Sebagian besar agen federal AS memulai proses pemindahan data mereka ke layanan berbasis cloud sekitar sepuluh tahun yang lalu. Pada tahun 2011, Gedung Putih mengeluarkan strategi Cloud-First mereka, yang mewajibkan lembaga untuk mengevaluasi teknologi cloud yang aman dan terlindungi. Ini menandai langkah pertama yang diambil untuk mempercepat adopsi cloud di antara lembaga pemerintah dalam upaya membantu mengurangi biaya dan meningkatkan efisiensi layanan yang diberikan kepada warga.
Sejak itu, banyak agensi mulai memindahkan lebih banyak infrastruktur mereka ke platform cloud. Penelitian terbaru mengungkapkan bahwa hampir dua pertiga pemimpin TI federal menggunakan atau mulai menggunakan cloud untuk aplikasi kritis misi. Namun, terlepas dari peningkatan adopsi ini, banyak lembaga federal terus bergulat dengan tantangan migrasi cloud.
Ada beberapa tantangan yang dihadapi lembaga federal saat memutuskan untuk bermigrasi ke platform cloud: salah satu yang terbesar adalah penggunaan aplikasi dan teknologi lama. Sebelum adopsi cloud menjadi inisiatif besar bagi pemerintah federal, agensi beroperasi dari lingkungan lokal dan di dalam pusat data. Karena sensitivitas data yang disimpan dalam jaringan ini dan sebagian besar karena tidak dapat dioperasikannya migrasi data dan fungsionalitas sistem dengan teknologi yang meningkat, beberapa lembaga terus menggunakan sistem operasi usang ini, basis data lama, dan bentuk lain dari sistem dan teknologi informasi. karena misi dan perlindungan data lebih besar dari tiket besar berikutnya dalam teknologi yang diperbarui.
Dengan munculnya konektivitas di Internet of Things (IoT) dan dengan Big Data serta masalah tidak dapat menambang data seefisien sebelumnya, teknologi telah dimodifikasi untuk menangani perilaku ikat tinggi IoT serta data dalam jumlah besar. diproduksi menit demi menit. Dengan itu, cara data dan teknologi mengintegrasikan dan berperilaku satu sama lain jauh berbeda dari cara pemerintah federal terbiasa dengannya di lingkungan lokal dan pusat data. Solusi yang mudah adalah bagi agen federal untuk memindahkan apa yang mereka bisa ke cloud dan meninggalkan yang lainnya di tempat atau di pusat data; namun, satu tantangan dari aplikasi dan teknologi lama ini, menyebar ke area lain seperti anggaran, keamanan, dan tata kelola, risiko, dan kepatuhan (GRC). Dan dengan faktor-faktor yang membuat tantangan ini begitu mendesak untuk diselesaikan, menjadikan rekomendasi di atas sama sekali bukan solusi yang layak.
Tantangan ini sangat mendesak karena tetap berada di lingkungan yang stagnan ini mengungkap masalah yang lebih mengerikan, tidak hanya untuk pemerintah federal tetapi juga untuk semua bisnis dan organisasi yang portofolionya mencakup sistem warisan. Meskipun sistem warisan ini belum mengikuti teknologi saat ini, sayangnya, lanskap ancamannya. Dengan munculnya komputasi kuantum dan aktor ancaman yang menggunakan komputasi kuantum untuk memulai serangan terhadap sistem informasi, pemerintah federal harus terus menjauh dari teknologi yang lebih tua. Pindah ke cloud, terutama platform cloud yang diotorisasi di bawah kerangka kerja seperti FedRAMP dan FedRAMP+ yang merupakan otorisasi Tingkat Dampak SRG DoD, tidak hanya akan mengatasi GRC, perlindungan data, dan memastikan tingkat keamanan yang sama di seluruh platform dan sistem, tetapi juga akan lapisan pertahanan yang sangat kuat dalam menangkal serangan tersebut.
Agar pemerintah federal merasa nyaman dengan perubahan drastis dalam cara mereka mendekati keamanan dunia maya, perlu ada standarisasi. Standarisasi dalam persyaratan kepatuhan dalam melindungi data federal dengan menggunakan kerangka kerja yang disebutkan sebelumnya hanyalah titik awal bagaimana pemerintah federal mengatasi tantangan migrasi ke cloud. Cabang pemerintah yang berbeda adalah pemilik dari berbagai jenis data yang bervariasi dalam jenis dan klasifikasi, sehingga kerangka kerja FedRAMP menangani lembaga federal di mana kerangka kerja FedRAMP+ (Tingkat Dampak SRG DoD) menangani cabang eksekutif pemerintah yang menangani jenis spesifik lainnya data yang terkait dengan misi dan fungsi bisnis mereka, tetapi semua kerangka kerja ini berasal dari seri NIST 800-53 yang sangat menambah standarisasi tersebut. Perspektif unik dari masing-masing cabang pemerintahan ini dibahas melalui hamparan terperinci, yang juga menyediakan standarisasi. Saat bermigrasi ke cloud, memiliki standardisasi ini memberi pemerintah jaminan bahwa tindakan perlindungan yang sama yang mereka terapkan di lingkungan lokal dan pusat data mereka, yang dapat dilaporkan oleh FISMA dan berasal dari persyaratan kontrol keamanan NIST 800-53, adalah perlindungan yang sama langkah-langkah yang digunakan dalam sistem cloud ini yang memegang otorisasi FedRAMP dan/atau FedRAMP+.
Tidak mungkin untuk mengambil sistem lama ini dan memasukkannya ke dalam lingkungan cloud dan kemudian semuanya terus beroperasi seperti biasa. Migrasi ke cloud memerlukan perencanaan strategis serta memastikan bahwa selama migrasi data tetap terlindungi. Tingkat upayanya tidak mudah, juga tidak bisa dilakukan sembarangan, tetapi dengan lanskap ancaman yang semakin meningkat dan ancaman terus-menerus yang canggih menjadi lebih canggih dalam gaya serangan, tingkat serangan, dan jenis serangan, migrasi harus dilakukan dengan cepat dan tepat. prioritas utama.
Arahan oleh Presiden Amerika Serikat yang ditemukan dalam FISMA Act of 2014 adalah alasan mengapa tampaknya agen federal tertinggal dalam mengadopsi solusi cloud. Di bawah FISMA, lembaga diminta untuk mematuhi Kerangka Kerja Manajemen Risiko NIST (berasal dari seri NIST 800-53) dan melaporkan berbagai elemen sistem dan teknologi informasi mereka. Terlepas dari adopsi cloud, persyaratan ini tetap ada. Bagian yang membingungkan dari hal ini bagi agensi adalah ketika mereka mencoba membawa solusi cloud mereka ke ranah pelaporan “FISMA”. Dan meskipun solusi cloud memiliki beberapa elemen pelaporan seperti FISMA, cara pengelolaan solusi cloud sangat berbeda. Namun demikian, ketika agensi, penyedia layanan cloud (CSP), dan pemangku kepentingan lainnya datang dengan serangkaian prosedur mereka sendiri tentang cara mengelola solusi cloud, hal ini mengembangkan penghalang jalan atau bahkan menghentikan adopsi cloud. Banyak cara yang ada standardisasi dalam persyaratan keamanan untuk sistem informasi dan lingkungan cloud yang berasal dari NIST 800-53, jadi harus ada metodologi standar dalam adopsi cloud. Dalam kerangka kerja yang disebutkan di sini, ada metodologi, proses, dan prosedur standar untuk menerima otorisasi di bawah kerangka kerja tersebut, tetapi segmen dari identifikasi kebutuhan akan solusi cloud hingga adopsi cloud hilang dan dibuat-buat seiring dengan migrasi agensi ke awan.
Migrasi ke cloud bukanlah hal yang baik untuk dimiliki oleh agen federal, ini adalah suatu keharusan. Tidak hanya dari penghematan biaya adopsi cloud dan standarisasi persyaratan keamanan siber, tetapi juga untuk mengatasi lanskap ancaman yang datang dan datang. Program seperti FedRAMP dan FedRAMP+, telah melakukan pekerjaan yang sangat baik dalam menciptakan standarisasi untuk memenuhi persyaratan keamanan informasi serta membantu lembaga bermigrasi ke platform yang paling aman. Ini juga merupakan kerangka kerja yang terus ditingkatkan berdasarkan umpan balik dari lembaga federal dan persyaratan yang ditetapkan oleh arahan presiden dan eksekutif. Dan meskipun banyak yang telah dilakukan, peningkatan terus-menerus dilakukan, dan lebih banyak inisiatif digerakkan saat kita berbicara, masih ada kebutuhan tinggi akan metodologi standar yang akan dibuat yang memandu lembaga menuju proses ini dengan cara yang jelas dan ringkas yang mempromosikan dan memberikan jaminan tinggi atas keberhasilan migrasi cloud.
Kredit Gambar: Sergey Nivens / Shutterstock
Stephanie Carter adalah Kepala Layanan Penasihat FedRAMP di Coalfire, sebuah perusahaan konsultan keamanan siber.
