Программное обеспечение cFocus – автоматизация процесса безопасной миграции государственных учреждений США в облако

Теперь, когда правительственные учреждения США должны перейти на облако, они должны гарантировать, что их информация остается в безопасности. А поскольку многие агентства имеют десятки, если не сотни, систем и ограниченную рабочую силу, выполнять требования безопасности вручную и продолжать следить за их соблюдением практически невозможно. Запатентованное программное обеспечение cFocus Software ATO (Authority To Operate) в качестве услуги ™ автоматизирует соответствие требованиям кибербезопасности, помогая быстро, эффективно и надежно подключать правительственные учреждения к облачной среде..

Расскажите мне немного о своем опыте в области ИТ и кибербезопасности..

Я поступил в Дартмутский колледж и в 1998 году получил степень бакалавра по математике. Сразу после школы я пошел в Вашингтон и работал в Optimus Corporation, подрядчике федерального правительства малого бизнеса. Я начал работать в справочной службе и через несколько лет перешел в их отдел разработки программного обеспечения. В 2006 году я основал cFocus Software. Мы проделали большую работу в SharePoint, а также предоставили услуги по сертификации и аккредитации для нескольких ИТ-систем в Министерстве обороны. По пути я заработал несколько кибербезопасности & Сертификаты Microsoft, в том числе: сертифицированный разработчик решений Microsoft (MCSD) Azure Solutions Architect, сертифицированный эксперт по решениям Microsoft (MCSE) Cloud Platform, сертифицированный специалист по безопасности информационных систем (CISSP), сертифицированный тестер проникновения (CPT) и сертифицированный этический хакер (CEH). В этом году мы запустили ATO в качестве службы ™ для автоматизации соответствия требованиям FedRAMP для ИТ-систем федерального правительства в Microsoft Azure и Office 365..

Прежде чем мы поговорим конкретно об ATO как услуге ™, не могли бы вы объяснить FedRAMP??

Конечно, FedRAMP является кормилиEral риск и uthorization MПРАВЛЕНИЕ пrogram. По сути, это основа для реализации кибербезопасности для ИТ-систем федерального правительства в облаке.

Какие шаги должна пройти система, чтобы соответствовать требованиям FedRAMP??

FedRAMP основан на структуре управления рисками, которая состоит из 6 этапов:

  1. Categorize система как система с низким, средним или высоким воздействием.
  2. Выбрать соответствующие меры безопасности для системы. Существуют базовые средства контроля для систем с низким, средним или высоким уровнем воздействия. Чем выше влияние системы, тем больше мер безопасности необходимо выполнить.
  3. Осуществлять контроль безопасности для системы. Эти первые 3 шага приводят к документу плана безопасности системы (SSP).
  4. оценить выполняет ли система контроль безопасности. Это делается сторонней компанией, которая проверяет соответствие системы каждому отдельному контролю безопасности..
  5. Авторизоваться система. Уполномоченный сотрудник, обычно ИТ-директор агентства, оценивает оценку системы и решает, достаточно ли снижен риск системы. Если это так, он / она выдает разрешение на эксплуатацию (ATO) для этой системы.
  6. монитор система. Когда система работает в облаке, важно обеспечить постоянное соответствие FedRAMP по мере развития и роста системы и ее данных..

Как ATO как услуга ™ помогает государственным органам достичь соответствия требованиям FedRAMP?

ATO as a Service ™ – это программное обеспечение как услуга, которое помогает государственным органам автоматизировать и ускорить соответствие требованиям FedRAMP. В частности, ATO как услуга ™ помогает создавать поставщики общих служб и постоянно отслеживает системы в Microsoft Azure и Office 365..

Создание SSP – это медведь! Прямо сейчас это полностью ручной процесс. Агентство должно было бы создать документ на 900-1000 страниц – буквально 1000 страниц! – для плана безопасности каждой системы. С помощью ATO as a Service ™ мы автоматизируем и ускоряем процесс генерации SSP.

ATO as a Service ™ также автоматизирует и ускоряет мониторинг системы, так что агентствам не нужно выяснять и координировать все различные инструменты и услуги, необходимые для разработки решения для непрерывного мониторинга. Мы забираем часть этого и управляем этим.

Теперь мы не автоматизируем все процессы генерации SSP или непрерывного мониторинга, но мы, безусловно, значительно облегчаем выполнение этих шагов для ваших систем Microsoft Azure или Office 365..

Если ATO as a Service ™ обнаруживает уязвимость, предлагает ли cFocus Software решения для ее устранения??

ATO as a Service ™ интегрируется со сторонними инструментами оценки уязвимостей, которые могут выявлять и уменьшать уязвимости. Это часть предлагаемого нами решения для непрерывного мониторинга..

Каковы некоторые из самых больших проблем, с которыми сталкиваются государственные органы при переходе на облачные сервисы??

Есть две основные проблемы, с которыми мы сталкиваемся, когда государственные учреждения переходят в облако. Первое – это нехватка ресурсов. Агентствам не только не хватает средств, необходимых для перехода в облако, но и не хватает опыта их сотрудников, чтобы разработать решение для миграции, а затем запустить свою систему в облаке. Вторая серьезная проблема – управление изменениями. Управление изменениями – это область, о которой люди часто не задумываются, когда речь идет об управлении их системой в облаке, а не в локальной среде. Это совершенно другая модель, которая требует совершенно другого набора знаний, политики и процедур. Кроме того, способ покупки услуг в облаке сильно отличается от способа, которым государственные службы обычно покупают услуги..

Почему Microsoft Azure является предпочтительным облачным решением для государственных учреждений?

Мы являемся партнером Microsoft более 10 лет и имеем 2 сертификата Microsoft Gold (разработка приложений, совместная работа и контент), поэтому мы обладаем значительным опытом в сфере услуг Microsoft, а в последнее время и в облаке Microsoft. Миграция на Microsoft Azure является естественным прогрессом для государственных учреждений, поскольку многие из них уже сделали очень большие инвестиции в службы Microsoft до появления облака.

cFocus Software также создает правительственных чат-ботов. Как вы видите, чат-боты развиваются в будущем?

Да, поэтому в дополнение к предложению ATO as a Service ™ мы также разрабатываем чат-ботов для государственных учреждений. Чат-боты – это диалоговые приложения, с которыми вы общаетесь посредством текста и разговоров..

Я вижу чат-ботов и искусственно интеллектуальных личных помощников, таких как Алекса и Сири, которые революционизировали индустрию на том же уровне, что и мышь «укажи и щелкни» в 80-х годах. В будущем вам больше не нужно загружать или управлять приложениями, вы просто наберете или поговорите со своим чат-ботом, и он будет следовать вашей команде.

 

Примечание интервьюера: Как будто по соглашению с г-ном Уокером, несмотря на тщательное тестирование приложения для записи, мой телефон записывал только мою сторону нашего интервью … Было бы здорово, если бы я просто сказал «записать разговор»?!