企業(yè)如何理解云計(jì)算的風(fēng)險(xiǎn)？

　　理解云計(jì)算的風(fēng)險(xiǎn)所在是保護(hù)以云計(jì)算為中心的企業(yè)的關(guān)鍵，Ravila Helen White解釋了云計(jì)算風(fēng)險(xiǎn)的三個(gè)必知內(nèi)容。

　　云計(jì)算的高速發(fā)展為試圖重新聚焦關(guān)鍵業(yè)務(wù)目標(biāo)的企業(yè)帶來(lái)了許多利好，例如提高產(chǎn)品上市的速度、增加企業(yè)競(jìng)爭(zhēng)的優(yōu)勢(shì)以及降低資本和/或運(yùn)行的開(kāi)支等等。

　　通常來(lái)說(shuō)，對(duì)諸如軟件即服務(wù)(SaaS)或基礎(chǔ)設(shè)施即服務(wù)(IaaS)的云計(jì)算技術(shù)進(jìn)行投資就能夠降低對(duì)企業(yè)內(nèi)部傳統(tǒng)信息技術(shù)部門的服務(wù)需求。而由企業(yè)業(yè)務(wù)部門管理(例如培訓(xùn)、人力資源、工資和醫(yī)療管理等)的服務(wù)也會(huì)隨著云計(jì)算的應(yīng)用而逐步減少。

　　雖然投資資本與運(yùn)營(yíng)運(yùn)行的成本有所降低，但是由于黑暗網(wǎng)絡(luò)中信息經(jīng)紀(jì)人的興起云計(jì)算的風(fēng)險(xiǎn)也有所增加。這些惡意的組織會(huì)交易和銷售包括個(gè)人身份、金融信息乃至知識(shí)產(chǎn)權(quán)在內(nèi)的所有信息。

　　從傳統(tǒng)意義上來(lái)說(shuō)，只有保存在公司內(nèi)部的信息才是安全的，因此實(shí)施云計(jì)算必然會(huì)加劇信息泄露的風(fēng)險(xiǎn)。此外，那些專門從事信息中介業(yè)務(wù)的人士也讓云計(jì)算供應(yīng)商成為了他們的目標(biāo)，因?yàn)樗麄兎浅Ａ私馑麄兯刂茖殠?kù)的相關(guān)信息。為了管理好云計(jì)算風(fēng)險(xiǎn)，首先了解風(fēng)險(xiǎn)到底是什么將是非常重要的。

　　云計(jì)算風(fēng)險(xiǎn)的來(lái)龍去脈

　　所謂風(fēng)險(xiǎn)，也就是指我們不希望發(fā)生的事件發(fā)生的概率。在信息安全領(lǐng)域，風(fēng)險(xiǎn)就是一個(gè)惡意或非惡意暴露機(jī)密信息事件、或威脅數(shù)據(jù)一致性以及干擾系統(tǒng)和信息可用性事件發(fā)生的概率。任何接入互聯(lián)網(wǎng)的組織都處于風(fēng)險(xiǎn)之中，他們都應(yīng)考慮黑暗網(wǎng)絡(luò)的彈性特性和擴(kuò)展私有云計(jì)算和公共云計(jì)算網(wǎng)絡(luò)的能力。數(shù)據(jù)交換有合法的和非法的，而一家企業(yè)的互聯(lián)網(wǎng)接入就為合法的數(shù)據(jù)交換(例如電子郵件、VPN以及FTP等)以及諸如惡意軟件、信息收集和竊聽(tīng)等敵對(duì)性的數(shù)據(jù)交換提供了的信息傳輸回路。

　　敵對(duì)數(shù)據(jù)交換并不是一家組織或者甚至個(gè)人所希望進(jìn)行的數(shù)據(jù)交換。通常情況下，其結(jié)果就是等待恢復(fù)的停機(jī)時(shí)間、收入損失、數(shù)據(jù)丟失、影響人力資本以及相關(guān)名譽(yù)受損。如果某個(gè)組織是一個(gè)受管制行業(yè)中的一員，那么這個(gè)組織就有可能由于發(fā)生敵對(duì)事件的原因而受到處罰。即便企業(yè)沒(méi)有受到相關(guān)處罰，但是他們也無(wú)法承受因發(fā)生安全事件丑聞而造成客戶流失和商業(yè)合作伙伴失去信心這樣的嚴(yán)重后果。

　　一直以來(lái)，云計(jì)算所倡導(dǎo)的就是：我們可以做得更好，更便宜。你來(lái)關(guān)注你的核心業(yè)務(wù)問(wèn)題，而我們來(lái)更具成本效益地管理你的技術(shù)并保護(hù)你的數(shù)據(jù)。雖然這有可能是真的，但是云計(jì)算供應(yīng)商也與其他企業(yè)面臨著相同的挑戰(zhàn)。鑒于其特殊的業(yè)務(wù)模式，云計(jì)算供應(yīng)商可能比一家典型企業(yè)面臨著更多的挑戰(zhàn)。例如，云計(jì)算供應(yīng)商可能會(huì)迎合一個(gè)利基行業(yè)，如信用卡業(yè)。如果大家都知道這家云計(jì)算供應(yīng)商掌握了所有客戶持有的信用卡信息，那么它也就會(huì)成為黑暗信息經(jīng)紀(jì)人的目標(biāo)。信息經(jīng)紀(jì)人會(huì)兜售客戶身份或信用卡或者制造偽造的信用卡，而一個(gè)成功的黑客可能會(huì)從中受益。

　　云計(jì)算供應(yīng)商的風(fēng)險(xiǎn)還存在于使用云計(jì)算服務(wù)的客戶中。無(wú)論客戶的物理、邏輯和虛擬隔離和細(xì)分的量有多少，云計(jì)算基礎(chǔ)設(shè)施都共享了共同的能源、硬件、應(yīng)用程序以及網(wǎng)絡(luò)資源。當(dāng)云計(jì)算服務(wù)供應(yīng)商提供SaaS服務(wù)時(shí)，它會(huì)信任企業(yè)用戶并讓用戶自己確保其用戶ID和密碼的安全性。與之類似，用于訪問(wèn)SaaS的計(jì)算資源也必須是安全的。如果企業(yè)用戶遭到入侵，諸如用戶ID和密碼等信息被泄露，那么一個(gè)經(jīng)驗(yàn)豐富的信息收集者就有可能會(huì)憑此訪問(wèn)SaaS應(yīng)用程序并確定訪問(wèn)其他客戶數(shù)據(jù)的方法。頃刻之間，其它企業(yè)用戶的云計(jì)算環(huán)境的保密性、完整性以及可用性都岌岌可危了。

　　最后的風(fēng)險(xiǎn)就存在于云計(jì)算供應(yīng)商及其技術(shù)專業(yè)的水平了。供應(yīng)商們必須接受風(fēng)險(xiǎn)轉(zhuǎn)移，并理解和遵守相關(guān)規(guī)定。他們也面臨著與其他所有企業(yè)相同的挑戰(zhàn)，其中尤其是吸引和留住人才。當(dāng)人力資本不再是云計(jì)算供應(yīng)商成功吸引和留住人才的主要因素時(shí)，整個(gè)云計(jì)算環(huán)境就有可能由于一個(gè)蟻穴而崩潰。缺乏可擴(kuò)展性、無(wú)法提供豐富的功能集或者無(wú)法提供足夠的安全性和私密性保障都會(huì)影響云計(jì)算供應(yīng)商吸引和留住客戶的能力。

　　風(fēng)險(xiǎn)轉(zhuǎn)移是云計(jì)算的一個(gè)組成部分，因?yàn)楣?yīng)商必須以合同協(xié)議的形式承諾提供一定的服務(wù)水平。該服務(wù)的一部分涉及到確保信息資產(chǎn)的安全性。如果由于云計(jì)算供應(yīng)商未能對(duì)行業(yè)最佳實(shí)踐和法規(guī)開(kāi)展盡職的調(diào)查而發(fā)生相關(guān)惡性事件，那么它就應(yīng)負(fù)責(zé)通知受事件影響的相關(guān)人員并展開(kāi)訴訟行動(dòng)。一家云計(jì)算供應(yīng)商必須做好準(zhǔn)備通過(guò)審核和認(rèn)證，以確認(rèn)其云計(jì)算基礎(chǔ)設(shè)施將仍然保持可用性和安全性。它還必須為響應(yīng)安全事件而做好準(zhǔn)備。即便他們的初衷是良好的，但是諸如零日漏洞攻擊這樣的事件還是會(huì)發(fā)生，并滲透到最佳安全架構(gòu)中。

　　同樣，了解必要的法規(guī)也是非常重要的。出于隱私性方面的考慮，金融誠(chéng)信和國(guó)家安全組織通常至少必須遵守一項(xiàng)規(guī)定。大多數(shù)的組織都會(huì)有多個(gè)規(guī)定需要遵守。以下，讓我們來(lái)看看一個(gè)管理信用卡數(shù)據(jù)的全國(guó)性組織的例子。這家組織必須遵守聯(lián)邦政府的要求以及那些可能比聯(lián)邦法律更為嚴(yán)格的特定地區(qū)法規(guī)。而全球性組織則還需增加一層復(fù)雜性，即他們必須遵守美國(guó)的法規(guī)以及他們開(kāi)展業(yè)務(wù)的所在國(guó)家的國(guó)際性法規(guī)。云計(jì)算供應(yīng)商們必須在理解法規(guī)以及如何遵守法規(guī)方面有大的投入，因?yàn)樗麄兊倪`規(guī)也意味著企業(yè)用戶的違規(guī)，而他們有為他們的客戶和法規(guī)提供合規(guī)性保障的最終責(zé)任。

　　風(fēng)險(xiǎn)的三項(xiàng)內(nèi)容

　　業(yè)務(wù)專家理解和接受與云計(jì)算客戶和云計(jì)算供應(yīng)商相關(guān)的風(fēng)險(xiǎn)。無(wú)論你擔(dān)任了什么樣的角色，要管理什么樣不想要發(fā)生的潛在事件，都必須實(shí)施風(fēng)險(xiǎn)管理。在云計(jì)算關(guān)系的特定情況下，雙方的風(fēng)險(xiǎn)管理工作都是必要的，其中企業(yè)用戶和云計(jì)算供應(yīng)商都必須擁有成熟的風(fēng)險(xiǎn)管理計(jì)劃。成熟度是通過(guò)一個(gè)有管理、有周期性報(bào)告以及維持低風(fēng)險(xiǎn)狀態(tài)定量證據(jù)的計(jì)劃來(lái)證明的。

　　而風(fēng)險(xiǎn)管理則是通過(guò)三個(gè)內(nèi)容來(lái)實(shí)現(xiàn)的：風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估以及風(fēng)險(xiǎn)控制。

　　·風(fēng)險(xiǎn)識(shí)別——企業(yè)用戶必須明確通過(guò)云計(jì)算投資引入的各種風(fēng)險(xiǎn)。這就能夠讓企業(yè)確保在云計(jì)算服務(wù)采購(gòu)過(guò)程中務(wù)必執(zhí)行必要的業(yè)務(wù)控制措施。此外，還應(yīng)創(chuàng)建和/或更新合適的過(guò)程以支持由于云計(jì)算相關(guān)停用而造成的中斷事件。

　　云計(jì)算供應(yīng)商必須識(shí)別風(fēng)險(xiǎn)以確定它最好能夠提供哪些云計(jì)算服務(wù)。一些供應(yīng)商可能會(huì)確定他們更喜歡服務(wù)某個(gè)特定的行業(yè)，因此而成為一個(gè)利基供應(yīng)商，從而減少監(jiān)管環(huán)境。為各種行業(yè)的用戶提供云計(jì)算服務(wù)所帶來(lái)的風(fēng)險(xiǎn)可能會(huì)過(guò)高。

　　·風(fēng)險(xiǎn)評(píng)估——一家企業(yè)用戶必須了解它的哪些資產(chǎn)價(jià)值過(guò)高而不能冒把它們外包給第三方服務(wù)供應(yīng)商的風(fēng)險(xiǎn)。相反，當(dāng)?shù)谌焦?yīng)商的專業(yè)人士能夠管理和保護(hù)好數(shù)據(jù)時(shí)，此舉可有助于企業(yè)用戶認(rèn)識(shí)到第三方供應(yīng)商能夠提供更好的服務(wù)并保護(hù)目標(biāo)的豐富資產(chǎn)。

　　·風(fēng)險(xiǎn)控制——一旦風(fēng)險(xiǎn)已通過(guò)識(shí)別、評(píng)估并進(jìn)行了量化，我們就可以選擇合適的控制措施以便于進(jìn)行風(fēng)險(xiǎn)控制。在云計(jì)算模式中，這是一個(gè)需要云計(jì)算客戶和供應(yīng)商共同分擔(dān)的責(zé)任，因此他們雙方應(yīng)具有互補(bǔ)的風(fēng)險(xiǎn)管理程序。為云計(jì)算供應(yīng)商的應(yīng)用程序控制設(shè)定期望是云計(jì)算用戶的責(zé)任。而作為云計(jì)算供應(yīng)商，他們應(yīng)當(dāng)根據(jù)用戶的期望來(lái)確?？刂拼胧┑膶?shí)施與維護(hù)，并為服務(wù)等級(jí)協(xié)議和合規(guī)性需求控制提供認(rèn)證。

　　對(duì)于一些人來(lái)說(shuō)，云計(jì)算是有風(fēng)險(xiǎn)的，因?yàn)樗麄冋J(rèn)為企業(yè)用戶需要把企業(yè)的資產(chǎn)托付給第三方進(jìn)行照顧、維護(hù)以及保護(hù)。但是，鑒于云計(jì)算技術(shù)在諸如醫(yī)療保健、電子商務(wù)以及政府管理等領(lǐng)域已得到的高度認(rèn)可，大家都希望它能夠繼續(xù)保持作為一個(gè)降低成本和簡(jiǎn)化業(yè)務(wù)運(yùn)行的外包技術(shù)的特色。使用云計(jì)算的第一步就是要了解其風(fēng)險(xiǎn)以及應(yīng)如何進(jìn)行風(fēng)險(xiǎn)管理。

（轉(zhuǎn)載）