在評估雲端運算時,對於資訊安全的影響是很重要的一個因素。事實上,根據 ISACA 最近公布的一份問卷調查顯示,有高達 45% 的受訪者表示他們認為導入雲端運算所產生的風險是高於所帶來的效益,顯見現今雲端運算的導入對於資訊安全的潛在威脅是很大的。對照另一份由 Ponemon Institute LLC 與 Symantec 所共同發表的研究報告顯示,有高達七成的組織在使用雲端運算前並沒有對廠商進行相關的安全評估。在這些進行評估的組織中,有 65% 採用口頭的方式加以評估,其他評估方式依序是 合約規範 (26%)、檢查表或問卷 (25%)、安全相關的規範 (23%)、內部安全團隊 (18%)、第三方的安全專家或稽核員 (6%)。兩份報告的結論,或許可以看作是因果關係。因為 IT/IS 部門在導入雲端運算時並沒有參與其中的安全評估作業,所以對於其潛在風險自然較為擔憂。另外一方面,這也可以看出現今組織對於雲端運算所產生的安全威脅在認知與作為上仍是相當不足。當然另外一個有可能的原因是組織在面對雲端運算的決策時顯得太過於急躁了。雲端運算來勢洶洶,但是組織在面對這樣的技術與運用時,卻不能被沖昏了頭,以免未受其利而先受其害。研究報告的標題是 Flying Blind in the Cloud,講的正是這種貿然而進的風險,或許一開始馳騁的快感很吸引人,但是一旦出事後其後果可是很嚴重的。
在 Phnemon Institute LLC 與 Symantec 的報告中,其他重要的發現包含:
- CRM 與 webmail 是使用最廣泛的應用服務。
- Java/PHP/Python 等開發平台是使用最廣泛的平台服務。
- 儲存是最常用的基礎服務。
- 僅有少數的組織會針對儲存於雲端的重要資料進行主動式的保護措施。
- 組織在採用雲端技術時往往會忽略一般常用的檢查程序。
- 企業主往往在 IT/IS 部門對於安全風險沒有足夠掌握的情況下進行決策。
- 僅有不到 20% 的組織在決策過程中會有 IT/IS 的團隊成員參與,而且這些參與的成員對於評估項目的掌握程度大多是不足的。
- 大多數的企業內部對於由誰負責評估雲端技術的供應商存在很大的意見分歧。
原始報告可以在這裡下載。
相關連結:
沒有留言:
張貼留言