ตสำนักงานการจัดการและงบประมาณกำลังผลักดันรายงานล่าสุดที่สำคัญเกี่ยวกับความพยายามในการประมวลผลระบบคลาวด์ของรัฐบาลกลางโดยผู้ตรวจสอบหน่วยงานพลเรือน 19 แห่งเจ้าหน้าที่ OMB กล่าวว่า แม้ว่าหน่วยงานจะชื่นชมรายงานของ IG แต่ก็ล้มเหลวในการระบุความคิดริเริ่มที่สำคัญหลายประการที่รับประกันการกำกับดูแลการประมวลผลบนคลาวด์“หน่วยงานของรัฐบาลกลางมีความคืบหน้าที่สำคัญในหลายด้านที่ไม่ได้ระบุไว้ในรายงาน เพื่อความปลอดภัยของระบบคลาวด์คอมพิวติ้ง”
เจ้าหน้าที่กล่าวในอีเมล “เราจะทำงานร่วมกับเอเจนซีในขณะที่พวกเขา
ใช้นโยบายระบบคลาวด์ในปัจจุบันอย่างเต็มที่และการอนุญาตของ FedRAMP และเราจะปรับปรุงการกำกับดูแลต่อไปเมื่อความสามารถของระบบคลาวด์และโปรแกรมต่างๆ เติบโตขึ้นอย่างต่อเนื่อง”
IGs พบในการวิเคราะห์สัญญาคลาวด์เชิงพาณิชย์ 77 สัญญาในหน่วยงานพลเรือน 19 หน่วยงาน ซึ่งส่วนใหญ่ล้มเหลวในการดำเนินการตามแนวทางของรัฐบาลกลางและแนวทางปฏิบัติที่ดีที่สุด ข้อมูลเชิงลึกที่สำคัญประการหนึ่งจากผู้ตรวจสอบคือ 59 ระบบคลาวด์ที่ผ่านการตรวจสอบไม่ตรงตามข้อกำหนดในการปฏิบัติตาม Federal Risk Authorization and Management Program (FedRAMP) ภายในเดือนมิถุนายน 2014 แม้ว่าข้อกำหนดดังกล่าวจะประกาศเมื่อวันที่ 8 ธันวาคม 2011 .
ข้อมูลเชิงลึกโดย Censys: ในระหว่างการสัมมนาออนไลน์เกี่ยวกับ CISO Handbook สุดพิเศษนี้ ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญจะสำรวจความคิดริเริ่มทางไซเบอร์และการปรับปรุงให้ทันสมัยที่ DIU ด้วยมุมมองของอุตสาหกรรม
ท่ามกลางความพยายามและนโยบายที่เจ้าหน้าที่ OMB กล่าวว่า
ทำให้มั่นใจว่าการกำกับดูแลและการปฏิบัติตามคือการดำเนินการที่เกี่ยวข้องกับบันทึกช่วยจำถึง CIO ประจำเดือนธันวาคม 2554 เรื่อง “การอนุญาตด้านความปลอดภัยของระบบข้อมูลในสภาพแวดล้อมการประมวลผลแบบคลาวด์” เจ้าหน้าที่กล่าวว่า ตัวอย่างเช่น หน่วยงานได้ใช้บริการคลาวด์หรือระบบ 160 รายการที่ได้รับการอนุมัติจาก FedRAMP
เจ้าหน้าที่กล่าวว่า OMB กำลังรวบรวมข้อมูลการปฏิบัติตามข้อกำหนดของ FedRAMP โดยเป็นส่วนหนึ่งของรายงานประจำไตรมาสของหน่วยงานเกี่ยวกับบริการคลาวด์ผ่านการรวบรวมข้อมูลแบบบูรณาการ (IDC) และกำลังตรวจสอบข้อมูลนี้กับหน่วยงานร่วมกับ PortfolioStat
OMB ที่เพิ่มเข้ามาอย่างเป็นทางการจะสร้างกลไกการรายงานที่มีอยู่นี้เพื่อรวมความชัดเจนของชื่อจริงของระบบและวันที่เริ่มต้นสัญญาเพื่อตรวจสอบว่าสัญญาใหม่เกิดขึ้นโดยไม่เป็นไปตามข้อกำหนดการรับรองของ FedRAMP หรือไม่
OMB ดูเหมือนจะให้ความสำคัญกับข้อค้นพบของ IG อย่างจริงจัง แต่ยังห่างไกลจากข้อตกลงกับข้อสรุปของผู้สอบบัญชี
สิ่งที่น่าสนใจเกี่ยวกับรายงานของ IGs คือ OMB หรือหน่วยงานใด ๆ ที่ผู้ตรวจสอบตรวจสอบแสดงความคิดเห็นในรายงาน รายงานการตรวจสอบอื่น ๆ เกือบทั้งหมดไม่ว่าจะมาจาก IG หรือจากสำนักงานความรับผิดชอบของรัฐบาล รวมถึงความคิดเห็นเกี่ยวกับร่างและการแก้ไขทางเทคนิคเป็นอย่างน้อย คำถามใหญ่คือสิ่งที่จะเกิดขึ้นจากรายงาน IG? OMB จะเพิ่มการกำกับดูแลในอีกไม่กี่เดือนข้างหน้าหรือไม่? หรือคำแนะนำของ IG จะถูกเพิ่มเข้าไปในรายการสิ่งที่เอเจนซี่จำเป็นต้อง “แก้ไข” มากขึ้นเรื่อยๆ
