云计算改变了企业利用IT资源的方式,同时,基础设施和应用程序的外部化也给企业增加了风险。
这种风险增加也是很多行业没有部署云解决方案的主要原因,因此,企业在转移IT解决方案到云计算的同时,也应该考虑所涉及的风险。
让我们回顾一下云计算的主要优势:
● 规模经济: 对于运行传统IT和IT外包的基础设施,创建和维护费都非常昂贵。相比之下,云计算非常具有成本效益,因为云计算不需要投资资金来建设基础设施,或者组建内部IT安全专家团队。此外,企业只需要为其使用的存储容量付费,这意味着企业可以根据需要调整存储容量,而不需要花费大量开支。企业最终节省了时间,并节约了关键资源,这使得IT可以转变为专注于更具创新性举措的战略团队。
● 敏捷性: 实际上,大多数首席信息官部署云解决方案是因为,这些解决方案可以快速启动和运行,而不是因为它们更便宜。更快地实现商业效益,同时降低内部IT项目管理、采购、集成和变更管理的成本,也是关键驱动力。而且企业不需要担心持续的运营、更新和修复,因为这些都是由云计算供应商处理。
● 灵活性: 云计算为一些领域的创新铺平了道路,并且可以迅速适应业务的变化。例如,在线零售商可以利用云服务有效地部署基于web的在线采购应用程序。企业可以让其员工和关键利益相关者通过云端访问企业资源,无论员工处于什么位置或者使用什么设备,这可以提高生产效率。云计算还可以支持大数据,随着很多企业转移越来越多的业务应用到云端。
了解风险因素
IT经理最怕的事情就是失去控制—“基础设施不再受我控制,而是由其他人来负责,如果它们出现故障的话,会发生什么事?”我们可以从基础设施、软件功能和数据的角度来看风险。
● 数据安全: 云计算供应商对安全元素的确定性和可视性使用含糊的说法,这是造成企业担忧的很大一个原因。由于企业数据位于企业外部,同时数据移动来移动去,数据遭受盗窃和攻击的风险显而易见会提高。
● 服务可靠性: 互联网连接中断,以及云供应商可能遭遇宕机,都让企业开始考虑云服务可靠性和网络依赖的问题。
● 软件管理: 如果没有对软件的控制权,对软件进行调整或升级或修复漏洞都会变得非常复杂。
有些企业正在犹豫是否将自己的业务信息和应用转移到云服务提供商,他们没有意识到外部云服务提供商实际上可以比内部IT团队更好地管理哲学风险。毕竟,云服务提供商通过与多个客户合作,已经开发了最佳做法,并且,他们有更大的动力来避免数据泄露事故的发生,因为事故带来的声誉损失对于他们来说要高得多。同时,云服务提供商有更少的单点故障,因为服务供应商部署了更多的冗余资源。
建议
在辩论是否转移到云计算的时候,企业必须仔细考虑风险问题,考虑云计算如何能够加强他们的业务价值,以及实现他们的IT目标,而不会让其面临风险。下面是我们的一些建议:
● IT管理部门需要意识到云服务提供商是其内部IT部门的延伸。所有这些风险也作用于云服务提供商。关键的区别是,对于内部部门,他们可以更容易地验证、执行和管理控制来管理风险。
● 选择云服务提供商时,应该选择能够证明其部署的控制的供应商。这些控制包括SSAE审计、数据、可访问性、数据中心安全控制以及数据加密等。
● 选择私有云或者虚拟私有云,在这些环节中,系统是虚拟地分开的,它们位于公共云内的加密环境中。
● 分析哪些传统应用程序适合云环境。
● 要求供应商提供一个明确的灾难恢复计划。内部恢复策略也将有助于帮助企业快速移动到备用的IT服务模式。
● 保持定期对关键云计算资产的备份,并通过强大的加密技术来保护数据。
● 要求云服务提供商提供定期的安全事件警报,并要求他们标记特定的任务关键性资产。
● 要求服务提供商提供独立的审计报告以获取更大的透明度,并检查云服务提供商的行业认证,例如ISO 27001和27002、ISO 31000以及支付卡行业数据安全标准(PCI DSS)合规认证。
● 增加额外的安全措施到云中,例如单点登录访问到多个云应用,以及利用安全框架,例如ITIL或者ITSM。
通过加强IT管理过程和建立可靠的控制,企业可以从云解决方案中获得真正的竞争优势。企业在作出任何决策时,都应该分析控制权以及风险,这能够帮助企业迅速地将最好地功能运用到业务中。在权衡风险/回报时,首席信息官和关键IT决策者应该从控制分析的角度来考虑核心问题,而不是从风险分析的角度。