โครงการการจัดการการอนุญาตความเสี่ยงของรัฐบาลกลางซึ่งรับรองความปลอดภัยของผู้ให้บริการคลาวด์จะเปิดตัวเว็บไซต์ชื่อเดียวกันในเดือนหน้า www.fedRAMP.gov ซึ่งเป็นส่วนหนึ่งของความพยายามครั้งใหม่ในการแสวงหาหน่วยงานและผู้ขายที่ระมัดระวังและสับสน“เราจะมุ่งเน้นไปที่การเข้าถึงผู้ชมที่กว้างขึ้นและเข้าถึงเอเจนซี่และผู้ขายที่ยังไม่เข้าใจว่า FedRAMP คืออะไรและมีประโยชน์อย่างไร” Matt Goodrich ผู้อำนวยการ FedRAMP กล่าวที่แผงเมื่อวันพฤหัสบดีที่วอชิงตันซึ่งสนับสนุนโดย AFFIRM “การใช้ข้อความเดิมซ้ำแล้วซ้ำอีกไม่ได้ผล ที่ FedRAMP เราทำข้อความเดิมมาตลอด 2 1/2 ปี
เราจำเป็นต้องเขย่าและพูดใหม่อีกครั้งเพื่อให้เราเจาะตลาดประเภทต่างๆ
และเอเจนซี่ที่ยังไม่ได้รับข้อความ”เว็บไซต์ปัจจุบันของโปรแกรมไม่เป็นมิตรกับผู้ใช้ Goodrich ยอมรับ เขาขอให้เอเจนซี่ ผู้ขาย และแม้แต่เพื่อน ๆ แสดงความคิดเห็นเกี่ยวกับไซต์ พวกเขารายงานว่ามีปัญหาในการค้นหาข้อมูลที่ต้องการ พวกเขายังต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับตัวโปรแกรมเองมากกว่าที่จะหาได้ง่ายบนเว็บไซต์ ไซต์ใหม่จะนำเสนอภาพรวมที่ดีขึ้นของ FedRAMP และจะนำทางได้ง่ายขึ้น เขากล่าว
นอกจากนี้ FedRAMP จะเปิดตัวโปรแกรมการฝึกอบรมในอีก 2-3 สัปดาห์ข้างหน้า เพื่อช่วยให้ผู้มาใหม่สามารถเข้าร่วมกระบวนการได้ Goodrich กล่าว โมดูลแรกจะมุ่งเน้นไปที่พื้นฐานของโปรแกรมและวิธีเริ่มต้นใช้งาน รายการที่ตามมาจะช่วยให้หน่วยงานและผู้ขายทดสอบความเข้าใจและทักษะของพวกเขา พวกเขาจะมีรายละเอียดมากขึ้นและรวมถึงบทเรียนที่ได้รับ เขากล่าว
ข้อมูลเชิงลึกโดย Censys: ในระหว่างการสัมมนาออนไลน์เกี่ยวกับคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ จัสติน ดับเบิลเดย์ และแขกรับเชิญจะสำรวจความคิดริเริ่มทางไซเบอร์และการปรับปรุงให้ทันสมัยที่ DIU ด้วยมุมมองของอุตสาหกรรม
“การเข้าสู่กระบวนการรักษาความปลอดภัยสำหรับผู้ขายรายใดนั้น
เป็นเรื่องยากมาก และสำหรับเอเจนซี่หลายๆ แห่ง การเข้าสู่ความแตกต่างของคลาวด์นั้นค่อนข้างน่ากลัว เป็นวิธีที่แตกต่างไปจากที่คุณใช้บริการด้านไอทีอย่างแน่นอน” เขากล่าว
หน่วยงานต่างสงสัยว่าแอปพลิเคชันเดิมของพวกเขาจะเข้ากับสภาพแวดล้อมคลาวด์ที่ปลอดภัยได้อย่างไร และการใช้การรับรองความปลอดภัยกับซอฟต์แวร์ในฐานะบริการนั้นซับซ้อนเป็นพิเศษ Goodrich หวังว่าการเผยแพร่กระบวนการของ FedRAMP สู่สาธารณะมากขึ้นและการจัดทำเป็นเอกสารจะช่วยให้หน่วยงานต่างๆ ได้เรียนรู้จากบทเรียน
ความพยายามในการมีส่วนร่วมเกิดขึ้นเมื่อ FedRAMP เติบโตจากการดำเนินการเริ่มต้นไปสู่โปรแกรมที่ได้รับคำสั่งและเป็นที่ยอมรับ ในช่วงปีแรก ๆ หน่วยงานหลายแห่งลังเลที่จะใช้ FedRAMP เพราะพวกเขาไม่แน่ใจว่าจะใช้ได้ยาวนานหรือไม่ Goodrich กล่าว ตอนนี้ อุปสรรค์ที่ใหญ่ที่สุดในบรรดาผู้ที่ใช้ FedRAMP ดูเหมือนจะเป็นกระบวนการออกใบรับรองที่กินเวลานานหลายเดือน และความสับสนเกี่ยวกับวิธีการรวมข้อกำหนดการรับรองเข้ากับสัญญา เขากล่าว
แม้ว่า FedRAMP อาจใช้เวลาเก้าเดือนในการรับรองผู้รับเหมา แต่โปรแกรมดังกล่าวได้ดำเนินการอนุญาตไปแล้ว 17 ครั้งจากทั้งหมด 29 ครั้งในรัฐบาลทั้งหมด Goodrich กล่าวว่าเขาพิจารณากระบวนการที่ค่อนข้างรวดเร็วเมื่อเทียบกับเอเจนซี่ โดยทั่วไปแล้วจะรับรองเฉพาะผู้ขายที่มีสัญญาอยู่แล้วเท่านั้น หน่วยงานต่างๆ มักจะมองว่าการรับรองของ FedRAMP แคบเกินไป เขากล่าว
“เราทราบดีว่าหน่วยงานต่าง ๆ จำเป็นต้องบังคับใช้ FedRAMP ตามสัญญาของพวกเขา แต่หลายครั้งที่เข้มงวดเกินไปหรือเข้มงวดเกินไปเพื่อให้มีการแข่งขันที่เพียงพอและยุติธรรม” เขากล่าว “การกำหนดให้ FedRAMP ณ เวลาที่มอบรางวัลนั้นเร็วเกินไปที่จะเป็นส่วนหนึ่งของข้อกำหนด ในอีกสองปีอาจจะ”
โปรแกรมกำลังร่างคำแนะนำสำหรับเจ้าหน้าที่ทำสัญญา ผู้จัดการโครงการ และเจ้าหน้าที่ผู้มีอำนาจ มันจะช่วยให้พวกเขาสร้างข้อกำหนดของสัญญาภายในการชักชวนที่ยังคงส่งเสริมการแข่งขัน เขากล่าว Goodrich กล่าวว่าเขากำลังแก้ไขคำแนะนำก่อนออกจากสำนักงานเพื่อเข้าร่วมการอภิปราย เอกสารดังกล่าวจะได้รับการตรวจสอบโดย Chief Acquisition Officers Council และ Chief Information Officers Council ก่อนช่วงแสดงความคิดเห็นต่อสาธารณะ เขากล่าว
ประการสุดท้าย FedRAMP กำลังรวบรวมความคิดเห็นสาธารณะเกี่ยวกับมาตรฐานพื้นฐานที่เสนอสำหรับข้อมูลที่มีความละเอียดอ่อนสูงด้านความปลอดภัย ซึ่งในตอนแรกไม่เต็มใจที่จะทำ
“คุณกำลังพูดถึงความหายนะทางการเงิน ชีวิตและความตายที่อาจเกิดขึ้นได้เนื่องจากข้อมูลนั้น” Goodrich กล่าว แต่ “ผู้ขายกำลังพูดว่า ‘เราทำได้’ หน่วยงานกำลังพูดว่า ‘เราต้องการมัน’”
