ถึงเวลาอัปเดต FedRAMP แล้วหรือยัง

ถึงเวลาอัปเดต FedRAMP แล้วหรือยัง

ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับเสียงสัมภาษณ์ประจำวันของ Federal Drive ใน  Apple Podcasts  หรือ  PodcastOneแนวคิดเบื้องหลังโครงการ Federal Risk and Authorization Management Program หรือ FedRAMP นั้นเรียบง่าย ผู้ให้บริการระบบคลาวด์ได้รับการรับรองด้านความปลอดภัย จากนั้นแต่ละหน่วยงานที่ต้องการซื้อบริการนั้นสามารถหลีกเลี่ยงการทำการรับรองของตนเองได้ เกือบหนึ่งทศวรรษที่ผ่านมา 

หลายเสียงเรียกร้องให้มีการปฏิรูป FedRAMP ในหมู่พวกเขามูลนิธิเทคโนโลยี

สารสนเทศและนวัตกรรม ยิ่งกว่านั้น Michael McLaughlin นักวิเคราะห์การวิจัยของ ITIF เข้าร่วม  Federal Drive กับ Tom Teminเอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม

Tom Temin:คุณ McLaughlin ยินดีที่ได้ร่วมงานMichael McLaughlin:ขอบคุณที่มีฉันTom Temin: FedRAMP ควรจะเร่งความเร็วบริการคลาวด์ อย่างที่ฉันพูดไปในตอนแรก ปัญหาคืออะไร? สิ่งที่อุตสาหกรรมเห็นคือปัญหาของ FedRAMP

Michael McLaughlin:ปัญหาก็คือตอนนี้โปรแกรมยังใช้เวลานานเกินไปในการอนุญาตบริการคลาวด์ มีค่าใช้จ่ายสูงเกินไปสำหรับผู้ให้บริการระบบคลาวด์ที่ต้องดำเนินการ และนำไปใช้อย่างไม่สอดคล้องกันในหน่วยงานต่างๆ และนั่นหมายความว่าผู้ให้บริการคลาวด์สามารถมีประสบการณ์ที่แตกต่างกันมากในการพยายามขออนุมัติบริการจากหน่วยงานหนึ่งเมื่อเทียบกับอีกหน่วยงานหนึ่ง

Tom Temin:ใช่ เนื่องจากมีระบบของผู้อนุญาตที่ได้รับอนุญาตจาก FedRAMP ซึ่งเป็นบุคคลที่สามที่ทำเช่นนี้ ความไม่สอดคล้องกันระหว่างวิธีการทำงานของผู้รับรองที่เป็นบุคคลที่สามเหล่านี้หรือไม่?

ไมเคิล แม็กลาฟลิน:ดังนั้น องค์กรประเมินบุคคลที่สามจึง

เป็นสิ่งที่พวกเขาเรียกว่า 3PAO ไม่จำเป็นว่าปัญหาในตอนนี้คือพวกเขากำลังดำเนินการตรวจสอบความปลอดภัยของข้อเสนอผลิตภัณฑ์บริการคลาวด์ พวกเขากำลังทำสิ่งต่างๆ เช่น การทดสอบการเจาะระบบ การสแกนช่องโหว่ และพวกเขากำลังทำให้แน่ใจว่าผู้ให้บริการคลาวด์กำลังใช้การควบคุมความปลอดภัยทั้งหมดที่พวกเขาต้องทำ สิ่งที่เกิดขึ้นคือหน่วยงานต้องตรวจสอบงานขององค์กรบุคคลที่สามจากนั้นให้สิทธิ์ของตนเอง นั่นเป็นเพราะ FISMA จริงๆ FISMA ต้องการให้พวกเขารับความเสี่ยงในการอนุญาตบริการ หน่วยงานต่างๆ จะมีกระบวนการที่แตกต่างกันในการตรวจสอบการอนุญาตเหล่านั้น ซึ่งบางครั้งอาจใช้เวลานานกว่านั้น

Tom Temin:สรุปแล้วคุณคาดเข็มขัดและสายเอี๊ยมอยู่หรือเปล่า?

ไมเคิล แม็กลาฟลิน:นิดหน่อย ครับ และประเด็นก็คือว่าเอเจนซี่บางแห่งมีความเชี่ยวชาญในการตรวจสอบเหล่านี้มากกว่าเอเจนซี่อื่น ๆ คุณจึงอาจลงเอยด้วยสถานการณ์ที่ผู้ให้บริการระบบคลาวด์ต้องการใช้บริการที่ได้รับอนุญาตจากรัฐบาลกลาง โดยอาจต้องการใช้บริการจากหน่วยงานหนึ่งแทนอีกหน่วยงานหนึ่งเพียงเพราะหน่วยงานดังกล่าวเป็นที่รู้จักในการดำเนินการตรวจสอบในลักษณะที่รวดเร็วกว่า หรือในขณะเดียวกันก็มีมาตรฐานที่หน่วยงานอื่นเชื่อถือ นั่นเป็นปัญหาอย่างหนึ่งของพวกเขาที่นี่คือหน่วยงานรัฐบาลกลางควรจะใช้สิทธิ์การรักษาความปลอดภัยพื้นฐานที่หน่วยงานอื่น ๆ ให้มาซ้ำ ตัวอย่างเช่น หาก GSA อนุญาตบริการคลาวด์หนึ่งบริการมากกว่า DHS หรือบางอย่างเช่น EPA ควรใช้การอนุญาตพื้นฐาน ดังนั้นพวกเขาจึงไม่ต้องทำซ้ำงานทั้งหมดที่ GSA ทำ แต่ปัญหาคือความไม่ไว้วางใจระหว่างเอเจนซี่ พวกเขาไม่ต้องการเชื่อถือการอนุญาตและหน่วยงานอื่น ๆ ที่จัดหาให้และรับความเสี่ยงนั้น ซึ่งทำให้พวกเขาต้องผ่านกระบวนการ บ่อยครั้งที่พวกเขาดำเนินการตามขั้นตอนโดยยอมรับการอนุญาตพื้นฐานอีกครั้ง

Tom Temin:ดังนั้นควรเป็น FedRAMP ที่ได้รับการปฏิรูป หรือควรเป็นแนวทางของหน่วยงาน และอาจเป็น FISMA ที่ต้องการการปฏิรูป

ยูฟ่าสล็อต