Qué se necesita para vender software basado en la nube al gobierno de los EE. UU.

Con la reciente explosión de aplicaciones, soluciones de software e Internet de las cosas (IoT), es bastante inevitable que todas las empresas emergentes de Silicon Valley, hasta los rudos emprendedores adolescentes que escriben códigos revolucionarios en los garajes de sus padres, quieran vender sus productos y servicios al gobierno federal de los Estados Unidos. El potencial de ventas del tío Sam es prácticamente ilimitado. Pregúntele a cualquier importante contratista de defensa que haya aprovechado las aproximadamente Se gastan 800 000 millones de dólares al año en defensa. Sin embargo, irrumpir en el espacio federal no se trata solo de tener el mejor producto o servicio, sino también de implementar protocolos de ciberseguridad eficaces.

Los vendedores deben ser conscientes de la enorme amenaza que el espionaje económico representa para los EE. UU. (tanto en el sector público como en el privado) y, por lo tanto, proporcionar tecnología que limite el acceso clandestino a las plataformas en línea. Con el robo de propiedad intelectual costando alrededor de a los Estados Unidos 200 a 600 000 millones de dólares al año, quienes vendan al gobierno deben asegurarse de entregar un producto libre de códigos maliciosos, ransomware o alguna otra «mano oculta» implantada por un servicio de inteligencia extranjero hostil. Yendo un paso más allá, imagine las implicaciones/responsabilidades de un sistema de software que permitía el acceso de terceros a una de las infraestructuras críticas de los Estados Unidos (es decir, la red eléctrica, los servicios de agua, los sistemas de transporte) y las consecuencias de una infracción.

Las campañas militares asimétricas ya no son la excepción, son la regla. Como tal, los gastos de defensa ya no se destinan únicamente al aprovisionamiento de material militar. A medida que el Departamento de Defensa (DOD) de los Estados Unidos y otras agencias hacen la transición a una era de ciberguerra mundial y campos de batalla virtuales, están surgiendo nuevas empresas para cubrir las desesperadas necesidades cibernéticas del Pentágono. Solo este año, las agencias federales estadounidenses comprarán más de 80 000 millones de dólares en soluciones de TI privadas, 9 mil millones de dólares de los cuales se destinarán a soluciones basadas en la nube.

Lamentablemente, no basta con tener un software innovador basado en la nube, sino que también debe ser seguro. La amenaza de que piratas informáticos y/o gobiernos extranjeros hostiles utilicen códigos maliciosos para acceder por la puerta trasera a la infraestructura de TI del gobierno de los EE. UU. representa un enorme riesgo para la seguridad nacional. Por este motivo, las empresas que deseen vender sus servicios en la nube a agencias federales deben cumplir primero con un reglamento conocido como Programa federal de gestión de riesgos y autorizaciones (FedRAMP). Considérelo el sello de seguridad oficial de aprobación para vender soluciones de computación en nube en la circunvalación de Washington D.C.

[

Insight Center Collection

Managing Cyber Risk

Exploring the challenges and the solutions.

](/insight-center/managing-cyber-risk)

FedRAMP es un programa gubernamental para acreditar los servicios en la nube para su consumo por parte de las agencias federales y del Departamento de Defensa de los EE. UU. Su objetivo es adoptar los servicios de seguridad en la nube en todo el gobierno mediante un enfoque estandarizado de las evaluaciones de seguridad, la autorización y la supervisión continua de las tecnologías en la nube. El programa lo administra la Oficina de Administración de Programas (PMO) del FedRAMP de la Administración de Servicios Generales (GSA). Todos los servicios en la nube (software como servicio (SaaS), plataforma como servicio (PaaS) e infraestructura como servicio (IaaS), deben recibir un Autoridad Provisional de Operar (P-ATO) de la Junta Conjunta de Acreditación (JAB) o Agencia ATO, antes de que lo consuma una agencia del gobierno de los EE. UU.

General (retirado) Frank McKenzie, director ejecutivo del Centro de Ciberseguridad de Florida y del Instituto de Seguridad Nacional y Global de la Universidad del Sur de Florida y excomandante del Comando Central de los Estados Unidos, nos dijo en una entrevista: «Si bien el proceso de FedRAMP es extremadamente importante para garantizar que el software que se comparte en las plataformas gubernamentales, especialmente en las plataformas del DoD, esté libre de códigos maliciosos o puertas traseras que nuestros enemigos puedan explotar, también debemos saber que no podemos reprimir tecnología o ventajas competitivas debido a la burocracia y la burocracia innecesaria».

Para obtener la certificación de FedRAMP, el posible proveedor, conocido como proveedor de servicios en la nube (CSP), debe someterse a una rigurosa evaluación externa realizada por una organización de evaluación de terceros (3PAO) reconocida por el FedRAMP. La 3PAO es responsable de garantizar que el CSP y su oferta de software cumplan con los requisitos de seguridad, tal como se describe en la Directrices del Instituto Nacional de Estándares y Tecnología (NIST).

Cuando se hayan realizado todas las comprobaciones y el servicio en la nube haya obtenido correctamente la autorización, la siguiente parada aparecerá en el Mercado de FedRAMP. Este sitio web es la ventanilla única para que las agencias encuentren servicios en la nube que hayan sido probados y aprobados como seguros de usar, lo que facilita mucho la determinación de si una oferta cumple con los requisitos de seguridad. Una vez que el software llegue a la plataforma, es casi seguro que el proveedor ganará algunos contratos gubernamentales importantes. Actualmente hay cerca de 300 proveedores, que van desde los líderes en software Adobe y Box hasta Xerox y Zoom. (Nota: el hecho de que un proveedor participe en FedRAMP Marketplace no significa que sea inmune a las amenazas. Por ejemplo, Adobe estuvo involucrado en una de las mayores filtraciones de datos del siglo XXI en 2013, y Zoom resolvió recientemente hasta cuatro brechas de seguridad explotables en su código).

Debería ser reconfortante saber que el dinero de los contribuyentes al menos sirve para garantizar que el software que compra el gobierno de los EE. UU. sea seguro y no comprometa nada. Pero este es el truco: el coste de obtener la certificación de la FedRAMP no es de unos cientos de dólares. Tampoco se trata de unos pocos miles de dólares… o decenas de miles. El coste de obtener la certificación de FedRAMP puede oscilar entre 400 000 y más de un millón de dólares. Ese precio puede ser una gota en el desierto para una empresa de la lista Fortune 500 o incluso para una empresa tecnológica de Silicon Valley con inversores acaudalados. Pero, para el aspirante a emprendedor con un gran producto de software, puede que se quede fuera en el frío. Pero no piense ni por un minuto que solo los que pueden pagar por jugar pueden subirse a bordo. Por el contrario, la certificación FedRAMP no es un hecho, aunque se lo pueda permitir. El proceso de pruebas es riguroso, al igual que las evaluaciones continuas. También puede llevar entre seis meses y dos años obtener su ATO.

Según John Verry, socio director de Pivot Point Security, una empresa líder en ciberseguridad, «Más que otros marcos de ciberseguridad, como ISO 27001 y SOC 2, FedRAMP exige un firme compromiso por parte de la alta dirección, ya que exige el compromiso inicial y continuo de recursos y dólares durante el esfuerzo inicial de certificación, la puesta en marcha de un programa de monitoreo continuo y las evaluaciones anuales. En una llamada de ventas normal, dedicamos tanto (o más) tiempo a determinar si habrá un retorno de la inversión empresarial como al proceso o el impacto de la creación de un programa de ciberseguridad que cumpla con el FedRAMP».

Entonces, la pregunta es: ¿vale la pena invertir en FedRAMP? Si quiere llevar a su empresa de software al siguiente nivel, la respuesta breve es un sí rotundo. FedRAMP casi se asegurará de que su inversión millonaria duplique, triplique, cuadruplique o más el valor del contrato. Tomemos, por ejemplo, la popular empresa de software empresarial Salesforce. La tecnología de gestión de las relaciones con los clientes (CRM) es una de las más utilizadas en el sector privado. Tras su aprobación en el FedRAMP Marketplace en 2014, Salesforce ganó más de 1.400 contratos con agencias como el Departamento de Seguridad Nacional, el Departamento de Estado y la Fundación Nacional de Ciencias. Solo su contrato con el Departamento de Asuntos de Veteranos vale la pena 260 millones de dólares. Se puede decir con seguridad que Salesforce se ha beneficiado enormemente de FedRAMP.

El 23 de diciembre de 2022, la Administración Biden firmó la Ley de autorización de FedRAMP convertido en ley, con el objetivo de agilizar el proceso de autorización del FedRAMP. Se espera que esto atraiga a nuevos vendedores con ofertas tecnológicas más competitivas al espacio gubernamental. No cabe duda de que al gobierno de los Estados Unidos le vendría bien una selección más amplia de opciones cibernéticas. Con la necesidad apremiante de mejorar la potencia de cálculo del tío Sam, quizás sea el momento adecuado para que esas mentes brillantes que están desarrollando la próxima gran novedad en su garaje den a conocer su software basado en la nube. Esperemos que sus medidas de ciberseguridad estén a la altura de las circunstancias.