ใช้แป้นลูกศรขึ้น/ลงเพื่อเพิ่มหรือลดระดับเสียงดาวน์โหลดเสียงหน่วยงานต่าง ๆ กำลังดิ้นรนที่จะปฏิบัติตามกฎเกี่ยวกับการประมวลผลแบบคลาวด์สภาผู้ตรวจราชการทั่วไปวิเคราะห์สัญญาคลาวด์เชิงพาณิชย์ 77 สัญญาในหน่วยงานพลเรือน 19 หน่วยงาน และพบว่าส่วนใหญ่ล้มเหลวในการดำเนินการตามแนวทางของรัฐบาลกลางและแนวทางปฏิบัติที่ดีที่สุด“ความเฉพาะเจาะจงของข้อกำหนดที่รวมอยู่ในสัญญาที่ใช้ในการจัดหาระบบคลาวด์นั้นแตกต่างกันไปตามตัวอย่าง โดยสัญญาทั้ง 77 ฉบับ
ขาดข้อกำหนดโดยละเอียดที่แนะนำในแนวทางการประมวลผลบนคลาวด์
ของรัฐบาลกลางและเอกสารแนวปฏิบัติที่ดีที่สุด” IGs เขียนในรายงานที่เผยแพร่สู่สาธารณะ 9 ต.ค. “นอกจากนี้ การตรวจสอบระบบคลาวด์ 59 รายการไม่เป็นไปตามข้อกำหนดเพื่อให้สอดคล้องกับ Federal Risk Authorization and Management Program (FedRAMP) ภายในวันที่ 5 มิถุนายน 2014 แม้ว่าข้อกำหนดจะประกาศเมื่อวันที่ 8 ธันวาคม 2011”
IG จากหน่วยงานพลเรือน 19 แห่งเลือกตัวอย่างสัญญาคลาวด์เชิงพาณิชย์ 77 สัญญามูลค่าประมาณ 1.6 พันล้านดอลลาร์สำหรับการสำรวจ แต่ละ IG ตรวจสอบสัญญาตัวอย่างของตนโดยอิสระตามเมทริกซ์คำถามมาตรฐาน และตรวจสอบผลลัพธ์ผ่านกระบวนการควบคุมคุณภาพภายในของ IG ที่เกี่ยวข้อง รายงานระบุ
ข้อมูลเชิงลึกโดย Censys: ในระหว่างการสัมมนาออนไลน์เกี่ยวกับคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ จัสติน ดับเบิลเดย์ และแขกรับเชิญจะสำรวจความคิดริเริ่มทางไซเบอร์และการปรับปรุงให้ทันสมัยที่ DIU ด้วยมุมมองของอุตสาหกรรม
ในรายงาน IGs ได้ตรวจสอบตัวอย่างสัญญาใน 3 ส่วนหลัก ได้แก่ ข้อกำหนดเกี่ยวกับการทำสัญญาบนคลาวด์ ความปลอดภัยทางไซเบอร์ และการจัดการสินค้าคงคลังด้านไอที
ในทั้งสามประเภทเหล่านี้ หน่วยงานส่วนใหญ่มีปัญหาในการปฏิบัติตามคำแนะนำ
ของ CIO Council และ Office of Management และงบประมาณ และ/หรือแนวปฏิบัติที่ดีที่สุดของอุตสาหกรรม“ปัญหาเหล่านี้เกิดขึ้นส่วนหนึ่งเนื่องจากไม่มีแหล่งข้อมูลอย่างเป็นทางการแหล่งเดียวที่ให้รายละเอียดเกี่ยวกับข้อกำหนดที่หน่วยงานควรพิจารณาเมื่อจัดหาบริการคลาวด์คอมพิวติ้ง และต้องการให้หน่วยงานรัฐบาลกลางรวมข้อกำหนดเหล่านั้นไว้ในสัญญาคลาวด์คอมพิวติ้ง” รายงานระบุ
การไม่ปฏิบัติตามข้อกำหนดของ FedRAMP
OMB ออกนโยบาย Cloud-Firstเป็นครั้งแรกในเดือนธันวาคม 2010 ในช่วงเกือบ 4 ปีที่ผ่านมา เกือบทุกหน่วยงานได้ทดลองใช้บริการคลาวด์คอมพิวติ้ง และหลายคนหันมาใช้นโยบายนี้อย่างเต็มใจ
สภาประเมินว่าหน่วยงานต่างๆ ได้ออกสัญญาทั้งหมด 348 ฉบับ มูลค่าประมาณ 1.2 หมื่นล้านดอลลาร์สำหรับบริการคลาวด์
ไม่มีการส่งอีเมลถึง OMB เพื่อขอความคิดเห็นเกี่ยวกับรายงาน
สภากำลังดำเนินการเกี่ยวกับรายงานระหว่างเดือนมกราคมถึงสิงหาคม และเป็นหนึ่งในเพียงไม่กี่การตรวจสอบการใช้งานระบบคลาวด์ของหน่วยงานทั่วทั้งรัฐบาลในช่วงสี่ปีที่ผ่านมา สำนักงานความรับผิดชอบของรัฐบาลในปี 2555 ได้ตรวจสอบความคืบหน้าของเจ็ดหน่วยงานและพบความท้าทายทั่วไปเจ็ดประการการค้นพบของ GAO เมื่อสองปีที่แล้วตรงกับสิ่งที่ IG ค้นพบในปี 2014
สิ่งที่น่าสนใจที่สุดในการค้นพบของ IG คือการขาดความรู้หรือการรับทราบถึงความจำเป็นในการใช้บริการคลาวด์ที่ได้รับการอนุมัติจาก FedRAMP
IGs พบว่า 59 ระบบจาก 77 ระบบไม่เป็นไปตามมาตรฐานความปลอดภัยทางไซเบอร์ของ FedRAMP ภายในวันที่ 5 มิถุนายน — OMB กำหนดเส้นตายทั่วประเทศ
“ท้ายที่สุดแล้ว สิ่งนี้เกิดขึ้นเนื่องจากหน่วยงานไม่ได้วางแผนอย่างเพียงพอเพื่อให้เป็นไปตามเส้นตายวันที่ 5 มิถุนายน และสำนักงานจัดการโปรแกรม FedRAMP ไม่มีอำนาจในการบังคับใช้การปฏิบัติตาม FedRAMP ในระดับหน่วยงาน” รายงานระบุ
“นอกจากนี้ หน่วยงานรายงานว่าผู้รับเหมาของพวกเขาไม่ปฏิบัติตามเนื่องจากผู้รับเหมาไม่เชื่อว่าพวกเขาจำเป็นต้องปฏิบัติตาม FedRAMP เมื่อรวมปัญหาเข้าด้วยกัน OIGs พบว่าระบบที่ไม่เป็นไปตามข้อกำหนด 30 จาก 59 ระบบ หน่วยงานไม่ได้จัดทำรายการที่ครอบคลุมของบริการคลาวด์ทั้งหมด”
IGs ยังกล่าวอีกว่า FedRAMP Joint Authorization Board (JAB) ซึ่งนำโดยแผนก Defense and Homeland Security และ General Services Administration ไม่มีอำนาจในการรับรองการปฏิบัติตาม
credit : สล็อตเครดิตฟรี
