科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网CIO与应用频道人物云计算:来自“云端”的威胁

云计算:来自“云端”的威胁

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

面对节约管理成本这样巨大的诱惑,越来越多公司开始迅速地采用云计算技术服务,但是大多数公司的高管并未开始认真地评估使用这项服务所面临的风险,或制定相应的风险防范措施。当然,专家们也认为问题的难点在于,在应用云计算技术的过程中,相关的风险不容易辨识,从而也很难为此购买充足的保险。

来源:中国会计视野 2012年10月8日

关键字: 云安全 云计算

  • 评论
  • 分享微博
  • 分享邮件

面对节约管理成本这样巨大的诱惑,越来越多公司开始迅速地采用云计算技术服务,但是大多数公司的高管并未开始认真地评估使用这项服务所面临的风险,或制定相应的风险防范措施。当然,专家们也认为问题的难点在于,在应用云计算技术的过程中,相关的风险不容易辨识,从而也很难为此购买充足的保险。

随着云计算技术的广泛运用,新的风险随之产生。《思科2012年度全球云技术网络调查》(2012Cisco Global Cloud Networking survey)采访了来自13个国家的1,300名信息技术高管,发现截至2012年底,将有20%的公司采用云计算技术传递经营过程中使用的大部分应用软件数据。

作为芝加哥市的威尔森·埃尔斯·莫斯科维茨·埃德曼及迪克合伙人公司(Wilson Elser Moskowitz Edelman &Dicker LLP)负责数据安全及网络责任的联合主席,劳伦·纽金特(Lori S.Nugent)认为,许多非技术类公司的非技术高管,在云计算技术的运用上面,显得操之过急,因为在他们看来信息技术(IT)不是公司的核心职能,运用云技术只是小菜一碟。

尤其值得关注的是,公司的首席财务官(CFO)也期望将IT工作外包,因为这些IT工作的成本日渐增加,而且信息安全问题也更加复杂。纽金特说:“将IT工作外包,让别人替自己管理IT事务,这主意听起来简单易行。通过云计算技术,理论上公司可以将所有技术工作外包,可以自主决定增加或是减少服务内容,从而让技术工作更加收放自如。”

同时纽金特也指出:“事实上,公司通过外包方式运用云计算技术,成本也是相当高昂的。这并不是意味着公司就不能采用云计算技术进行IT 外包,而是表明公司需要事先采取足够的保护和防范措施,从而避免因云计算技术被非法侵入而遭遇的风险。”

她认为:“毫无疑问,中小规模公司没有足够的资源,也没有足够的精力承担自身全部的IT工作。这种情况下,采用云技术是一种不错的选择,这样公司可以获得更好的IT服务。”

纽金特进一步补充道:“但是,评估是否采用云计算技术,底线似乎越来越模糊。”如果一个公司决定采用云技术,它必须清楚认识到这并不意味着公司从此可以高枕无忧,不需要操心任何IT事务了。她说:“有一个可行的办法,那就是部分,但不是所有的IT事务采用云技术。如果让我做决策,我就不会把敏感事务,如知识产权或者研发信息,存放到云系统里,因为云技术提供的毕竟是一个开放共享环境。”

她同时提醒CFO,一旦决定将敏感信息放到云系统中,CFO需要有充分的理由,并保留好相关记录,这样才是明智之举。因为对于云技术而言,不是有没有被非法侵入的问题,而是什么时候会发生非法侵入。

纽金特说,当前保险公司为客户提供的险种比较齐全,能较好地应对网络风险,并且费用相对低廉。这些险种覆盖面广,甚至针对经销商所掌握的公司数据,比如发票开票信息,也有相应的险种对应。这样的承保人包括劳埃德(Lloyd’s)以及美国和欧洲的保险公司。

纽金特指出,目前,购买此类保险的公司比例低于20%。她建议CFO与公司风险管理经理以及熟悉云技术的保险代理人一起,共商对策,识别并降低相关风险。

她介绍道,如果数据被盗,很多保单都可以覆盖因此而产生的违约成本、司法费用以及其他费用。同时还可以补偿行政处罚及罚款、诉讼费用,甚至危机公关的相关费用。

罗伯特·帕里西(Robert Parisi)是大型保险经纪公司玛希公司(Marsh)负责网络安全以及隐私保护事务的主管。他指出,对于一些公司而言,真正的风险是,云技术已深入业务的方方面面,以至于他们习以为常,没有充分考虑这方面的风险。

他说,有时候这种风险可能由公司高层引发,在他们出差在外使用外部经销商提供的云服务时,使用了不安全的访问方式,比如,在一个不安全的物理位置使用了没有加密的无线局域网。

外包业务,例如支付处理系统、保险精算表以及信用确认服务,都可能引发此类风险。帕里西指出,三种情况下云计算系统容易被非法侵入:

1、由第三方控制公司运营或者基础设施系统的一部分;

2、第三方有权接入公司的网络系统,不管是主动访问,还是被动接入,比如公司采用外部服务商提供的云服务,而该服务商自身系统比较薄弱,容易被入侵;

3、通过云技术访问某些程序的时候,公司IT人员的认识不够,以为采用了云技术就不需要像公司内部管理时那般严格谨慎。

传统的财产保单,只能覆盖公司自有资产不能正常运行,从而影响业务经营所产生的损失及额外费用。在云计算背景下,公司自有资产是指公司的电脑系统。

帕里西解释到,传统的财产保单目前尚不能补偿下列损失或费用:由于外包服务异常所导致的损失;购买另一家云服务提供商的服务所产生的费用;以及更换云服务提供商所产生的转换费用。这些费用包括软件转换费用以及数据转移费用。

罗恩·库利(Ron Cooley)是工业供应商W.W.Grainger Inc.的风险管理主管,他所在的公司虽然采用多项云服务,但是却没有专门针对云服务购买一份保险。他补充到:“我们现在面对的挑战是:科学技术发展太迅猛,虽然大多数保单也随之不但更新改进,但其所覆盖的风险还是不能跟上科技发展的节奏。”

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章