Nuvem de armazenamento: Menor custo e aumentar o tempo de atividade
Estratégia de nuvem da NASA tem sido muito criticado pelos seus próprios auditores, provando que até mesmo organizações ligadas tecnicamente competentes podem arranhar ao tentar subir para a estratosfera tecnologia.
Em um extenso relatório divulgado na segunda-feira pela NASA Escritório de Auditoria , os investigadores bateu governança da agência nuvem, gerenciamento de risco e políticas de segurança.
"Descobrimos que as fraquezas nas práticas de gestão da NASA de governança de TI e de risco têm impedido a Agência de realizar plenamente os benefícios da computação em nuvem e, potencialmente, colocar sistemas NASA e dados armazenados na nuvem em risco", diz o relatório OA.
A partir de meados de 2013 a NASA gasta piddling US $ 10 milhões de seu orçamento de US $ 1,5 bilhão anual de TI em serviços de nuvem pública, mas a agência espera que 75 por cento de seus novos projetos de TI nos próximos cinco anos será tudo nublado, e 40 por cento do legado sistemas serão migrados.
Por esta razão, "como NASA move mais de seus sistemas e dados para a nuvem, é imperativo que a Agência fortalecer suas práticas de gestão de risco para salvaguardar os seus dados enquanto efetivamente gastar seus recursos de TI e governança", a OA escreve.
Os problemas começaram quando os auditores pediu NASA para o número de serviços em nuvem e prestadores de serviços associados que estava usando. Eles descobriram que o Gabinete do Chief Information Officer (OCIO) da NASA "não tinha conhecimento de dois dos oito empresas prestadoras de serviços em nuvem para a NASA", e constatou que apenas três das 15 organizações da NASA acredita que eles precisavam para coordenar com a agência quando trazendo novos projetos de nuvem.
Um outro problema era que de cinco contratos de computação em nuvem analisados durante a investigação, nenhum "chegou perto de cumprir as melhores práticas recomendadas" para segurança e gestão. A OA descobriram que os contratos raramente tinha definido os papéis e responsabilidades para o provedor, nem garantia de qualquer nível de disponibilidade do sistema. Nenhum dos contratos satisfeitos os requisitos de dados de privacidade, nem retenção de dados e políticas de destruição.
O problema mais grave identificado pelos auditores foi de políticas de segurança frouxas dentro NASA.
"Descobrimos que, portal interno e externo da NASA, que inclui mais de 100 sites, estava operando sem a segurança do sistema ou planos de contingência e com uma autorização de exploração, que expirou em 2010", escreveu o OA. "Ainda mais preocupante, um teste de controles de segurança nos serviços de TI prestados pelo Portal NASA nunca tinham sido realizadas para determinar se os controles do sistema foram implementados corretamente, a funcionar como previsto, e produzir os resultados desejados de segurança do sistema e seus dados. "
A equipe fez seis recomendações para a NASA para ajudar a reforçar a sua segurança e modelos de governança para projetos de nuvem, e NASA está no processo de implementação desses, diz o relatório.
Mudanças vão incluir o estabelecimento de um escritório dedicado a gestão do programa de computação em nuvem, certificando-se que as organizações da NASA usar contratos que mitigam riscos e atender FedRAMP (a certificação que garante compradores federais de cumprimento nuvem) normas, acompanhando de perto as migrações de moderado a alto impacto sistemas da NASA para nuvens públicas e certificando-se este está em conformidade com as exigências federais, fazendo todos os CIOs NASA olhar atentamente para FedRAMP e garantir que os contratos existentes possam estar de acordo com ele, exigindo o desenvolvimento da segurança NIST-compliant e planos de contingência com provedores de nuvem e corretores, e , enfim, garantindo que os agentes de segurança revisar toda a documentação de segurança de TI para projetos.
Embora essas mudanças parecer senso comum, o fato de os auditores precisam recomendar que a NASA realizá-las destaca o abismo entre nirvana nuvem ea realidade nuvem. Mesmo uma organização tecnicamente avançado como a NASA pode ter problemas efetivamente colocando nuvens no lugar, provando que a computação em nuvem para o setor público não é ciência de foguetes - é mais difícil. ®
via Alimentar (Feed)
Nenhum comentário:
Postar um comentário