أعلنت إدارة الخدمات العامة الأمريكية (GSA) عن خطط لإصلاح برنامج إدارة المخاطر والترخيص الفيدرالي (FedRamp). النهج الجديد ، يطلق عليه FedRamp 20x، سوف تميل إلى الأتمتة لجعل “التفويض أكثر بساطة وأسهل وأرخص مع تحسين الأمن باستمرار” ، وفقًا لما قاله بيان صحفي GSA.
تحدثت Information Week إلى أربعة قادة في القطاع الخاص حول التغييرات المتوقعة على FedRamp ، والتأثير المحتمل ، وكيف يمكن لمراقبة المعلومات في المقاولين الحكوميين التحضير.
التغييرات
تم تأسيس FedRamp لأول مرة في عام 2011 ، على بعد حوالي منتصف مسيرته الحكومية التي استمرت 11 عامًا في جوناثان ألبوم. شغل العديد من مناصب تكنولوجيا المعلومات في الحكومة ، بما في ذلك CIO التابع لوزارة الزراعة الأمريكية (وزارة الزراعة الأمريكية) قبل التحول إلى القطاع الخاص في عام 2018 ، مما يمنحه تعرضه لـ FedRamp كمقدم مشتري ومزود خدمة.
منذ بداية البرنامج ، تحاول GSA الاستمرار في تحسينه.
أرى حقًا أن هذه التغييرات هي استمرار لتلك الجهود الشاملة ” servicenow، يخبر Information Week. يوفر ServiceNow منصة منظمة العفو الدولية ، ولديها 100 سلطة لتشغيل (ATO) رسائل على ملف مع FedRamp.
FedRamp 20x لديه خمسة أهداف رئيسية. يركز الأول على أتمتة التحقق من متطلبات أمان FedRamp. بموجب هذا الإطار الجديد ، يمكن أن ينتقل أكثر من 80 ٪ من المتطلبات إلى التحقق الآلي.
يهدف الهدف الثاني إلى تقليل متطلبات الوثائق إذا كانت الشركات التي تتابع ترخيص FEDRAMP يمكنها إظهار أفضل الممارسات والسياسات الأمنية الحالية.
المراقبة المستمرة هي أيضًا واحدة من الأهداف الأساسية لـ FedRamp 20x. يعد النموذج المحدّث “نهجًا بسيطًا ، يدويًا” يستدعي آمنة من خلال مبادئ التصميم والإنفاذ الآلي.
من خلال FedRamp ، لعبت GSA دورًا بين المقاولين والوكالات الحكومية. يؤكد الهدف الرابع لـ FedRamp 20X على المزيد من العلاقات المباشرة.
“الهدف الرئيسي هو الحد SecureFrame، منصة الامتثال الآلية ، يشرح في مقابلة عبر البريد الإلكتروني. يعتزم SecureFrame متابعة التفويض بموجب نموذج FedRamp الجديد.
يركز الهدف النهائي على الابتكار. بموجب FedRamp 20x ، ستخضع الشركات لشيكات تلقائية وستكون قادرة على إجراء تغييرات دون إشراف إضافي ، منحت أنها تتبع عملية معتمدة للقيام بذلك.
كما هو الحال في كثير من الأحيان ، يأتي المزيد من الأتمتة مع إمكانية عدد أقل من الموظفين. تقارير شبكة الأخبار الفيدرالية أن إدارة برنامج FedRamp ستكون يعمل من قبل عدد قليل من الموظفين الفيدراليين.
التأثير المحتمل
في حين أن عملية تفويض FedRamp قد تبدو مختلفة تمامًا مع المزيد من الأتمتة ، إلا أن النية الأساسية تظل كما هي.
يقول كيفن أور ، الرئيس الفيدرالي ل RSA، شركة حلول أمان الهوية.
RSA ID Plus للحكومة هل تم تفويض FedRamp ، وقد قام Orr بتدريب عدد من الشركات من خلال هذه العملية. لقد رأى مباشرة كم من الوقت قد يستغرق. “إنه في أي مكان من 18 إلى 24 شهرًا” ، يشاركه. “لقد مررت بهذا أربع مرات.”
قد يؤدي زيادة الأتمتة التي تقلل من مقدار الأوراق والوقت والعمل المشارك في تحقيق ترخيص FedRamp إلى مسعى أقل تكلفة.
اليوم ، هناك ما يقرب من 400 خدمات معتمدة، وفقا لسوق FedRamp. إذا أصبحت العملية أكثر كفاءة وأقل تكلفة ، فقد تكون المزيد من الشركات مهتمة بمتابعة التفويض.
قد يكون الناتج الثانوي لذلك منافسة أكبر. [It] يقول ألبوم: “قد يكون توفر قدرات أكبر من القدرات التي لا توجد اليوم في مجال الحكومة”.
يمكن أن توفر المراقبة المستمرة مزايا على نهج قائم على التدقيق اليدوي. يقول ألبوم: “نحن نطور البرامج والقدرات بطريقة مستمرة. نحن نحسنها باستمرار. لذلك ، فإن نهج إدارة التفويض المستمر هو أكثر ملاءمة حقًا”.
الأمل هو أن تؤدي المراقبة المستمرة إلى وضع أكثر قوة للأمن السيبراني عبر الأدوات المستندة إلى مجموعة النظراء المستخدمة داخل الوكالات الحكومية.
هناك تفاؤل بين الشركات التي حققت شهادة FedRamp في الماضي. منطق سومو، منصة تحليل بيانات الجهاز السحابي ، تم تحقيقها FedRamp جاهز تعيين في 2019 و FedRamp معتدلة إذن في عام 2021.
“نحن بحاجة إلى الحفاظ على الدقة في كيفية تقييم التكنولوجيا لضمان أنها حل آمن للوكالات الحكومية. لكن في النهاية نحن نرحب للغاية بالكفاءات المكتسبة طوال العملية” ، هذا ما قاله سيث ويليامز ، وهو ميدان الشركة CTO ، لـ Information.
ماذا يأتي بعد ذلك؟
يعد وعد عملية تفويض FedRamp الأقل مرهقة أمرًا مثيرًا للمقاولين الحكوميين ، ولكن لا يزال هناك مجهولون.
“نحن في الانتظار قليلاً ونرى [mode] لأن الشيطان في التفاصيل … بالضبط كيف سنقوم بمراقبة مستمرة؟ ” يسأل أور. لكن في الوقت نفسه ، نقف جميعًا ونشترك في تعهد أمني لجعل الأمة أ [safer] مكان. لذا ، في مكان ما بينهما هو الحقيقة ، وسنرى ما يخرج منه “.
يبقى أيضًا أن نرى كيف يتم تطبيق الأتمتة وكيف تعمل في الممارسة العملية. ماذا سيكون تأثير انخفاض موظفي FedRamp؟ كيف ستبدو العلاقات المباشرة بين الوكالات الحكومية والمقاولين؟
من المحتمل أن يتشكل مستقبل FedRamp مع مدخلات من أصحاب المصلحة في الصناعة. ستقوم مجموعات عمل FedRamp “بجمع المدخلات من الصناعة ، وضمان الوصول المتساوي إلى المعلومات ، وتشجيع البرامج التجريبية ، وتقديم التوجيه التقني قبل التعليق العام والإصدار الرسمي” ، وفقًا للبيان الصحفي GSA.
تلاحظ GSA أن “عروض الخدمات منخفضة التأثير” لن تتطلب رعاية الوكالة بموجب FedRamp 20x ، ولكن بناء العلاقات سيظل مهمًا مع تطور FedRamp. سيتم تشكيل بعض هذا الاتصال داخل مجموعات العمل هذه. وسيحتاج المقاولون الذين يرغبون في العمل مع الوكالات الحكومية إلى إظهار قيمة عروض الخدمات الخاصة بهم.
“إنه لأمر واحد أن أقول ،” أريد أن أعمل مع الحكومة ، أو لدي القدرة على العمل مع الحكومة “. حسنًا ، كيف توفر قيمة لوكالة حكومية؟ ” يقول ألبوم. “لا تزال العلاقات مهمة للغاية ، خاصةً مع مرور هذه الفترة من التغيير الكبير.”
كيف يمكن للمقاولين الحكوميين والشركات التي يتوقون لتأمين العملاء الحكوميين لأول مرة ، الاستعداد؟
يقول ميهتا: “بالنسبة للمقاولين الحكوميين ، يعتمد النجاح على قدرتهم على توفير رؤى أمنية شاملة فورية وتكيف مع توقعات الامتثال الأكثر ديناميكية”.
