O Programa Federal de Gerenciamento de Risco e Autorizações, conhecido como FedRAMP (do inglês, The Federal Risk and Authorization Management Program) vai padronizar os requerimentos básicos de segurança que provedores de serviços em nuvem, como o Google e a Microsoft, terão que atender antes de fechar contratos com o governo. As novas diretrizes vão exigir que os fornecedores contratem serviços de auditoria de terceiros para determinar se eles atendem, ou não, os requisitos básicos de segurança.
O programa, desenvolvido pela GSA (General Services Administration), pelos departamentos de Defesa e de Segurança Interna e pelo escritório de orçamento e gerenciamento do governo dos Estados Unidos, vai definir um amplo programa de segurança em nuvem governamental. Isso significa que um fornecedor, como a Microsoft, não precisará repetir o processo de aprovação de segurança sempre que concorrer a um contrato de serviços em nuvem.
O site do FedRAMP lista nove organizações de auditoria credenciadas, que os fornecedores poderão contratar para autenticar mais de 160 controles básicos de segurança, incluindo funcionalidades de filtro de spam e padrões de encriptação. Esta foi o último movimento da política “Cloud First”, adotada pela Casa Branca com o objetivo de simplificar diversas áreas de TI do governo.
Para Steven Van Roekel, CIO do governo, os serviços em nuvem são geralmente mais seguros que os hospedados dentro de casa. “A chave para a segurança é a consistência. Quando você está em sistemas federais diferentes, você não tem diretrizes ou controles consistentes como o que os provedores de nuvem podem ter”, afirma.
As diretrizes anunciadas na semana passada têm o objetivo de definir este padrão consistente. Elas chegam no momento em que o governo dos EUA está consolidando vários serviços – como e-mail - em sistemas baseados em nuvem. Como exemplo, uma única agência federal pode operar mais de uma dúzia de sistemas de e-mail diferentes. O departamento de agricultura recentemente migrou de 21 provedores de e-mail para um único sistema em nuvem, fornecido pela Microsoft.
Para Dan Cruz, assessor de imprensa da GSA, a iniciativa também deve ajudar pequenos fornecedores a competir por contratos de serviços em nuvem. “O modelo de ‘faça uma vez, use várias’ adotado pelo FedRAMP vai ajudar pequenos fornecedores de serviços em nuvem a fazer negócios com o governo federal ao eliminar a necessidade de investimentos em autorizações de segurança para cada agência federal”, disse.
