme riesgo para la seguridad nacional. Por este motivo, las empresas que deseen vender sus servicios en la nube a agencias federales primero deben cumplir con un reglamento conocido como Programa federal de gestión de riesgos y autorizaciones (FedRAMP). Considérelo el sello de seguridad oficial de aprobación para vender soluciones de informática en la nube dentro de la circunvalación de Washington D.C.
FedRAMP es un programa gubernamental para acreditar los servicios en la nube para su consumo por parte de las agencias federales y del Departamento de Defensa de EE. UU. Su propósito es adoptar servicios de seguridad en la nube en todo el gobierno, proporcionando un enfoque estandarizado para las evaluaciones de seguridad, la autorización y la supervisión continua de las tecnologías en la nube. El programa lo gestiona la Oficina de Administración de Programas (PMO) de FedRAMP de la Administración de Servicios Generales (GSA). Todos los servicios en la nube (software como servicio (SaaS), plataforma como servicio (PaaS) e infraestructura como servicio (IaaS) deben recibir un Autoridad provisional para operar (P-ATO) de la Junta Conjunta de Acreditación (JAB) o ATO de la agencia, antes de su consumo por parte de una agencia del gobierno de los EE. UU.
General (.) Frank McKenzie, director ejecutivo del Centro de Ciberseguridad de Florida y del Instituto de Seguridad Nacional y Global de la Universidad del Sur de Florida y excomandante del Comando Central de los Estados Unidos, nos dijo en una entrevista: «Si bien el proceso de FedRAMP es extremadamente importante para garantizar que el software que se comparte en las plataformas gubernamentales, especialmente en las plataformas del DoD, esté libre de códigos maliciosos o puertas traseras que nuestros enemigos puedan aprovechar, también debemos saber que no podemos sofocar la tecnología o ventajas competitivas debido a la burocracia y a la burocracia innecesaria».
Para obtener la certificación de FedRAMP, el posible proveedor, conocido como proveedor de servicios en la nube (CSP), debe someterse a una rigurosa evaluación de terceros por parte de una organización de evaluación externa (3PAO) reconocida por FedRAMP. La 3PAO es responsable de garantizar que el CSP y su oferta de software cumplan con los requisitos de seguridad descritos en la Directrices del Instituto Nacional de Estándares y Tecnología (NIST).
Cuando se hayan completado todas las comprobaciones y el servicio en la nube haya obtenido la autorización correctamente, la siguiente parada aparecerá en el FedRAMP Marketplace. Este sitio web es la ventanilla única para que las agencias encuentren servicios en la nube que se hayan probado y aprobado como seguros de usar, lo que facilita mucho determinar si una oferta cumple los requisitos de seguridad. Una vez que el software llegue a la plataforma, es casi seguro que el proveedor ganará algunos importantes contratos gubernamentales. Actualmente hay cerca de 300 proveedores, que van desde los líderes de software Adobe y Box hasta Xerox y Zoom. (Nota: El hecho de que un proveedor esté en FedRAMP Marketplace no significa que sea inmune a las amenazas. Por ejemplo, Adobe estuvo involucrado en una de las mayores filtraciones de datos del siglo XXI en 2013, y Zoom resolvió recientemente hasta cuatro brechas de seguridad explotables en su código).
Debería ser reconfortante saber que el dinero de los contribuyentes se destina al menos a garantizar que el software que compra el gobierno de los EE. UU. sea seguro y esté libre de compromisos. Pero este es el truco: el coste de obtener su certificación FedRAMP no es de unos cientos de dólares. Tampoco son unos pocos miles de dólares… o decenas de miles. El coste de obtener la certificación FedRAMP puede oscilar entre 400 000 y más de un millón de dólares. Ese precio puede ser una gota en el mar para una empresa de Fortune 500 o incluso para una empresa tecnológica de Silicon Valley con inversores con mucho dinero. Pero, para el aspirante a emprendedor con un gran producto de software, puede que se quede al margen. Pero no piense ni por un minuto que solo los que pueden pagar por jugar pueden participar. Por el contrario, la certificación FedRAMP no se otorga, aunque se la pueda permitir. El proceso de pruebas es riguroso, al igual que las evaluaciones en curso. También puede tardar entre seis meses y dos años en obtener su ATO.
Según John Verry, socio gerente de Pivot Point Security, una empresa líder en ciberseguridad, «más que otros marcos de ciberseguridad, como ISO 27001 y SOC 2, FedRAMP exige un compromiso firme por parte de la alta dirección, ya que exige el compromiso inicial y continuo de recursos/dólares durante el esfuerzo inicial de certificación, la puesta en marcha de un programa de monitoreo continuo y las evaluaciones anuales. En una llamada de ventas típica, dedicamos tanto (o más) tiempo a determinar si habrá una rentabilidad de la inversión empresarial que al proceso o al impacto de crear un programa de ciberseguridad que cumpla con la FedRAMP».
Entonces, la pregunta es, ¿vale la pena invertir en FedRAMP? Si quiere llevar a su empresa de software al siguiente nivel, la respuesta corta es un sí rotundo. FedRAMP casi se asegurará de que su inversión de un millón de dólares duplique, triplique, cuadruplique o más su valor contractual. Tomemos, por ejemplo, la popular empresa de software empresarial Salesforce. La tecnología de gestión de relaciones con los clientes (CRM) es una de las más utilizadas en el sector privado. Tras obtener la aprobación en FedRAMP Marketplace en 2014, Salesforce ganó más de 1400 contratos con agencias como el Departamento de Seguridad Nacional, el Departamento de Estado y la Fundación Nacional de Ciencias. Solo su contrato con el Departamento de Asuntos de Veteranos vale la pena 260$ de dólares. Se puede decir con seguridad que Salesforce se ha beneficiado enormemente de FedRAMP.
El 23 de diciembre de 2022, la Administración de Biden firmó el Ley de autorización de FedRAMP en ley, cuyo objetivo era agilizar el proceso de autorización de FedRAMP. Espero que esto atraiga nuevos proveedores con ofertas tecnológicas más competitivas al espacio gubernamental. No cabe duda de que al gobierno de los Estados Unidos le vendría bien una selección más amplia de ciberopciones. Con la necesidad apremiante de mejorar la potencia de cálculo del tío Sam, quizás sea el momento adecuado para que esas mentes brillantes, que desarrollan la próxima gran novedad en su garaje, den a conocer su software basado en la nube. Esperemos que sus medidas de ciberseguridad estén a la altura.
_
Luke Bencie es el Director Gerente de Security Management International. Ha trabajado en más de 100 países para el Departamento de Defensa, la comunidad de inteligencia estadounidense y más de dos docenas de empresas de Fortune 500. Es autor del libro The CARVER Target Analysis and Vulnerability Assessment Methodology, así como de Among Enemies: Contraespionaje para el Viajero de Negocios. Puedes ponerte en contacto con él en lbencie@smiconsultancy.com
Sarah Bencie es socia directora de Security Management International, una consultora de seguridad global que cuenta entre sus clientes con el Departamento de Defensa de EE.UU., la Comunidad de Inteligencia de EE.UU., gobiernos extranjeros y más de dos docenas de empresas de Fortune 500. Puedes ponerte en contacto con ella en sbencie@smiconsultancy.com