Servicios de auditoría y equivalencia FedRAMP | Soporte 3PAO acreditado por A2LA | Lazarus Alliance. Llame. +1 (888) 896-7580 .

Obtenga la certificación FedRAMP Moderada o Alta Equivalencia con los servicios de auditoría FedRAMP acreditados por A2LA y el soporte 3PAO de Lazarus Alliance. Plazos de entrega rápidos de 6 a 12 semanas, desarrollo completo de SSP/POA&M y automatización con Cybervisor™. Llame al 888-896-7580.

La equivalencia moderada de FedRAMP (también llamada equivalente moderado de FedRAMP) es una vía de cumplimiento alternativa definida por el Departamento de Defensa para las ofertas de servicios en la nube (CSO) utilizadas por los contratistas de la Base Industrial de Defensa (DIB) para almacenar, procesar o transmitir información de defensa cubierta (CDI) o información no clasificada controlada (CUI). Proviene directamente de la cláusula 252.204-7012 de DFARS y fue aclarada en un 21 de diciembre de 2023, memorando del CIO del Departamento de Defensa.

Por qué existe y cuál es su función en CMMC

La norma DFARS 252.204-7012 exige que cualquier proveedor de servicios en la nube externo (CSP) que gestione CDI/CUI cumpla con los requisitos de seguridad equivalentes al nivel base moderado de FedRAMP (además de las normas de notificación de incidentes cibernéticos de DFARS en los apartados (c) a (g)). El programa CMMC (especialmente los niveles 2 y 3, que protegen la CUI) incorpora este requisito: si su organización utiliza un CSP para la CUI, dicho CSP debe estar autorizado para FedRAMP Moderate (y figurar en el FedRAMP Marketplace) o ser equivalente a FedRAMP Moderate.

Durante una evaluación CMMC, la C3PAO (para el Nivel 2) o DIBCAC (para niveles superiores) revisarán el conjunto de evidencias (BoE) del CSP para confirmar la declaración de equivalencia. Esto forma parte de la validación de su cumplimiento general con CMMC.

Lazarus Alliance, una organización de evaluación de terceros (3PAO) acreditada por FedRAMPLazarus Alliance coordinará directamente con su organización para preparar y programar su evaluación oficial de Equivalencia Moderada FedRAMP. Tras completar satisfactoriamente la evaluación independiente de 3PAO, Lazarus Alliance le proporcionará un conjunto completo de evidencias (BoE).

Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP)

FedRAMP Es un programa que abarca todo el gobierno de EE. UU. que proporciona un enfoque estandarizado para la evaluación de seguridad, la autorización y el monitoreo continuo de productos y servicios en la nube utilizados por agencias federales.

Establecido en 2011 y ordenado por la Oficina de Administración y Presupuesto (OMB), FedRAMP elimina las pruebas de seguridad duplicadas al crear un marco de "hacer una vez, usar muchas veces" de modo que una vez que un servicio en la nube está autorizado bajo FedRAMP, cualquier agencia federal puede reutilizar ese paquete de autorización en lugar de realizar su propia evaluación completa.

Qué significa realmente “equivalente”

El memorando de 2023 cerró lagunas anteriores y estableció un estándar alto. Un CSO califica como equivalente moderado de FedRAMP. sólo si cumple todos de los siguientes:

  • Logra 100% de cumplimiento (cero hallazgos relacionados con el control) con el Último nivel de referencia de control de seguridad moderado de FedRAMP (NIST SP 800-53 Rev. 5 Moderado, ~325 controles).
  • Es evaluado por un Organización de evaluación de terceros (3PAO) reconocida y acreditada por FedRAMP. utilizando plantillas FedRAMP.
  • Proporciona una completa Conjunto de pruebas (CdP) al contratista, que normalmente incluye:
    • Plan de seguridad del sistema (SSP)
    • Plan de evaluación de seguridad (PAS)
    • Informe de evaluación de seguridad (SAR) realizado por 3PAO
    • Plan de Acción e Hitos (POA&M): nota: se permiten POA&M operativos continuos después de la evaluación, pero la evaluación inicial de 3PAO debe mostrar el cumplimiento total sin hallazgos de control abiertos.

El proveedor de servicios en la nube también debe cumplir con los requisitos de DFARS 252.204-7012 relativos a la notificación de incidentes, el manejo de software malicioso, la protección de medios, el acceso forense y la evaluación de daños.

Obtenga la certificación FedRAMP Moderada o Alta Equivalencia con los servicios de auditoría FedRAMP acreditados por A2LA y el soporte 3PAO de Lazarus Alliance. Plazos de entrega rápidos de 6 a 12 semanas, desarrollo completo de SSP/POA&M y automatización con Cybervisor™. Llame al 888-896-7580.

Cronograma de auditoría de equivalencia moderada de FedRAMP: qué esperar con Lazarus Alliance

A continuación está lo plazos promedio del mundo real visto en 2024-2026 con 3PAO experimentados como Lazarus Alliance:

Cronograma detallado de la auditoría de equivalencia moderada de FedRAMP

Lazarus Alliance sigue este proceso estructurado de 6 fases para ayudar a los proveedores de servicios en la nube (CSP, por sus siglas en inglés) con una autorización FedRAMP Moderada existente a lograr de manera eficiente la Equivalencia Moderada (reutilización de la ATO de la agencia, asignación IL4/IL5 del Departamento de Defensa, StateRAMP u otras vías de equivalencia) utilizando el rigor y la automatización acreditados por A2LA.

Fase Actividades Duración Lo que recibe el cliente
Fase 0 – Pre-compromiso y toma de decisiones Consulta sin riesgos, revisión del paquete FedRAMP Moderate existente, determinación de la ruta de equivalencia objetivo (Agencia, DoD IL4/IL5, StateRAMP, etc.), confirmación de límites y análisis de brechas. 1 semana Acuerdo de colaboración firmado, hoja de ruta de equivalencia, diagrama de límites actualizado y confirmación de la ruta.
Fase 1 – Definición del alcance y evaluación de la preparación Análisis de la herencia de los controles moderados existentes, identificación de requisitos de equivalencia adicionales, adaptación del SSP y revisión de la documentación. 1-2 semanas Informe de mapeo de herencia, análisis de brechas de preparación, esquema SSP personalizado para la equivalencia.
Fase 2 – Evaluación de deficiencias y planificación de medidas correctivas Análisis completo de las diferencias en los controles adicionales, las actualizaciones de políticas y procedimientos, el perfeccionamiento del plan de acción y gestión, y la estrategia de evidencia mediante la automatización de Cybervisor™. 2-3 semanas Informe detallado sobre la brecha de equivalencia, plan de remediación priorizado, plan de acción y gestión actualizado, hoja de ruta para la recopilación de pruebas.
Fase 3 – Recopilación de pruebas y análisis Verificación de controles heredados y nuevos, pruebas automatizadas y manuales, soporte para pruebas de penetración y creación de un repositorio de evidencias para comprobar la equivalencia. 3-4 semanas Paquete completo de evidencias, resultados de pruebas, plan de acción y gestión actualizado, declaraciones de control listas para presentar.
Fase 4 – Paquete de informes y presentación Actualizaciones finales del SSP/SAR en lo que respecta a equivalencia, ensamblaje de paquetes, coordinación entre agencias y apoyo para la presentación de solicitudes. 1-2 semanas Paquete completo de autorización de equivalencia (SSP, SAR y POA&M actualizados), documentación lista para su presentación.
Fase 5 – Autorización y monitoreo continuo Apoyo de la agencia, coordinación de la aceptación de equivalencia, alineación del programa de Monitoreo Continuo (ConMon), automatización continua con Continuum GRC y Cybervisor™. Configuración inicial de 2 a 3 semanas (luego de forma continua). Confirmación de aceptación de equivalencia, plan ConMon aprobado, paneles de informes automatizados y un programa de mantenimiento de cumplimiento a largo plazo.

Por qué los clientes terminan más rápido con Lazarus Alliance: Nuestros evaluadores acreditados por A2LA (ISO/IEC 17020 #3822.01), la plataforma de automatización Cybervisor™, la tecnología Continuum GRC y la metodología Proactive Cyber ​​Security® reducen los plazos típicos de equivalencia moderada de FedRAMP entre un 40 % y un 50 %, al tiempo que ofrecen una calidad de evidencia superior y una aceptación más rápida por parte de la agencia.

Alianza Lázaro, una Organización de evaluación de terceros (3PAO) acreditada por FedRAMPHistóricamente, es aproximadamente un 46 % más rápido que las empresas 3PAO tradicionales, lo que significa que su Equivalencia Moderada FedRAMP se puede lograr en 3 a 6 meses. Michael Peters, CEO y Fundador

FedRAMP Moderado: Autorizado frente a Equivalente Moderado

Comparación entre la autorización moderada de FedRAMP y la equivalencia moderada

Lazarus Alliance ayuda a los contratistas de la Base Industrial de Defensa (DIB) y a los proveedores de servicios en la nube a comprender claramente las diferencias clave entre la Autorización Moderada FedRAMP completa y la Equivalencia Moderada FedRAMP para cumplir con los requisitos de cumplimiento de DFARS 252.204-7012 y CMMC.

Aspecto Autorizado para FedRAMP Moderado Equivalente moderado de FedRAMP
Listado en el mercado FedRAMP / ATO Sí (Autorización completa) No
Requiere patrocinador de una agencia federal Sí: No
Controles de seguridad y evaluación de 3PAO Cumplimiento del 100% con FedRAMP. Nivel de referencia moderado. Cumplimiento del 100% con FedRAMP. Nivel de referencia moderado.
Evaluado por 3PAO reconocido por FedRAMP 3PAO reconocido por FedRAMP
Aceptable para CMMC / DFARS 252.204-7012 Completamente obediente Completamente obediente
Supervisión y control continuos Oficina de gestión de proyectos FedRAMP + Monitoreo continuo Contratista + Revisión del conjunto de pruebas (BoE) por C3PAO/DIBCAC
Uso recomendado Organizaciones que buscan el máximo reconocimiento en el mercado. Proveedores de servicios en la nube que prestan servicios a contratistas del Departamento de Defensa sin solicitar una autorización completa de FedRAMP.

Conclusiones clave de Lazarus Alliance: Ambas vías ofrecen un rigor idéntico en los controles de seguridad para la protección de CUI/CDI, pero la Equivalencia Moderada ofrece a los CSP una ruta más rápida y sin necesidad de patrocinadores, mientras que nuestro equipo acreditado por A2LA y la automatización de Cybervisor™ garantizan una preparación impecable para CMMC y la aceptación por parte de las agencias.

La equivalencia ofrece a los proveedores de servicios en la nube (especialmente a aquellos que no buscan el programa FedRAMP completo) una vía viable para prestar servicios a contratistas del Departamento de Defensa sin obtener una Autorización Federal para Operar (ATO). Sin embargo, No Convertir al CSP en “Autorizado por FedRAMP”.

Obtenga la certificación FedRAMP Moderada o Alta Equivalencia con los servicios de auditoría FedRAMP acreditados por A2LA y el soporte 3PAO de Lazarus Alliance. Plazos de entrega rápidos de 6 a 12 semanas, desarrollo completo de SSP/POA&M y automatización con Cybervisor™. Llame al 888-896-7580.

Preguntas frecuentes

Los proveedores de servicios en la nube que buscan contratos con el Departamento de Defensa (IL4/IL5), el cumplimiento de StateRAMP o la rápida adopción por parte de las agencias son los que más se benefician. Si ya cuenta con la certificación FedRAMP Moderate y desea expandirse al sector de la defensa, los gobiernos estatales u otras agencias federales, la certificación Moderate Equivalency es la vía más rápida para obtener nuevas autorizaciones.

La autorización estándar FedRAMP Moderate es una autorización básica completa (325 controles). La autorización Moderate Equivalency reutiliza su paquete Moderate existente y solo requiere un análisis de diferencias para los controles adicionales que exige la nueva vía (DoD, StateRAMP, etc.), lo que reduce drásticamente el plazo.

Gracias al equipo 3PAO acreditado por A2LA de Lazarus Alliance y a la automatización Cybervisor™, la mayoría de los clientes completan la certificación FedRAMP Moderate Equivalency en 3 a 6 meses, entre un 40 % y un 50 % más rápido que las empresas 3PAO tradicionales.

Nuestra plataforma de automatización patentada Cybervisor™, la tecnología Continuum GRC y la metodología Proactive Cyber ​​Security® reducen la recopilación y las pruebas manuales de evidencia hasta en un 50 %, mientras que nuestra acreditación A2LA ISO/IEC 17020 (n.º 3822.01) garantiza la aceptación inmediata por parte de la agencia.

Entre las ventajas se incluyen una reducción del 40 al 50 % en el tiempo de comercialización, costes significativamente menores, la reutilización de la evidencia existente, un posicionamiento más sólido para los contratos del Departamento de Defensa y los estados, y un camino más rápido hacia ingresos adicionales procedentes de clientes gubernamentales.

Los costos varían según el alcance y la madurez del servicio, pero el enfoque simplificado de Lazarus Alliance suele ahorrar a los clientes entre un 40 % y un 50 % en comparación con una autorización completamente nueva. Contáctenos al 888-896-7580 para una consulta gratuita y un presupuesto personalizado.

Simplemente llame al 888-896-7580 o complete nuestro breve formulario. Cuestionario de equivalencia FedRAMPNuestro equipo revisará su paquete Moderate actual y le entregará una hoja de ruta sin compromiso en un plazo de 48 horas.

Obtenga la certificación FedRAMP Moderada o Alta Equivalencia con los servicios de auditoría FedRAMP acreditados por A2LA y el soporte 3PAO de Lazarus Alliance. Plazos de entrega rápidos de 6 a 12 semanas, desarrollo completo de SSP/POA&M y automatización con Cybervisor™. Llame al 888-896-7580.

Lazarus Alliance, como 3PAO de FedRAMP, proporciona servicios de auditoría, asesoramiento y evaluación de FedRAMP, FISMA y NIST para ofertas de servicios de nube públicos, privados, comunitarios e híbridos, incluidos software como servicio (SaaS), plataforma como servicio (PaaS) e infraestructura como servicio (IaaS).

En Lazarus Alliance, ser proactivo no es solo nuestra marca registrada: es nuestra promesa de proteger su futuro incluso antes de que surjan las amenazas. Michael Peters, CEO y Fundador

Aprovechar el GRC continuo Máquina de auditoría de TI, La trilogía de seguridad metodología y la Máquina políticaLazarus Alliance proporciona estándares internacionales que son reconocidos como “BUENAS PRÁCTICAS" para desarrollar estándares y controles de seguridad organizacional que respalden las certificaciones y evaluaciones de auditoría de cumplimiento basadas en el Programa de Gestión de Riesgos y Autorizaciones Federales.

Credenciales en las que puede confiar

Número de certificación acreditado ISO/IEC 2 de la Asociación Estadounidense de Acreditación de Laboratorios (A17020LA) 3822.01

Habla con uno de nuestros expertos

Nuestros equipos de Lazarus Alliance Cybervisor™ tienen experiencia en la realización de miles de evaluaciones para organizaciones que brindan servicios a clientes de todo el mundo.

Estamos aquí para responder cualquier pregunta que puedas tener.

Descargue nuestro folleto de empresa.

Obtenga la certificación FedRAMP Moderada o Alta Equivalencia con los servicios de auditoría FedRAMP acreditados por A2LA y el soporte 3PAO de Lazarus Alliance. Plazos de entrega rápidos de 6 a 12 semanas, desarrollo completo de SSP/POA&M y automatización con Cybervisor™. Llame al 888-896-7580.

Beneficios de la equivalencia moderada de FedRAMP

  1. No se requiere el patrocinio de ninguna agencia federal.
    • Para proveedores de servicios en la nube (CSP): Evite el largo proceso de patrocinio y las revisiones de la Oficina de Gestión de Proyectos (PMO) de FedRAMP: llegue al mercado más rápido.
    • Para contratistas de defensa (DIB): Acceda a una selección más amplia de proveedores de servicios en la nube innovadores que no prestan servicios directamente a las agencias federales.
  2. Mayor rapidez para generar ingresos y desplegar productos.
    • Para proveedores de servicios en la nube (CSP): Llegue a más de 300,000 contratistas del DIB en semanas en lugar de meses.
    • Para contratistas de defensa (DIB): Incorpore servicios en la nube compatibles más rápidamente sin tener que esperar a obtener una autorización FedRAMP completa.
  3. Coste inferior al de la autorización FedRAMP completa.
    • Para proveedores de servicios en la nube (CSP): Evite las tarifas continuas del mercado FedRAMP, la coordinación con los patrocinadores y la supervisión de la PMO.
    • Para contratistas de defensa (DIB): Elija soluciones CSP rentables y adaptadas al Departamento de Defensa sin los precios elevados de FedRAMP.
  4. Idéntico rigor de seguridad (100 % de la línea base moderada de FedRAMP)
    • Para proveedores de servicios en la nube (CSP): Ofrecer controles de nivel empresarial NIST 800-53 Rev. 5 Moderados, validados por una 3PAO reconocida por FedRAMP.
    • Para contratistas de defensa (DIB): Cumpla con los requisitos de DFARS y CMMC con total confianza: los mismos controles, sin concesiones.
  5. Nuevas fuentes de ingresos y acceso al mercado
    • Para proveedores de servicios en la nube (CSP): Abrir las puertas a toda la base industrial de defensa sin necesidad de solicitar una autorización de operación federal completa.
    • Para contratistas de defensa (DIB): Obtenga más opciones de proveedores de servicios en la nube y alternativas competitivas para servicios en la nube que gestionan información controlada no clasificada (CUI).
  6. Ventaja competitiva y preparación para CMMC
    • Para proveedores de servicios en la nube (CSP): Diferencie su plataforma con una seguridad probada que cumple con los estándares del Departamento de Defensa y evaluaciones de clientes simplificadas.
    • Para contratistas de defensa (DIB): Simplifique su evaluación CMMC Nivel 2/3 con un conjunto de evidencias (BoE) listo para usar.

¡Queremos ser su socio y asesor de auditoría de cumplimiento FedRAMP 3PAO de primera elección! Para más información, llámenos. +1 (888) 896-7580.

¿Quieres adelantarte para recibir una cotización? Complete nuestro cuestionario aquí: