Guías de solucionesImplementación del juego de herramientas de generación de reportes de SSP, POAM y OSCAL del FedRAMP
El juego de herramientas generación de reportes de SSP, POAM y OSCAL del FedRAMP es una solución integrada dentro de la plataforma Diligent One que ayuda a los proveedores federales de servicios en la nube a automatizar la creación y administración de documentos clave de cumplimiento del FedRAMP. Estos incluyen el SSP (plan de seguridad del sistema), el POAM (plan de acción e hitos) y las salidas de OSCAL (lenguaje abierto de evaluación de control de seguridad), que son legibles por máquinas. Estos artefactos son fundamentales para mantener la autorización del FedRAMP y, por lo general, su elaboración y actualización requieren mucho tiempo. Este juego de herramientas automatiza los procesos de recopilación, normalización y exportación de datos, lo que reduce el esfuerzo manual y mejora la precisión.
Puesto que está diseñado para abordar la carga de trabajo pesada de documentación, el juego de herramientas simplifica la forma en que los proveedores elaboran, mantienen y actualizan sus reportes de SSP y POAM. El SSP resume el límite de autorización del proveedor, la arquitectura del sistema y la implementación de cientos de controles de seguridad. El POAM hace un seguimiento de las vulnerabilidades y las acciones de remediación, y debe actualizarse y presentarse de forma periódica a los reguladores federales.
¿Qué es OSCAL?
El OSCAL brinda formatos estandarizados y legibles por máquina que ayudan a las organizaciones a representar la documentación de seguridad informática, que incluye catálogos de control, líneas de base, SSP y resultados de evaluación. Desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST), el OSCAL utiliza los formatos XML, JSON y YAML para respaldar la automatización, la interoperabilidad y la consistencia en la documentación, el intercambio y la evaluación de los controles de seguridad y artefactos de cumplimiento.
El proceso de autorización del FedRAMP requiere que los CSP (proveedores de servicios en la nube) envíen documentos clave, como SSP y POAM, en formatos tradicionales legibles por humanos y OSCAL. Mediante el uso del OSCAL, las organizaciones automatizan los informes complejos y los procesos de evaluación continua, optimizan los flujos de trabajo de cumplimiento y aceleran los ciclos de revisión. Los sistemas pueden validar y procesar documentos OSCAL de forma programática, lo que reduce el esfuerzo manual y mejora la consistencia en las revisiones.
Componentes del juego de herramientas
Una vez instalado, el juego de herramientas incluye varios robots, tipos de proyectos, inventarios de resultados y cuestionarios preconfigurados para admitir la generación automatizada de reportes y la gestión de datos.
Robots
Robot de automatización del SSP
Genera un reporte completo del SSP, ya que extrae datos estructurados de su proyecto FedRAMP de Diligent One y los fusiona en la plantilla de Word.
Automatiza la población de datos tanto para las secciones principales del SSP (de la 1 a la 12) como para el apéndice A, que detalla la implementación de controles.
Admite exportaciones tanto en formatos legibles por humanos (Word) como en formatos legibles por máquina (OSCAL).
Robot de automatización del POAM de FedRAMP
Robot de automatización de escaneo de seguridad del FedRAMP
Importa datos de vulnerabilidades directo desde las exportaciones en formato CSV desde escáneres de seguridad, como Tenable, Rapid7 y Qualys.
Normaliza los datos en el inventario POAM dentro de la aplicación Resultados.
Robot de automatización de vulnerabilidades de SAR de FedRAMP
Importa las vulnerabilidades identificadas en los SAR (reportes de evaluación de la seguridad) anuales y las asigna a los controles de seguridad pertinentes.
Robot OSCAL para POAM
Convierte el inventario de POAM en formato OSCAL para admitir envíos normativos legibles por máquina.
Otros componentes
Tipo de proyecto de recopilación de reportes
Formato de proyecto preconfigurado en Diligent One, diseñado para centralizar y administrar toda la información sobre la implementación y los artefactos de cumplimiento de FedRAMP.
Recopilación de resultados de POAM
Tabla de resultados centralizada para ingresar, normalizar y deduplicar datos de vulnerabilidades, lo que admite todos los informes de FedRAMP necesarios.
Cuestionarios del generador de POAM
Formularios en línea para ingresar de forma manual información sobre vulnerabilidades que no están disponibles en escaneos automatizados.
