และยาวกว่าในการประท้วง GAO ก่อนหน้านี้ แผนกประสบความสำเร็จในการต่อสู้กับความท้าทายของ Oracle โดยอ้างว่ามีละติจูดกว้างในการตัดสินใจจัดซื้อจัดจ้างด้วยเหตุผลด้านความมั่นคงของชาติ และกลยุทธ์ที่ให้รางวัลหลายรางวัลมีแต่จะทำให้รัฐบาลเสียเวลาและเงินมากขึ้นเท่านั้นOracle ทำการประท้วง JEDI ต่อศาลเรียกร้องของรัฐบาลกลางข่าวกลาโหมอ่านเพิ่มเติมDoD วางแผนการรวมร่าง ร่างปฏิสัมพันธ์ของ JEDI กับเครือข่ายอื่นๆ
ป้องกันอ่านเพิ่มเติมอะไรอยู่เบื้องหลังการตัดสินใจของ GAO
ในการปฏิเสธการประท้วง JEDI ของ Oracleไดรฟ์ของรัฐบาลกลางอ่านเพิ่มเติม“การจัดการความปลอดภัยและการเข้าถึงข้อมูลระหว่างคลาวด์ทำให้เกิดรอยต่อที่เพิ่มความเสี่ยงด้านความปลอดภัยด้วยเหตุผลหลายประการ” เจ้าหน้าที่ทำสัญญาของ JEDI กล่าวกับ GAO “การข้ามคลาวด์ต้องการการกำหนดค่าแบบแมนนวลที่ซับซ้อน ซึ่งมีแนวโน้มที่จะเกิดข้อผิดพลาดของมนุษย์และทำให้เกิดช่องโหว่ด้านความปลอดภัย… ระบบในคลาวด์ที่แตกต่างกัน แม้จะได้รับการออกแบบให้ทำงานร่วมกัน ก็ยังต้องการการผสานรวมที่ซับซ้อน การเชื่อมต่อที่ไม่ได้รับการกำหนดค่าและจัดการอย่างถูกต้องที่ปลายทางทั้งสองทำให้เกิดการโจมตีแบบใหม่ … ฉันพบว่ารางวัลหลายรายการเพิ่มความเสี่ยงด้านความปลอดภัย”และในด้านต้นทุนและกำหนดการ แผนกกล่าวว่าสัญญารางวัลเดียวมีความจำเป็นเมื่อต้องให้บริการคลาวด์ที่ทันสมัยไปสู่ขอบยุทธวิธีโดยเร็วที่สุด และเพื่อรวมบริการคลาวด์ต่างๆ และระบบเดิมที่มีอยู่แล้ว“การทำเช่นนั้นสำหรับโซลูชันเดียวที่จัดหาให้แผนกโดยผู้ขายหรือทีมผู้ขายถือเป็นการยกระดับครั้งใหญ่อยู่แล้ว การพยายามทำเช่นนั้นกับโซลูชันหลายตัวโดยแผนกที่ดำเนินการเป็นผู้รวมระบบจะซับซ้อนมาก” ทิมกล่าว Van Name รองผู้อำนวยการ DDS “ส่วนหนึ่งของความพยายามนี้คือการทำงานร่วมกับผู้ชนะสัญญา JEDI Cloud เพื่อให้เราสามารถช่วยให้แผนกเข้าใจถึงความเสี่ยงได้ดียิ่งขึ้น [มันคือ] การยอมรับ จัดการความเสี่ยงนั้นได้ดีขึ้น แต่ยังทำได้อย่างทันท่วงทีอีกด้วย ดังนั้น นักสู้สงครามของเราเข้าถึงแอปพลิเคชันและบริการได้เร็วกว่ามาก ฉันคิดว่าการพยายามทำอย่างนั้นกับผู้ขายรายเดียว แผนกรู้ดีว่ากองทัพอากาศกำลังจะเข้าร่วมกับหน่วยงานรัฐบาลกลางกลุ่มเล็กๆ ซึ่งพบวิธีเร่งกระบวนการอนุมัติความปลอดภัยทางไซเบอร์สำหรับระบบไอทีอย่างรวดเร็ว
กระบวนการ Authority to Operate (ATO) ซึ่งเป็นเอกสารที่ต้องเสียเวลาหลายเดือนก่อนที่ระบบใหม่จะได้รับอนุญาตให้เชื่อมต่อกับเครือข่ายของรัฐบาล เป็นข้อกำหนดของ Federal Information Security Management Act FISMA บอก CIO ว่าพวกเขาต้องรู้และยอมรับความเสี่ยงด้านความปลอดภัยที่แต่ละระบบมีอยู่
แต่ไม่มีเหตุผลพิเศษใดที่ระบบไม่สามารถทำงานได้เร็วกว่านี้
Bill Marion รอง CIO ของกองทัพอากาศกล่าว เจ้าหน้าที่ฝ่ายบริการคาดว่าจะลงนามในนโยบาย ATO “แบบเร่งด่วน” ใหม่ภายในไม่กี่วัน เขากล่าว
“โดยพื้นฐานแล้วเราเชื่อว่าสิ่งนี้จะช่วยให้เราเพิ่มความสามารถได้เร็วขึ้น” เขากล่าวเมื่อสัปดาห์ที่แล้วที่งาน Air Force IT Day ประจำปีของ AFCEA NoVA “มันจะทำให้เราปรับปรุงซอฟต์แวร์ให้ทันสมัยด้วยคลิปที่เร็วขึ้น แต่ยังให้ความปลอดภัยที่ดีขึ้นด้วย”
Insight by Maximus: การมีข้อมูลเพียงปลายนิ้วจะมีความสำคัญหากเป็นข้อมูลที่ถูกต้องในเวลาที่เหมาะสม ในแบบสำรวจพิเศษของ Federal News Network เราถาม feds เกี่ยวกับความพยายามของหน่วยงานของตนในการเปลี่ยนข้อมูลให้เป็นข่าวกรองที่นำไปปฏิบัติได้ ซึ่งจะนำไปสู่การบริการที่ดีขึ้น
Marion กล่าวว่านโยบายใหม่นี้ไม่เหมาะกับระบบไอทีทุกระบบ แต่ในบางแง่ นโยบายนี้จะทำให้กระบวนการ ATO แบบเดิมเปลี่ยนไป แทนที่จะประเมินระบบทุกระบบเทียบกับแค็ตตาล็อกทั้งหมดของการควบคุมความปลอดภัยของ NIST เป้าหมายคือการตัดสินใจอย่างชาญฉลาดว่าการประเมินใดที่จำเป็นจริงๆ สำหรับระบบใดระบบหนึ่ง
เขาเสนอตัวอย่าง: หากกองทัพบกได้ผ่านกรอบการบริหารความเสี่ยง (RMF) แล้วและปรับใช้ระบบที่กองทัพอากาศต้องการใช้ กองทัพอากาศจำเป็นต้องผ่านทุกย่างก้าวที่เจ็บปวดเช่นเดียวกันหรือไม่?
“ฉันคิดว่าฉันจะพบอะไรในการควบคุมอีก 900 รายการใน RMF ที่เราไม่ได้ลบออกเมื่อเราวางระบบนั้นในศูนย์การประมวลผลแบบคลาวด์ที่เข้มงวดและผ่านการทดสอบการเจาะระบบ เราคาดว่าจะพบอะไรและน้ำผลไม้นั้นคุ้มค่าที่จะบีบหรือไม่? ส่วนหนึ่งของเรื่องนี้คือการตัดสินใจต่อหน้าเจ้าหน้าที่ผู้อนุมัติเร็วขึ้น เพื่อพิจารณาว่าส่วนใดของ RMF ที่คุณต้องผ่าน” เขากล่าว “ในบางกรณีมันอาจจะสั้นมาก ในบางกรณีอาจถูกตัดออกหนึ่งในสามหรือครึ่งหนึ่ง มันเป็นการปรับเปลี่ยนขั้นพื้นฐาน แต่เราอยู่ในโลกที่แตกต่างในวิธีที่เราจัดการความเสี่ยง”
ปรับปรุงกระบวนการอนุมัติ
Credit : สล็อตยูฟ่า / คืนยอดเสีย / เว็บสล็อตออนไลน์