Memenuhi persyaratan pengadaan yang tercantum dalam pedoman Kantor Manajemen dan Anggaran tahun 2019 tentang strategi cloud telah menjadi tantangan tersendiri bagi lembaga-lembaga federal, demikian temuan laporan pengawas kongres yang baru.
Pada bulan Juli ini, seluruh 24 lembaga Chief Financial Officer Act telah menyelesaikan persyaratan OMB Strategi Cloud Cerdas untuk memastikan bahwa CIO mengawasi upaya modernisasi, menurut Kantor Akuntabilitas Pemerintah. Dan semua kecuali satu lembaga – Small Business Administration (Administrasi Bisnis Kecil) – memenuhi mandat OMB untuk “secara berulang-ulang meningkatkan kebijakan dan panduan lembaga tersebut.”
Namun masih banyak pekerjaan yang harus dilakukan pada tiga detail OMB yang tersisa, yaitu GAO mengatakan dalam audit kinerja Juni 2022-September 2024diminta oleh Rep. Gerry Connolly, D-Va., anggota pemeringkat Subkomite Pengawasan dan Akuntabilitas DPR untuk Keamanan Siber, Teknologi Informasi, dan Inovasi Pemerintah.
Hanya enam lembaga – NASA dan departemen Pertanian, Pertahanan, Kesehatan dan Layanan Kemanusiaan, Dalam Negeri dan Negara Bagian – yang telah sepenuhnya menyelesaikan persyaratan untuk mengadakan perjanjian tingkat layanan cloud. Memiliki aliansi dengan vendor cloud tersebut bertujuan untuk memastikan bahwa lembaga “diberikan kesadaran berkelanjutan akan kerahasiaan, integritas, dan ketersediaan informasi mereka,” menurut OMB, selain menggambarkan peran dan tanggung jawab terperinci dengan penyedia cloud dan menetapkan standar kinerja.
Instansi yang telah melengkapi beberapa persyaratan adalah Departemen Pendidikan, Keamanan Dalam Negeri, Kehakiman dan Urusan Veteran, USAID, Badan Perlindungan Lingkungan, Administrasi Pelayanan Umum, Yayasan Sains Nasional, Kantor Manajemen Personalia dan Administrasi Jaminan Sosial.
Bagi lembaga yang tidak memenuhi persyaratan tersebut, beberapa lembaga memiliki dokumentasi yang tidak lengkap atau tidak relevan, sementara lembaga lainnya mengatakan bahwa mereka sedang berupaya mengubah perjanjian cloud mereka.
Lembaga-lembaga tersebut kurang beruntung dalam memenuhi persyaratan OMB untuk menstandardisasi perjanjian layanan kontrak cloud, dengan sembilan lembaga yang sepenuhnya melaksanakan tugas tersebut: Pertahanan, Pendidikan, HHS, Dalam Negeri, DOJ, Negara Bagian, NASA, OPM, dan SSA. EPA dan Kementerian Perhubungan telah memenuhi sebagian kewajiban tersebut, sementara 13 lainnya belum memenuhi persyaratan sama sekali.
“Pejabat di salah satu lembaga melaporkan bahwa mereka memilih untuk tidak mengembangkan pedoman SLA standar,” kata GAO. “Secara khusus, pejabat di Kantor CIO GSA melaporkan bahwa lembaga tersebut mengandalkan panduan terkait penyelarasan dengan FedRAMP daripada membuat panduan terpisah untuk menstandardisasi klausul SLA. Para pejabat mengatakan hal ini karena kantor CIO bermaksud agar lembaga tersebut menggunakan SLA standar dari penyedia cloud resmi FedRAMP untuk memenuhi persyaratan keamanan.”
Mandat terakhir OMB – untuk memastikan visibilitas berkelanjutan terhadap kontrak aset bernilai tinggi – telah diadopsi sepenuhnya oleh 11 lembaga: departemen Perdagangan, Pertahanan, Pendidikan, Dalam Negeri, Negara Bagian, HHS dan DHS, serta NASA, OPM, SSA dan Administrasi Bisnis Kecil, sementara NSF dan Departemen Pertanian telah mencapai beberapa tujuan. Persyaratan tersebut, kata GAO, dimaksudkan untuk melindungi “sistem yang memproses informasi bernilai tinggi atau menjalankan fungsi penting dalam menjaga keamanan perusahaan publik.”
Badan pengawas tersebut menyampaikan proposal kepada Dewan CIO — untuk mengumpulkan dan mendistribusikan contoh panduan tentang perjanjian tingkat layanan cloud dan bahasa kontrak — dan 46 hingga 18 lembaga lain yang terikat oleh persyaratan OMB. Menurut GAO, 14 lembaga setuju dengan semua rekomendasi, Dewan CIO dan tiga lainnya tidak setuju atau tidak setuju, dan Departemen Pendidikan tidak setuju dengan rekomendasi tersebut.
