Die Kluft zwischen Landes- und Bundesstandards zu schließen ist einfacher als Sie denken
Sich in der komplexen Landschaft behördlicher Datenverwaltung und -sicherung zurechtzufinden, kann für Unternehmen, die mit Behörden zusammenarbeiten möchten, eine entmutigende Aufgabe sein. Vorschriften wie SOC 2, PCI DSS, HIPAA und spezielle Programme wie FedRAMP und StateRAMP sind dabei unerlässlich, um die Integrität von Cloud-basierten Informationen zu gewährleisten. In diesem Blogbeitrag erfahren Sie, wie Sie diese Herausforderungen meistern können.
Regierungsbehörden arbeiten nicht isoliert. Sie arbeiten mit externen Dienstleistern zusammen, um ihre Ziele zu erreichen. Unternehmen, die eine Partnerschaft für Regierungsgeschäfte anstreben, müssen zunächst bestimmte Kriterien hinsichtlich der Datenverwaltung und des Datenschutzes erfüllen, darunter die Compliance mit SOC 2, PCI DSS und HIPAA-Protokollen. Dieser Vorbereitungsprozess umfasst in der Regel den Nachweis der Einhaltung von Hunderten von Compliance-Anforderungen, die heute alle im Federal Risk and Authorization Management Program (FedRAMP) zusammengefasst sind.
FedRAMP wurde 2011 eingerichtet, um einen standardisierten Ansatz für die Sicherheitsanalyse, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Services zu bieten und so die höchstmöglichen Cloud-Sicherheitsstandards zu gewährleisten. Mit FedRAMP können Bundesbehörden moderne Cloud-Technologien einsetzen und gleichzeitig die Vertraulichkeit, Integrität und Verfügbarkeit der in der Cloud gespeicherten und verarbeiteten Daten der Bundesbehörden sicherstellen.
Auf lokaler Ebene verfolgt die gemeinnützige Organisation StateRAMP das Ziel, durch die Einführung von Readiness and Management Protocols (RAMP) für Bundesstaaten Missverständnisse zu vermeiden und die Cybersicherheit und Compliance in der Cloud zu verbessern. Mit den Zertifizierungsprogrammen FedRAMP und StateRAMP können Dienstleister in der Fertigung, im Einzelhandel, im Gesundheitswesen, im Finanzwesen und in anderen vertikalen Branchen diese Vorschriften erfüllen und sich so für eine Zusammenarbeit mit Regierungsbehörden qualifizieren.
Kalifornien und Texas zählen zu den Bundesstaaten, die eine Partnerschaft mit StateRAMP und dessen Leitprotokollen eingegangen sind, wobei Texas inzwischen einem Dutzend Staaten mit seiner eigenen, schlankeren Version von FedRAMP, dem Texas Risk and Authorization Management Program (TX-RAMP), den Weg weist.
StateRAMP ist ein Zusammenschluss von Stakeholdern, die eine starke, standardisierte Cybersicherheit für IaaS, SaaS und PaaS unterstützen. Sie bieten eine umfassende Sicherheitszertifizierung, um Unternehmen und lokale Behörden bei der Identifizierung von Risiken und der Ermittlung von Abhilfemaßnahmen zu unterstützen, wodurch letztlich das Vertrauen und die Sicherheit bei der Zusammenarbeit mit Cloud-Anbietern erhöht werden.
Der StateRAMP-Zertifizierungsprozess mag zwar kompliziert erscheinen, kann aber auch sehr einfach ablaufen. Zunächst werden grundlegende Informationen zum Onboarding, eine Checkliste für die ersten Schritte und umfassende Informationen zu den Bedingungen für die Überprüfung der StateRAMP Compliance bereitgestellt.
Schluss mit der Komplexität
Ohne Zertifizierung können Software-Anbieter nicht mit staatlichen Behörden zusammenarbeiten. Die Compliance mit den geltenden Gesetzen und Standards ist für Unternehmen unerlässlich, um ihre Dienste staatlichen Behörden anbieten zu können. Die Lücke zwischen den Bundes- und den Landesstandards zu schließen, ist jedoch einfacher als Sie denken.
Öffentliche Einrichtungen müssen die TX-RAMP-Anforderungen erfüllen, um einen Vertrag mit einem Anbieter für Cloud Services einzugehen oder zu verlängern. TX-RAMP setzt für die Sicherheitsanalyse, Autorisierung und Überwachung einen standardisierten Ansatz voraus. Durch die gegenseitige Autorisierung mit StateRAMP und FedRAMP können Unternehmen Zeit und Ressourcen sparen.
Die folgenden vier Punkte sollten Sie auf dem Weg zur Zertifizierung auf Bundes- und Landesebene unbedingt beachten:
- Unternehmen unterlaufen bei dem Versuch, Compliance-Anforderungen zu erfüllen, häufig Fehler. Dabei besteht der erste Fehler oft darin, dass nicht alle Compliance-relevanten Elemente richtig identifiziert und bewertet werden.
- Umgekehrt gehen manche Unternehmen bei ihren Bemühungen um Compliance vielleicht zu weit. Eine präzise Festlegung der Grenzen von Compliance-bezogenen Services kann die Umsetzung von Compliance und die Definition für Compliance-Audits vereinfachen.
- Die Verwaltung von Compliance-Wissen ist entscheidend. Eine mangelhafte Kommunikation der Compliance-Anforderungen kann zum Scheitern eines Projekts führen. Wichtig ist, dass die Mitarbeiter in Schlüsselpositionen sich der Notwendigkeit der Compliance bewusst sind und wissen, was zu deren Einhaltung erforderlich ist. Ein fehlendes Verständnis der Komplexität der Compliance kann zu verpassten Deadlines, Budgetüberschreitungen und nicht den Anforderungen entsprechenden Projekten führen.
- Und vergessen Sie nicht, dass Compliance ein fortlaufender Prozess ist, der kontinuierliche Anstrengungen erfordert. Die Anforderungen und Vorschriften zur Compliance ändern sich ständig, weshalb Sie über die neuesten Änderungen auf dem Laufenden bleiben und entsprechend reagieren müssen.
Ein Anbieter muss in der Regel 18 bis 36 Monate und 2 bis 4 Mio. USD aufwenden, um von einer Bundesbehörde eine Betriebsgenehmigung (Authorization to Operate, ATO) zu erhalten. Hinzu kommen jährliche Folgekosten in Höhe von etwa 750.000 USD. Mit der Unterstützung eines Partners, der sich auf die Beschleunigung der Compliance-Schritte konzentriert, kann ein Anbieter die ATO für mehrere Behörden in 9-12 Monaten erreichen und aufrechterhalten, und das zu etwa 30 % geringeren Kosten.
Der Einstieg in die Zertifizierung nach FedRAMP, StateRAMP und TX-RAMP
Bereiten Sie sich vor, um sicherzustellen, dass Ihr Unternehmen alle bundesstaatlichen und staatlichen Anforderungen für die Geschäftstätigkeit erfüllt. Erwägen Sie auch die Einschaltung eines Drittanbieters, der Ihnen mit einer proaktiven Lösung dabei helfen kann, die Zertifizierungsanforderungen zu erfüllen. Ein solcher Partner kann das Unternehmen in der Regel durch den gesamten Prozess leiten und unterstützen und häufig eine vorläufige Zulassung innerhalb eines Jahres erzielen. Dadurch können Sie Kosten einsparen, mögliche Umsatzverluste minimieren und den Prozess beschleunigen.
Fangen Sie noch heute damit an, die Lücke zwischen den Standards auf Bundes- und Landesebene zu schließen, und lassen Sie sich nach FedRAMP und StateRAMP zertifizieren, damit Sie Regierungsbehörden schnell Cloud-basierte Services anbieten können. Verschaffen Sie sich einen schnelleren Zugriff auf den staatlichen Behördenmarkt, steigern Sie Ihre Performance, Zuverlässigkeit, Skalierbarkeit und Flexibilität und erhöhen Sie die Sicherheit.
HPC und KI: Das IT-Power-Paar
About the Authors
Chief Architect, Government Solutions
Jason Wicker
With over 25+ years in the Enterprise IT world, Jason has a successful career as a leader managing complex strategic alliances and high-performing teams - consistently innovating, strategizing, and executing to generate long-term growth in F500 and the public sector. Jason has worked for all the major players in the space; Getronics, Rackspace Technology, EMC, VMware and IBM, to name a few. With a drive for mentoring and bringing value to customers and partners, Jason has led and contributed to many critical projects over his career. His first major enterprise project was designing and overseeing the security integration of British Petroleum when they first acquired Aamco (7,500 users) and later Arco (4,000 users) for North and South America. At EMC and VMware, he helped design, service, sell and support the enterprise tooling suite that later became VMware’s VCenter Operations. Most recently Jason has been designing and driving the offering that is the Public Cloud Manager for the State of Texas, with over two hundred cloud properties under a single management plane across four cloud providers and twenty-six agencies. In his current role as Chief Architect for Government, Jason is responsible for driving Rackspace Technology's technological innovations and business solutions across the public sector line of business. He is highly motivated and results oriented, with a track record of building lasting relationships with key stakeholders and executives. Working as a partner with his clients, Jason brings the ability to create and drive close plans in alignment with clients' priorities allowing them to achieve their business objectives. He has expertise in enterprise software design, process, and architecture delivering in the areas of Business Management, Cost Transparency, Hybrid Cloud platforms, SaSS, eDiscovery, Security, Operations, Automation, Software Defined Data Center, and Orchestration. Most recently Jason has joined Rackspace’s FAIR initiative for ethical and responsible AI. The Foundry for Generative AI by Rackspace (FAIR) is a groundbreaking approach to accelerating the responsible and sustainable adoption of Generative AI solutions across industries.
Read more about Jason WickerRelated Topics