Hulp gevraagd voor cloud contracten (USA)

Het zal de lezer zijn opgevallen dat cloud nog niet overal wordt ingezet. Dat komt onder andere omdat in de optiek van de beoogde afnemer de diensten en het aanbod niet duidelijk genoeg zijn. ISP Today heeft daar al vaker op gewezen en nu doen we dat nog eens. We wijzen daarvoor nu naar FedRAMP aan de overkant van de grote plas.

GSA vraagt om hulp

Wie wel eens een bijeenkomst van CSA heeft bijgewoond of een ander Amerikaans georiënteerde club heeft het begrip FedRAMP voorbij zien komen. Het is de afkorting voor Federal Risk and Authorization Management Program. Daarachter gaat een verplicht programma schuil dat iedere federale Amerikaanse overheidsdienst sinds 2010 moet doorlopen bij de aankoop en het gebruik van cloud diensten. Zo moet voorkomen worden dat overheden onveilige cloud diensten afnemen. De regels waar FedRAMP zich op baseert zijn gebaseerd op NIST, dus het is allemaal geen lichte kost.

Cloud adoptie door Amerikaanse overheden lijkt, zo maken we uit recente berichtgeving op, niet altijd een makkelijk proces te zijn. Een van de redenen daarvoor heeft te maken met de contracten. Net als bij een gewone cloud klant is de overheid moeilijk in staat zin eisen aan AWS, Azure en co op te leggen en dat is men niet gewend.

Gapend gat

Maar er lijkt nog iets aan de hand te zijn. GSA (de Amerikaanse tegenhanger van het Rijks Inkoopbureau) heeft eerder deze maand een RFI doen uitgaan en dat betreft een bijzonder onderwerp: het gapende gat tussen de eisen die FedRAMP moet stellen en de manier waarop cloud aanbieders inhoudelijk reageren. Uit de toelichting en wat publicaties van derden over deze RFI wordt duidelijk dat de overheid oploopt tegen een muur van ondoorgrondelijk taalgebruik en met de FedRAMP vereisten in de hand constateert dat dat geen zuivere koffie zal zijn. Daardoor loopt de cloud first strategie van de overheid, met forse bezuinigingsdoelstellingen, gevaar.

Er is sprake van “bijzonder uitgesproken discrepanties” op het vlak van deployment, portabiliteit, interoperabiliteit, data ownership, SLA’s en nog wat zaken. Dat is niet gering. De RFI en het daarvoor gehanteerde responsformulier (op Github!) moet helpen te komen tot taalgebruik dat door beide partijen wordt gebruikt en gehanteerd.

Dat er na zoveel jaren Cloud First nog steeds sprake is van Babylonische spraakverwarring tussen vraag en aanbod is best sneu. Of een RFI daar verandering in kan brengen lijkt dubieus. Zolang er geen betere oplossing is zal dus ook in de USA niet iedereen naar de cloud overstappen.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.