Lühidalt: Traditsioonilised GRC-auditid kontrollitakse sageli loo peenem versioon tegeliku tegevuse asemel – probleem, mida FedRAMP 2.0x tahab lahendada automatiseeritud pideva valideerimisega.
Nõuetele vastavuse raamistikud, nagu SOC 2 ja ISO 27001, esindavad sageli ainult kurateeritud hetktõiget, mitte tegeliku tegevuse reaalsust. FedRAMP 2.0x eesmärk on kasutusele võtta automatiseeritud, masinloetavad tõendid ja pidev valideerimine dokumentatsiooniraske auditi teatri asemel.
Peamine probleem peitub fundamentaalses ajalises lahknevuses: nõuetele vastavuse raamistikud koostati maailmale, kus pilveinfrastruktuur oli vähem dünaamiline, API-d ei olnud igal pool levinud ja pidev telemeeetria suurel skaalal oli tehniliselt ebarealistlik. Proovivõtmine auditites oli vajadus, mitte valik. Kuid tehnoloogia on radikaalelt muutunud – tehisintellekti süsteemid arenev kuus kuud, samas kui regulatsioon räägib endiselt aastates. Kehtestatud tagamise protsessid pole seda muutust järginud.
Peamine kriitika: paljud nõuetele vastavuse programmid põhinevad ekraanitõmmistel, eksporditud tõenditel, käsitsi koostatud narratiividel ja hoolikalt lavastatud esitustel. Tulemuseks on see, et auditid kontrollivad sageli mitte tegeliku tegevuse reaalsust, vaid kurateeritud ajaloolist versiooni. Ettevõte võib auditi läbida, samas kui arendajad reede õhtul protsesse ümber lähevad tähtaegade täitmiseks. Kontrollid võivad märkamatuks jäädes nihkuda, samas kui audit-tõendid eksisteerivad ainult spetsiifilise auditi-akna jaoks. Audit läbitakse, sest loo lugu sobib – mitte sellepärast, et turvalisus oleks tugev.
FedRAMP 2.0x käsitleb just seda probleemi kolme nihkumise kaudu: dokumentatsioonirikatest harjutustest ära automatiseerimisele, käsitsi tõendi kogumisest ära masinloetavatele andmetele ja punkti-ajas-reviews’idest ära pideva valideerimiseni. See peegeldab teadlikku rahulolematust tööstuses – liikumine, mida formuleeritakse kui „GRC Engineering”, ei otsi trenditeadlikkust, vaid rahulolematust kehtestatud protsesside kunstlikkusega.