แอลมาสร้างสถิติให้ตรงกับสิ่งที่Stan Kaczmarczykกล่าวเมื่อวันที่ 2 มิถุนายนเกี่ยวกับความพยายามรักษาความปลอดภัยทางไซเบอร์บนคลาวด์ที่รู้จักกันในชื่อ Federal Risk Authorization and Management Program (FedRAMP) มีหลายบล็อกและบางบทความที่ไม่เข้าใจหรือตีความความคิดเห็นของเขาผิด ซึ่งทำให้บางส่วนในชุมชนกลางผิดทิศทาง
Kaczmarczyk ผู้อำนวยการของ General Services Administration
ของ Cloud Computing Services Program Management Office กล่าวในการประชุม IT and Acquisition 1105 Group ในวอชิงตัน พยายามชี้แจงความเชื่อที่มีมาอย่างยาวนานอีกครั้งว่าหน่วยงานต่างๆ ควรจำกัดการแข่งขันสำหรับบริการคลาวด์เท่านั้น ผู้จำหน่ายที่ได้รับการอนุมัติจาก FedRAMP
“วิธีดั้งเดิมคือใครก็ตามที่มีคุณสมบัติเหมาะสมสามารถประมูลได้ และถ้าคุณชนะงาน คุณต้องมีอำนาจในการดำเนินการ (ATO) หรือ FedRAMP เสียก่อนจึงจะดำเนินการได้” เขากล่าว “สิ่งที่เรากำลังบอกเอเจนซีคือควรใช้การอนุญาตของ FedRAMP เป็นเกณฑ์การประเมิน ผู้ที่ได้รับอนุญาตจาก FedRAMP อยู่แล้ว คุณจะเริ่มต้นและดำเนินการและดำเนินการได้เร็วกว่าผู้ที่ไม่ได้อยู่ในคิวของการอนุญาตหรือต้องทำหน่วยงาน ATO ของตนเองให้กับคุณ นั่นอาจเป็นเกณฑ์การประเมิน แต่คุณไม่สามารถคัดกรองบริษัทที่ไม่ใช่ FedRAMP ได้ตั้งแต่เริ่มต้น”
ผู้บริหารในอุตสาหกรรมที่ถามคำถามนี้ตอบคำตอบของ Kaczmarczyk โดยบอกว่า GSA จำเป็นต้องให้ความรู้และแจ้งเจ้าหน้าที่ที่ทำสัญญากับเอเจนซี่เกี่ยวกับแนวคิดนี้ให้ดีขึ้น เนื่องจากพวกเขายังไม่ชัดเจนเกี่ยวกับวิธีใช้ข้อกำหนดของ FedRAMP ในสัญญาระบบคลาวด์
ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
แต่ขอให้ชัดเจนเกี่ยวกับความคิดเห็นของ Kaczmarczyk
เขาไม่ได้บอกว่ารัฐบาลกำลังเปลี่ยนแนวทางการใช้ FedRAMP ตามที่บางคนในชุมชนอุตสาหกรรมถาม
เขาไม่ได้บอกว่าไม่ต้องใช้ FedRAMP เหมือนที่คนอื่นพูด
Kaczmarczyk กล่าวว่า Office of Management and Budget ได้กล่าวไว้ตั้งแต่เดือนธันวาคม 2011 เมื่ออดีต CIO Steve VanRoekel ลงนามในบันทึกช่วยจำของ FedRAMP
ในบันทึกนั้น หน่วยงานที่เขียนของ VanRoekel จะต้อง “ตรวจสอบให้แน่ใจว่าสัญญาที่เกี่ยวข้องกำหนดให้ CSP ปฏิบัติตามข้อกำหนดการอนุญาตด้านความปลอดภัยของ FedRAMP อย่างเหมาะสม”
ไม่มีข้อความใดในบันทึกและไม่มีอะไรที่ GSA กล่าวต่อสาธารณะว่าต้องได้รับอนุญาตจาก FedRAMP ก่อนประมูล
โอ้ อย่างไรก็ตาม สิ่งที่ Kaczmarczyk พูดนั้นเป็นแนวคิดเดียวกับที่ใช้กับการรับรองและการรับรองระบบ (C&A) มานานแล้ว เมื่อผู้จำหน่ายสร้างแอปพลิเคชันสำหรับหน่วยงาน ซอฟต์แวร์นั้นอาจไม่เป็นไปตามการควบคุมภายใต้ Federal Information Security Management Act (FISMA) นอกกรอบ แต่ต้องเป็นไปตามข้อกำหนดก่อนที่หน่วยงานจะเข้าสู่ความสามารถในการปฏิบัติการเริ่มต้น
