Para las organizaciones que se centran en el mercado federal, Fedramp puede sentirse como una fortaleza cerrada. Con estrictos requisitos de cumplimiento y pistas largas conocidas, muchas compañías suponen que su camino hacia la aprobación está reservado para las empresas que han revivido. Pero eso está cambiando.
Esta publicación se representa a partir de lecciones del mundo real, ideas técnicas y contusiones adquiridas de nuevas empresas de ciberseguridad que acaban de pasar por el proceso, analizando cuán rápido y rápido una startup en movimiento puede lograr la aprobación de medio fedramp sin descarrilar las velocidades del producto.
¿Por qué es importante?
Ganar en el espacio federal comienza con la confianza, y esa confianza comienza con Fedramp. Pero seguir la aprobación no es una simple casilla de verificación de cumplimiento. Este es un cambio en toda la compañía que requiere una estrategia intencional, inversiones de seguridad profunda y una voluntad de moverse de manera diferente a la mayoría de las nuevas empresas.
Comencemos por mirar cómo se ve realmente.
Clave para el permiso exitoso de Fedramp
1. Desde el primer día, ajuste a NIST 800-53
Las startups que el cumplimiento de Bolt más adelante en el juego generalmente comenzará a recolectar infraestructura. ¿Un camino mejor? NIST 800-53 Rev. 5 se construye directamente en una línea de base media, incluso antes de que Fedramp aparezca en la hoja de ruta.
Este compromiso temprano reducirá el retrabajo, acelerará la preparación de ATO y promoverá una mentalidad de seguridad más amplia. Además, el cumplimiento a menudo es más que una casilla de verificación, y es un habilitador de negocios, ya que a menudo es necesario que una organización haga negocios con empresas medianas a grandes. En Beyond Identity, cuando habla sobre la plataforma de «diseño seguro», los componentes subyacentes se adaptan a un marco de cumplimiento estricto desde el principio.
2. Construya un equipo de seguridad integrado
Fedramp no es solo un problema de Infosec, es un deporte de equipo. El éxito requiere una integración estrecha.
Centrado en el cumplimiento, los clientes potenciales de InfosEC comprenden los matices de los ingenieros de seguridad de aplicaciones que pueden incrustar las barandillas sin cuellos de botella para manipular la seguridad en los ingenieros de la plataforma de tuberías responsables de la postura en la nube y la paridad de despliegue.
Las colaboraciones sensuales no son atractivas. Es una forma de sobrevivir a la inevitable bola curva.
3. Mirror de arquitectura comercial y federal
¿Estás tratando de administrar otro producto para el mercado federal? Por favor no lo hagas.
Las ganancias de inicio mantienen una sola cadena de liberación de software con la misma configuración e infraestructura en ambos entornos. En otras palabras,
Un conjunto de control, sin endurecimiento personalizado de horquillas solo federales fuera de una plataforma en la línea principal
Este enfoque reduce drásticamente la deriva técnica, simplifica la auditoría y evita que los ingenieros cambien con el contexto entre los dos mundos.
Examinar casos de negocios
Fedramp no es barato. En muchos casos, las inversiones iniciales superan los $ 1 millón, y los plazos pueden superar los 12 meses. Antes de comenzar:
Examinar las oportunidades de mercado. ¿Puedes ganar un contrato federal? Verifique el patrocinio ejecutivo: los fedramps deben buscar una alineación de arriba hacia abajo para un potencial de devolución 10x, no solo por el costo sino también por el tiempo y la energía involucrada
Este no es un experimento de crecimiento. Es una jugada larga que exige certeza.
Elija el socio adecuado
Navegar solo por la fedramp es una estrategia perdedora. Seleccione cuidadosamente el proveedor externo.
Busque referencias de clientes exitosos de entrega de FedRamp, especialmente para precios depredadores de organizaciones de valoración de terceros y herramientas de automatización.
Cortarás la esquina aquí y la pagarás más tarde, tanto con demoras como de confianza.
Construir músculos internos
Los proveedores externos no pueden reemplazar las preparaciones internas. Requerido:
Gestión sólida de programas para gestionar controles de cambio de habilidad, colecciones de evidencia y gestión de programas sólida para el aumento de tickets para arquitecturas de seguridad con cifrado, profundidades de operaciones de PKI y TPMS, y coordinar proveedores, auditores y capacitación interna del equipo de partes interesadas. Fedramp tiene una curva de aprendizaje empinada. Invertiré temprano.
Fedramp forma un método de envío que requiere velocidades más lentas, altas alineaciones y alineaciones fuertemente mantenidas. El impacto es realista, pero los pagos a largo plazo son seguridad disciplinada y madurez de procesos que va mucho más allá del cumplimiento.
El desafío más severo
Cada viaje de Fedramp alcanza el flujo turbulento. Algunas de las preguntas más difíciles son:
Definición del límite de aprobación para microservicios y componentes compartidos que interpretan controles de medio sin orientación clara Interpretan componentes compartidos que operan componentes compartidos que operan las puertas de DevSecops que hacen cumplir la seguridad sin seleccionar herramientas adecuadas para SAST, DAST, SBOM y SCA.
No subestimes estos. Puede convertirse en un bloqueador importante sin planificar cuidadosamente.
Es posible lograr FedRamp con la velocidad de inicio, pero solo a través de la priorización despiadada, una cultura de seguridad integrada y una comprensión más profunda de lo que se registró.
Si está considerando un viaje: comience a poco, muévase intencionalmente y comprometerse por completo. El mercado federal recompensa la confianza, pero solo para aquellos que lo han ganado.
Más allá de la identidad, existen plataformas de gestión de identidad y acceso moderadas por FedRamp que eliminan los ataques basados en la identidad. Para obtener más información, visite BeyondIdentity.com.
Source link
