孫杰賢

“撥開迷霧入云端”這是安永第十四屆全球信息安全調(diào)查報告的主題。作為全球歷史最悠久、認可度最高的信息安全調(diào)查，安永的每一次報告發(fā)布都備受關(guān)注。

安全是個永恒的話題，而當(dāng)越來越多的企業(yè)將公司的運營建立在信息化之上，安全也因此變得史無前例得重要。試想，如果企業(yè)未能做好信息安全工作，那么他們的客戶如何能信任其提供的信息甚至其所有業(yè)務(wù)呢？

安永全球信息科技風(fēng)險咨詢服務(wù)主管合伙人Paul van Kessel表示，當(dāng)前的全球商業(yè)環(huán)境發(fā)生了前所未有的變化，出現(xiàn)了諸多基于新技術(shù)的新商業(yè)模式?！拔覀兛吹皆絹碓蕉嗟膫鹘y(tǒng)和非傳統(tǒng)企業(yè)將信息，甚至將全部業(yè)務(wù)模式移人‘云中。然而，以云計算為代表的新技術(shù)、新應(yīng)用以及新業(yè)務(wù)模式的出現(xiàn)也帶來了新的風(fēng)險。因此，今年的調(diào)查報告應(yīng)該為那些尚未認識和解決相關(guān)風(fēng)險的企業(yè)敲響一記警鐘，云計算安全是我們關(guān)注的重點”。

安全新挑戰(zhàn)

的確，從來沒有哪種IT技術(shù)能像云計算這樣受關(guān)注，受青睞。由于對人力、物力和財力的解放，無論公有云還是私有云都是企業(yè)c10研究和追逐的一個重點。云計算不但顛覆了IT的交付模式，也影響到了企業(yè)的整體戰(zhàn)略規(guī)劃。傳統(tǒng)的IT模式要求我們建立龐大的基礎(chǔ)設(shè)施和復(fù)雜的應(yīng)用程序架構(gòu)，這僅僅是為了運行我們最基本的業(yè)務(wù)流程。云計算造就了新一代的企業(yè)用戶：成熟消費者可以像用菜單點菜一樣便捷地選擇所需要的消費服務(wù)或服務(wù)組合。由于企業(yè)認識到走入云端的益處，加之對云計算商業(yè)模式的信心持續(xù)增強，他們將把更多的重要職能，甚至整個IT基礎(chǔ)設(shè)施和應(yīng)用平臺移入云中，從而徹底改變其商業(yè)模式和IT職能。這樣，企業(yè)將有可能大幅減少，甚至消除IT業(yè)務(wù)。

根據(jù)安永的調(diào)查，61%的受訪者目前正在使用、評估或計劃在未來一年內(nèi)使用云計算服務(wù)。是的，越來越多的企業(yè)正在進入一個以云計算為代表的新技術(shù)所營造的這個充滿誘惑與挑戰(zhàn)的虛擬世界，而且可以肯定的是后續(xù)跟進的企業(yè)將會更多。但有一點企業(yè)必須意識到，在這個新的虛擬世界中，信息安全模式已經(jīng)發(fā)生了顯著的變化，對許多企業(yè)來說，是否能提供適當(dāng)?shù)男畔踩拖瘾@得“經(jīng)營許可證”一樣重要。

信息安全是企業(yè)成功走入云計算的一個關(guān)鍵組成部分和重要的促成因素。令人倍受欣慰的是，根據(jù)安永的調(diào)查，59%的受訪者計劃在未來12個月內(nèi)增加其信息安全預(yù)算。但種種跡象顯示，預(yù)算資金可能并未得到合理的支出，因為僅有51%的受訪者表示其企業(yè)已制訂了信息安全策略。

安永信息科技風(fēng)險咨詢服務(wù)總監(jiān)林育民認為，數(shù)字化和信息化的趨勢所帶來的挑戰(zhàn)需要企業(yè)制定縝密的策略和采取穩(wěn)妥的應(yīng)對措施。他說：“臨時的解決方案可能在過去還能發(fā)揮作用，但在未來不具有可持續(xù)性。因此，重要的是要認識到：如果未能抓住工作重點，單純增加投資并不能為安全保護提供任何保證。企業(yè)必須采取務(wù)實、積極的措施而不是被動地應(yīng)對。董事會應(yīng)更多地探討信息安全問題，制定明確的戰(zhàn)略以支持云計算服務(wù)及其他業(yè)務(wù)。只有信息安全成為服務(wù)和產(chǎn)品提供的不可或缺的部分，并納入管理層的日?？紤]事項，它才會被視為提升企業(yè)績效的一個戰(zhàn)略因子?！?/p>

避免盲目風(fēng)險

盡管云計算的應(yīng)用極其富有吸引力，但許多企業(yè)仍不清楚云計算的意義，因此林育民指出，企業(yè)首先需要加強對云計算的影響和風(fēng)險的認知。在安永關(guān)注的16個信息安全領(lǐng)域中，受訪者表示云計算是未來12個月的首要投資重點，在最有可能獲得更多投資的類別中，云計算排在第二位。為了獲取高配置、能快速部署并由外部管理的應(yīng)用程序，企業(yè)的通常做法是對云計算的收益和風(fēng)險進行權(quán)衡，并最終會選擇一個折中的方案，這是一種冒險的做法，因為這樣做會讓審計與合規(guī)等監(jiān)管機構(gòu)認為企業(yè)缺乏專業(yè)知識和經(jīng)驗，從而將這些折中方案視為危險舉措。同時，企業(yè)對第三方云服務(wù)的偏好加大了其對對方的依賴，同時令自己淡化了對核心業(yè)務(wù)應(yīng)用程序內(nèi)部運行的考慮。另外，由于企業(yè)與其第三方云服務(wù)提供商的合作愈發(fā)緊密，因而他們還面臨合規(guī)風(fēng)險、合約風(fēng)險、法律風(fēng)險以及整合風(fēng)險。

“企業(yè)應(yīng)該知道，進入云計算不僅是一個變革計劃，而是業(yè)務(wù)流程包括與其相關(guān)風(fēng)險在內(nèi)的一次徹底變革。”林育民說，“因此企業(yè)在選擇第三方云服務(wù)提供商時需要對他們的有足夠的了解，不僅僅是產(chǎn)品?！倍鄶?shù)使用云計算的企業(yè)目前正在使用SaaS服務(wù)，但是他們所購買的SaaS可能來自于正在使用PaaS能力的云服務(wù)提供商，而這種PaaS能力則來自于提供IaaS服務(wù)的云服務(wù)提供商。這類似于汽車制造商將發(fā)動機生產(chǎn)外包給一家公司，而這家公司又將鋼鐵鑄造外包給另外一家供應(yīng)商。各供應(yīng)商之間的界限相當(dāng)模糊，而在數(shù)據(jù)能夠在供應(yīng)商之間自由流動的世界里，信任就變成了一種寶貴的商品。因此，企業(yè)必須要與云服務(wù)提供商建立信任關(guān)系，以打消對能否信任和依賴其管理業(yè)務(wù)和數(shù)據(jù)流程的疑慮。

另外，隨著云計算不斷發(fā)展，服務(wù)供應(yīng)商也越來越有能力提供高價值、方便使用的解決方案，但企業(yè)仍面臨將外部云計算融入其企業(yè)營運的種種問題。這也導(dǎo)致對控制方案不確定的企業(yè)僅選擇和實施了一部分可用的控制措施，有的企業(yè)甚至未實施任何控制措施。最常見的措施就是加大力度監(jiān)管與云服務(wù)供應(yīng)商的合約管理流程，但這可能存在一定的盲目性。

建立信任關(guān)系

在缺乏明確指導(dǎo)的情況下，許多企業(yè)容易做出不明智的決策，要么未適當(dāng)考慮相關(guān)風(fēng)險就過早地進入云，要么完全不考慮云服務(wù)。如何建立企業(yè)與第三方云服務(wù)提供商之間信任的關(guān)系呢？幾乎所有人都贊成外部認證，“選擇認證比信任更重要”。事實上，有關(guān)云認證的指導(dǎo)近期已取得了很大的進展。許多企業(yè)開始制訂管理流程，這些流程基于類似在金融服務(wù)行業(yè)使用的服務(wù)認證和審核框架。另外，在建立一致的信任模式方面已經(jīng)取得了較大的進展（例如：云安全聯(lián)盟），許多企業(yè)會發(fā)現(xiàn)與可信任聯(lián)盟中的供應(yīng)商合作會更加安心。當(dāng)然，云服務(wù)行業(yè)自身需要進一步發(fā)展。目前，對可擴展性、按客戶情況“量體裁衣”和低成本的要求是推動企業(yè)使用云服務(wù)的因素。但是，由于確實存在風(fēng)險，因此是否使用云服務(wù)應(yīng)該在考慮其帶來的優(yōu)勢的情況下進行權(quán)衡。

隨著云行業(yè)的發(fā)展，信任能力亦必須發(fā)展，這將通過制定受監(jiān)管的信任標(biāo)準(zhǔn)來實現(xiàn)。目前，許多聯(lián)盟在努力實現(xiàn)這一目標(biāo)，包括企業(yè)層面和國家層面。企業(yè)必須繼續(xù)遵循這些企業(yè)制訂的指導(dǎo)，與行業(yè)實踐保持一致，鼓勵在服務(wù)供應(yīng)商中實施標(biāo)準(zhǔn)化規(guī)范。依賴外部企業(yè)不足以徹底解決所有與云計算相關(guān)的風(fēng)險。這些風(fēng)險可能意味著企業(yè)運營方式將發(fā)生重大變化，因此必須由正規(guī)的企業(yè)和IT風(fēng)險管理程序來管理。

對于企業(yè)自身而言，需要調(diào)整企業(yè)信息安全策略，制訂業(yè)務(wù)連續(xù)性計劃，選擇在系統(tǒng)恢復(fù)方面可提供透明服務(wù)的供應(yīng)商，而在簽訂云服務(wù)協(xié)議之前要了解風(fēng)險責(zé)任人，當(dāng)然不能忘了繼續(xù)使用曾對其他技術(shù)發(fā)揮有效作用的、規(guī)范的安全流程和技術(shù)。