คุณต้องสงสัยว่า Ashley Mahan และเพื่อนร่วมงานของเธอที่ดำเนินโครงการ Federal Risk Authorization and Management Program (FedRAMP) เคยรู้สึกว่าพวกเขาสามารถทำให้ทุกคนมีความสุขได้หรือไม่แม้จะทำสถิติสูงสุดในปีงบประมาณ 2019ซึ่งเห็นจำนวนบริการคลาวด์ที่ได้รับอนุญาตเพิ่มขึ้น 30% และจำนวนผลิตภัณฑ์คลาวด์ที่นำกลับมาใช้ใหม่ เพิ่มขึ้น 50% ทั่วทั้งรัฐบาล อุตสาหกรรม รัฐสภา และหน่วยงานที่ลูกค้าต้องการมากกว่านี้
คณะอนุกรรมการกำกับดูแลและปฏิรูปประธาน Gerry Connolly (D-Va.)
และ Mark Meadows (RN.C.) สมาชิกระดับ Ranking Members ได้เห็นกฎหมายFedRAMP Authorization Act ปี 2019ผ่านสภาเมื่อวันที่ 5 ก.พ. ร่างกฎหมายนี้อยู่ต่อหน้าวุฒิสภาบ้านเกิด คณะกรรมการฝ่ายความมั่นคงและราชการ ในบรรดาสิ่งที่ร่างกฎหมายกำหนดให้เอเจนซี่ต้องจัดเตรียม “ข้อสันนิษฐานของความเพียงพอ” ให้กับผู้จำหน่ายที่ได้รับการรับรองจาก FedRAMP จากหน่วยงานอื่นแล้ว
เจ้าหน้าที่สารสนเทศระดับสูงของหน่วยงานและผู้บริหารด้านเทคโนโลยีอื่น ๆ ยกย่อง FedRAMP ต่อสาธารณชน แต่โดยส่วนตัวแล้วไม่เชื่อถือการอนุญาตในลักษณะที่สำนักงานการจัดการและงบประมาณหวังไว้ในตอนแรก เพียงอ่านรายงานความรับผิดชอบของรัฐบาลประจำเดือนธันวาคม 2019ซึ่งพบว่ามีหน่วยงาน 15 แห่งรายงานว่าพวกเขาไม่ได้ใช้โปรแกรมเพื่ออนุญาตบริการคลาวด์เสมอไป เพื่อหาหลักฐานเพิ่มเติมเล็กน้อยเกี่ยวกับการตัดการเชื่อมต่อระหว่างภาครัฐและเอกชน
CX Exchange ของ Federal News Network: เข้าร่วมกับเราในช่วงบ่ายสองวันที่ 26 และ 27 เมษายน ซึ่งเราจะสำรวจเทคโนโลยี นโยบาย และกระบวนการที่สนับสนุนความพยายามของหน่วยงานในการให้บริการสาธารณะ ธุรกิจ และเจ้าหน้าที่ของรัฐอย่างมีประสิทธิภาพมากขึ้น
และตอนนี้องค์กรไม่แสวงหาผลกำไรที่นำโดยอดีตผู้บริหารสำนักงานบริหาร
และงบประมาณและผู้บริหารสภาความมั่นคงแห่งชาติได้ออกสมุดปกขาวพร้อมคำแนะนำเพื่อยกระดับ FedRAMP ไปสู่ระดับถัดไป—ในฐานะโปรแกรมการจัดการความเสี่ยงและการตรวจสอบอย่างต่อเนื่อง
ศูนย์นโยบายและกฎหมายความปลอดภัยทางไซเบอร์ ซึ่งเป็นองค์กรไม่แสวงผลกำไรที่อุทิศตนเพื่อส่งเสริมการศึกษาและความร่วมมือระหว่างภาคอุตสาหกรรมและผู้กำหนดนโยบายเกี่ยวกับความปลอดภัยทางไซเบอร์ กล่าวว่า โครงการซึ่ง OMB และ General Services Administration เปิดตัวในเดือนมิถุนายน 2555 ไม่ใช่แนวทางที่ดีที่สุดอีกต่อไปสำหรับ ความต้องการด้านความปลอดภัยในปัจจุบันของวันนี้
“มันไม่เหมาะกับการเติบโตของเทคโนโลยีที่เกิดขึ้นใหม่ เช่น อินเทอร์เน็ตของสรรพสิ่ง (IoT) และปัญญาประดิษฐ์/การเรียนรู้ของเครื่องจักร (AI/ML) และไม่มีพลังพอที่จะรวมเอาผลิตภัณฑ์ที่เป็นนวัตกรรมใหม่ๆ เข้ามาใช้” สมุดปกขาวระบุ “ข้อบกพร่องเหล่านี้เป็นผลมาจากการจัดหาทรัพยากรที่จำกัดของ FedRAMP และความสามารถเพื่อให้ทันกับความต้องการของหน่วยงานและผู้ให้บริการระบบคลาวด์ (CSP) สำหรับการตรวจสอบและการอนุญาต การนำสิทธิ์การใช้งานซ้ำอย่างจำกัดของหน่วยงานมาใช้ในการดำเนินการ (ATO) และการปฏิบัติตามข้อกำหนดที่เน้นการรับรองด้วยตนเอง และกระบวนการบำรุงรักษาที่สนับสนุนปฏิสัมพันธ์ระหว่างหน่วยงานและ CSP ข้อบกพร่องเหล่านี้สร้างโอกาสในการแก้ไข FedRAMP ในลักษณะที่สะท้อนถึงแนวทางการจัดการความเสี่ยงของรัฐบาลที่เติบโตเต็มที่ และปรับปรุงผลการปรับปรุงไอทีให้ทันสมัย”
อ่านเพิ่มเติม: สมุดบันทึกของนักข่าว
คำแนะนำ 3 ข้อของกลุ่มมุ่งเน้นไปที่วิธีการปรับปรุงไม่ใช่แค่ FedRAMP แต่ยังรวมถึงความปลอดภัยทางไซเบอร์ของรัฐบาลกลางในวงกว้างมากขึ้น:
กำหนดนิยามใหม่ของการจัดการความเสี่ยงด้านไอทีของรัฐบาลกลาง ซึ่งรวมถึง FedRAMP เพื่อวางการตรวจสอบอย่างต่อเนื่อง เพิ่มขึ้น และอัตโนมัติเป็นหัวใจของกระบวนการ
รวมและกำหนดมาตรฐานกระบวนการสำหรับการยอมรับความเสี่ยงทั่วทั้งรัฐบาลกลาง
ช่วยให้รัฐบาลกลางสามารถใช้ประโยชน์จากขอบเขตทั้งหมดของนวัตกรรมที่เกิดขึ้นใหม่ในตลาดคลาวด์คอมพิวติ้งและเทคโนโลยีสารสนเทศ
