企业IT治理中的云计算风险管理

云计算为企业带来很多无法抵抗的诱惑，特别是在近几年经济环境不好的环境下，企业仍旧要求IT为业务带来变革，云计算似乎是一个很好的选择，不但是新技术，最重要的是一种节省成本的替代方案。谷歌、微软、IBM以及其他所有已知和不知名的云服务提供商都提供了成本节约方案。但就像所有看起来好得令人难以置信的东西一样，云计算也带来了一系列的风险。企业在IT治理中如考虑云计算方案，应该把风险管理作为重要的考虑点。


尽管一些企业已经成功地将部分或全部的信息数据转移到某种形式的云计算基础设施中，但绝大多数企业的云计算道路才刚刚开始。因此对于企业来说，尽早地拥有云计算策略十分重要。在企业IT治理策略中，企业应着重考虑怎样安全地将企业IT基础架构转移到云计算，企业应该在多大程度上将信息数据转移到云上并利用其优势，


下面就云计算的风险管理提出一些建议：


管理访问敏感数据的人：将数据部署在自己的数据中心，与把数据移动到云端，有巨大的不同。云提供商拥有自己的数据管理策略，在运维人员轮换，运维人员招聘和访问控制等很多方面是无法控制的。询问和理解您所选择的云提供商的数据管理和人员管理是很重要的。像IBM这样的大型供应商会给客户提供这方面详细的信息。比如：敏感数据是如何在云上移动的，谁能看到什么，等等。


风险管理中重要要素-法规：企业的数据驻留在提供商的云上，企业并不能将全部责任推给云提供商，因为企业仍然对自己的客户负责， 对数据的安全性和完整性负最终的责任。云提供商降低风险的方式通常是通过常规的外部审计、PEN测试、PCI标准合规来完成的。对于企业来说，IT治理中需要权衡组织信息的风险，并确保云提供商遵从或使用适当的标准和程序来降低风险。


数据保存地理位置的考量：您可能会惊讶地发现，您的数据可能没有保存在同一个城市、或国家。虽然云供应商可能会对企业有义务确保数据的隐私，但他们可能更有义务遵守国家的法律，或者你的数据所在国家的法律。所以你的组织的权利可能会被边缘化。这就需要企业对自己数据保存的地点做适当的安排。


数据丢失和恢复：云上的数据几乎总是加密的，这是为了确保数据的安全性。然而，这是有代价的——损坏的加密数据总是比未加密的数据更难恢复。重要的是要知道企业的云提供商计划如何在灾难场景中恢复企业的数据，最重要的是需要多长时间可也恢复。企业应该要求云供应商能够在灾难场景中演示用于数据恢复的方案。


当您的云提供商被收购时，会发生什么：现代商业环境中，企业的并购十分普遍。您的云提供商的无缝合并/收购是企业需要提前考虑的一方面。云提供商应该清楚地认识到这一点，并将其作为与企业的合同中的一个可能的场景。是否有针对客户的退出策略——以及企业可能面临的技术问题，以便将企业的数据转移到其他地方？简而言之，你的退出策略是什么？


数据的可用性：云提供商依赖于网络、设备、应用程序和存储组件的组合来提供云服务。如果其中一个组件宕机，企业将无法访问自己的信息。因此，在企业决定把应用放在云端之前，企业需要有明确的数据灾备方案。如果是一个在线零售商，企业的应用程序驻留云端，这个云端突然宕机，企业的客户订单输入系统不能被访问，那肯定是不可接受的。对于此类情况，最重要的是要衡量企业的容忍度，企业需要通过SLA确定云服务商保证的业务恢复的最长时间。