FedRAMP มีการเปลี่ยนแปลงที่สำคัญในงานที่จะเป็นประโยชน์ต่อทั้งหน่วยงานของรัฐบาลกลางและผู้ให้บริการระบบคลาวด์ ตั้งแต่กระบวนการอนุญาตอัตโนมัติไปจนถึงข้อกำหนดที่ปรับปรุงใหม่และการฝึกอบรมสำหรับผู้ประเมินบุคคลที่สาม FedRAMP กำลังมองหาวิธีที่จะทำให้หน่วยงานรัฐบาลกลางที่ต้องการเปลี่ยนไปสู่สภาพแวดล้อมคลาวด์ที่ปลอดภัยกับผู้ให้บริการคลาวด์นำเสนอโซลูชั่นได้ง่ายขึ้นกว่าที่เคย
ในการประชุมสุดยอด ATARC Cloud Summit เมื่อวันที่ 13 มิถุนายน
Matt Goodrich ผู้อำนวยการ FedRAMP ของ General Services Administration ให้รายละเอียดเกี่ยวกับการเปลี่ยนแปลงบางอย่างที่ FedRAMP จะเกิดขึ้นในอนาคตอันใกล้นี้ ไม่น้อยไปกว่านั้น FedRAMP ก็เหมือนกับองค์กรภาครัฐอื่นๆ ที่ต้องการปรับปรุงบริการด้วยระบบอัตโนมัติ
FedRAMP ทำงานร่วมกับ National Institute for Standards and Technology เพื่อเริ่มใช้ OSCAL ซึ่งเป็นภาษาควบคุมอัตโนมัติสำหรับการอนุญาตด้านความปลอดภัย ปัจจุบัน หน่วยงานของรัฐบาลกลางประสบปัญหากับข้อเท็จจริงที่ว่าการควบคุมความปลอดภัยถูกนำเสนอในรูปแบบที่เป็นอัตนัย เปิดให้ตีความได้ และต้องมีการป้อนข้อมูลด้วยตนเองจึงจะใช้งานได้ การมีอยู่ของกรอบการกำกับดูแลที่หลากหลายภายในหน่วยงานเดียวทำให้เกิดปัญหา
นั่นเป็นเหตุผลที่ NIST กำลังสร้างภาษาควบคุมมาตรฐานเป็นรูปแบบวัตถุประสงค์และเครื่องอ่านได้สำหรับการแสดงการควบคุมความปลอดภัย สิ่งนี้จะช่วยเร่งกระบวนการให้เร็วขึ้น สร้างความสามารถในการทำงานร่วมกัน กำหนดข้อมูลจำเพาะได้ดีขึ้น และเปิดใช้งานระบบอัตโนมัติ
ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
“เราได้ร่วมมือกับ NIST เพื่อให้แน่ใจว่าพวกเขามีทรัพยากรเพียงพอ
ที่จะเร่งความเร็วขึ้นอีกเล็กน้อย เพื่อให้แน่ใจว่าเราสามารถลองและออกบางอย่างได้ภายในสิ้นปีงบประมาณนี้ อย่างน้อยก็ด้วยวิธีที่เป็นไปได้น้อยที่สุดเพื่อเริ่มต้น ทดสอบสิ่งนั้น” Goodrich กล่าว “เราคิดว่านั่นจะช่วยให้เอเจนซี่เปลี่ยนแปลงวิธีการทำงานของพวกเขาได้อย่างแท้จริง โดยทำให้แน่ใจว่าพวกเขาสามารถใช้เครื่องมืออะไรก็ได้ที่พวกเขาต้องการใช้ และทำให้ทุกอย่างที่พวกเขาทำได้เป็นไปโดยอัตโนมัติในกระบวนการนั้นเพื่อทำการอนุญาต”
เป็นสิ่งสำคัญสำหรับ Goodrich ที่เอเจนซี่สามารถใช้เครื่องมือใดก็ได้ที่พวกเขาต้องการ เขากล่าวว่าไม่มีใครต้องการเปิดแผนการรักษาความปลอดภัยของระบบของ FedRAMP ซึ่งมีขนาดใหญ่เกินกว่าจะใช้งานได้จริง Goodrich กล่าวว่าแม้เขาจะนำทางโดยใช้ฟังก์ชันการค้นหา “ctrl-F”
แต่ FedRAMP ต้องการให้เอเจนซี่รู้สึกสบายใจกับเครื่องมือที่พวกเขาใช้และมั่นใจว่าข้อมูลจะสามารถถ่ายโอนได้ OSCAL จะช่วยให้สิ่งนี้สำเร็จ
นอกจากนี้ยังควรช่วย FedRAMP ขยายผลกระทบที่มีต่อการผลักดันของรัฐบาลกลางเพื่อรักษาความปลอดภัยสภาพแวดล้อมระบบคลาวด์ ปีที่แล้ว Goodrich กล่าวว่าพนักงานของรัฐบาลกลางเจ็ดคนของ FedRAMP เข้าร่วมการประชุมมากกว่า 750 ครั้ง และช่วยให้รัฐบาลไม่ต้องเสียเงินมากกว่า 170 ล้านดอลลาร์ต่อปีไปกับไซเบอร์ ปัจจุบัน FedRAMP ครอบคลุมหนึ่งในสามของการรับส่งข้อมูลทางอินเทอร์เน็ตของโลกกับผู้ให้บริการ และครอบคลุมสินทรัพย์ประมาณ 5 ล้านรายการ
ระบบอัตโนมัติควรอนุญาตให้ขยายผลกระทบเหล่านั้น
นอกจากนี้ FedRAMP ยังจะเพิ่มจำนวนบริการคลาวด์ที่ได้รับอนุญาตอีกด้วย
“เห็นได้ชัดว่านี่เป็นสิ่งที่ทุกคนต้องการ” Goodrich กล่าว “ยิ่งคุณมีบริการคลาวด์สำหรับเอเจนซีมากเท่าไหร่ คุณก็ยิ่งมีตัวเลือกมากขึ้นเท่านั้น และคุณสามารถย้ายสิ่งต่าง ๆ ไปยังคลาวด์ได้มากขึ้นเท่านั้น สำหรับผู้ขาย ยิ่งอยู่ใน [โปรแกรม] มากเท่าไหร่ หน่วยงานต่างๆ ก็สามารถใช้บริการของพวกเขาได้มากขึ้นเท่านั้น”
