Saltar al contenido

Software cFocus: automatización del proceso de migración segura de las agencias gubernamentales de EE. UU. a la nube

Ahora que las agencias gubernamentales de los EE. UU. Deben migrar a la nube, deben garantizar que su información se mantenga segura. Y con muchas agencias que tienen docenas, si no cientos, de sistemas y mano de obra limitada, cumplir los requisitos de seguridad manualmente y continuar monitorizándolos para verificar su cumplimiento es casi imposible. El software propiedad de cFocus Software ATO (Autoridad para operar) como un Servicio ?, automatiza el cumplimiento de la seguridad cibernética, ayudando a que las agencias gubernamentales estén en la nube de manera rápida, efectiva y segura.

Cuéntame un poco sobre tu experiencia en informática y ciberseguridad.

Fui a Dartmouth College y me gradué con una licenciatura en Matemáticas en 1998. Justo después de la escuela, fui a DC y trabajé para Optimus Corporation, un contratista del gobierno federal para pequeñas empresas. Comencé en la mesa de ayuda y, después de algunos años, me mudé al departamento de desarrollo de software. En 2006, fundé cFocus Software. Hicimos mucho trabajo de SharePoint y también brindamos servicios de certificación y acreditación para múltiples sistemas de TI dentro del Departamento de Defensa. A lo largo del proceso obtuve varias certificaciones de ciberseguridad y Microsoft, entre ellas: Desarrollador de soluciones certificadas de Microsoft (MCSD) Arquitecto de soluciones Azure, Experto en soluciones certificadas de Microsoft (MCSE) Plataforma en la nube, Profesional de seguridad de sistemas de información certificado (CISSP), Probador de penetración certificado (CPT) y Hacker Ético Certificado (CEH). Lanzamos ATO as a Service ? este año para automatizar el cumplimiento de FedRAMP para los sistemas de TI del gobierno federal en Microsoft Azure y Office 365..

Antes de hablar específicamente sobre ATO como un servicio ?, ¿puede explicar FedRAMP?

Claro, FedRAMP es el alimentadoseral Risk y UNAautorización METROgestión PAGprograma Básicamente, es un marco para implementar la seguridad cibernética para los sistemas de TI del gobierno federal en la nube.

¿Cuáles son los pasos que debe seguir un sistema para cumplir con el cumplimiento de FedRAMP?

FedRAMP se basa en el Marco de Gestión de Riesgos que tiene 6 pasos:

  1. Clasificar por categorías El sistema como sistema de impacto bajo, moderado o alto.
  2. Seleccionar Los controles de seguridad adecuados para el sistema. Hay controles de línea de base para sistemas de bajo, moderado o alto impacto. Cuanto mayor es el impacto del sistema, mayor es el control de seguridad que debe cumplirse.
  3. Implementar Los controles de seguridad del sistema. Estos primeros 3 pasos dan como resultado un documento del Plan de seguridad del sistema (SSP).
  4. Evaluar Si el sistema cumple con los controles de seguridad. Esto lo realiza una empresa externa que comprueba el cumplimiento del sistema con cada control de seguridad único.
  5. Autorizar el sistema. El funcionario que autoriza, normalmente el CIO de la agencia, evalúa la evaluación del sistema y decide si el riesgo de un sistema se mitiga lo suficiente. Si es así, él / ella emite una Autorización para operar (ATO) para ese sistema.
  6. Monitor el sistema. Una vez que el sistema está operando en la nube, es importante asegurar el cumplimiento continuo de FedRAMP a medida que el sistema y sus datos evolucionan y crecen.

¿Cómo ayuda ATO as a Service ? a las agencias gubernamentales a lograr el cumplimiento con FedRAMP?

ATO as a Service ? es un software como servicio que ayuda a las agencias gubernamentales a automatizar y acelerar el cumplimiento de FedRAMP. Específicamente, ATO as a Service ? ayuda a generar SSP y monitorea continuamente los sistemas en Microsoft Azure y Office 365.

¡Crear un SSP es un oso! En este momento, es un proceso completamente manual. Una agencia tendría que crear un documento de 900-1,000 páginas, ¡literalmente 1,000 páginas! – para de cada sistema plan de seguridad Con ATO como servicio ?, automatizamos y agilizamos el proceso de generación del SSP.

ATO as a Service ? también automatiza y acelera el monitoreo del sistema, para que las agencias no tengan que averiguar y organizar todas las diferentes herramientas y servicios necesarios para encontrar una solución de monitoreo continuo. Nos llevamos una parte de eso y lo gestionamos.

Ahora, no automatizamos toda la generación del SSP o los procesos de monitoreo continuo, pero ciertamente hacemos que sea mucho más fácil completar estos pasos para sus sistemas Microsoft Azure u Office 365.

Si ATO as a Service ? descubre una vulnerabilidad, ¿cFocus Software ofrece soluciones para mitigarla?

ATO as a Service ? se integra con herramientas de evaluación de vulnerabilidad de terceros que pueden identificar y mitigar las vulnerabilidades. Esto es parte de la solución de monitoreo continuo que ofrecemos.

¿Cuáles son algunos de los mayores desafíos que enfrentan las agencias gubernamentales al migrar a la nube?

Hay dos desafíos principales que encontramos con las agencias gubernamentales que se mueven a la nube. La primera es la falta de recursos. Las agencias no solo carecen de la financiación necesaria para pasar a la nube, sino que también carecen de la experiencia de su personal para diseñar una solución para migrar y luego ejecutar su sistema en la nube. El segundo gran reto es la gestión del cambio. La administración del cambio es el área en la que la gente no suele pensar cuando se trata de ejecutar su sistema en la nube en lugar de ejecutarse en las instalaciones. Es un modelo completamente diferente que requiere un conjunto completamente diferente de experiencia, políticas y procedimientos. Además, la forma en que se compran los servicios en la nube es muy diferente de la forma en que las agencias gubernamentales generalmente compran servicios.

¿Por qué Microsoft Azure es su solución de nube preferida para las agencias gubernamentales?

Hemos sido socios de Microsoft durante más de 10 años y tenemos 2 certificaciones Microsoft Gold (Desarrollo de aplicaciones, colaboración y contenido), por lo que tenemos una gran experiencia en servicios de Microsoft y, más recientemente, en la nube de Microsoft. La migración a Microsoft Azure es una progresión natural para las agencias gubernamentales, ya que muchas ya han realizado una gran inversión en los servicios de Microsoft antes de la nube.

El software cFocus también crea chatbots gubernamentales. ¿Cómo ves a los chatbots evolucionando en el futuro?

Sí, así que además de ofrecer ATO como un servicio ?, también desarrollamos chatbots para agencias gubernamentales. Los chatbots son aplicaciones de conversación con las que interactúas a través de texto y conversación.

Veo chatbots y asistentes personales artificialmente inteligentes como Alexa y Siri que revolucionan la industria al mismo nivel que el mouse de apuntar y hacer clic en los años 80. En el futuro, ya no tendrá que descargar ni operar aplicaciones, simplemente escribirá o hablará con su chatbot y seguirá su comando.

Nota del entrevistador: Como si estuviera de acuerdo con el Sr. Walker, a pesar de probar minuciosamente una aplicación de grabación, mi teléfono solo grabó mi lado de nuestra entrevista … ¡¿No habría sido genial si hubiera podido simplemente decir "grabar conversación"?

Califica este Articulo!