摘要:網(wǎng)絡(luò)風(fēng)險專家表示,如果企業(yè)在應(yīng)用云計算服務(wù)來補充或替代內(nèi)部數(shù)據(jù)存儲系統(tǒng)時沒有一套嚴格的風(fēng)險管理策略,那么將有可能導(dǎo)致企業(yè)數(shù)據(jù)泄露,引起重大的財務(wù)和聲譽損失。
網(wǎng)絡(luò)風(fēng)險專家表示,如果企業(yè)在應(yīng)用云計算服務(wù)來補充或替代內(nèi)部數(shù)據(jù)存儲系統(tǒng)時沒有一套嚴格的風(fēng)險管理策略,那么將有可能導(dǎo)致企業(yè)數(shù)據(jù)泄露,引起重大的財務(wù)和聲譽損失。
在上周位于紐約舉行的2013商業(yè)保險和風(fēng)險管理峰會上,安全專家講到,所有企業(yè)都應(yīng)該在將數(shù)據(jù)遷移到云服務(wù)前,對數(shù)據(jù)的性質(zhì)進行徹底評估,包括當數(shù)據(jù)丟失或被盜時可能對內(nèi)部運作產(chǎn)生的影響、業(yè)務(wù)合作伙伴和客戶端/客戶關(guān)系、附加的能力、潛在云服務(wù)提供商的安全協(xié)議和相互依賴性。
瑞士洛桑大學(xué)的網(wǎng)絡(luò)安全咨詢和研究小組負責(zé)人Solange Gerhnaouti表示,“我們目前發(fā)現(xiàn)的最大問題之一是,企業(yè)在遷移到云服務(wù)前,沒有整體性的信息安全策略。”小組成員表示,在理想的情況下,這些評估應(yīng)包括對信息技術(shù)人員、高級管理人員和主管部門員工的風(fēng)險和合規(guī)性管理,因為這些人可能會使用基于云計算的服務(wù),傳輸和存儲與企業(yè)相關(guān)的數(shù)據(jù)。
同時,專家還表示,云計算的風(fēng)險分析往往不是條塊分割的。ID Experts公司首席營銷官Doug Pollack表示,“在企業(yè)內(nèi)部,關(guān)鍵數(shù)據(jù)風(fēng)險的利益相關(guān)者往往互相關(guān)聯(lián)。我們認為這是一項團隊性質(zhì)的操作。”
由于大多數(shù)云服務(wù)提供商不會在合同中提供太多的風(fēng)險轉(zhuǎn)移和補償方式,所以企業(yè)在采用基于云的服務(wù)時應(yīng)該謹慎考慮對數(shù)據(jù)管理提供的保險,以解決因數(shù)據(jù)破壞或服務(wù)中斷而產(chǎn)生的潛在經(jīng)濟損失。雖然許多網(wǎng)絡(luò)風(fēng)險政策涵蓋了數(shù)據(jù)丟失事件中的第一和第三方責(zé)任,但如果政策中并沒用具體提到基于云的服務(wù)的話,保險公司往往可以拒絕承保。
對此,華盛頓Dickstein Shapiro律師事務(wù)所的Scott Godes建議,“如果您沒有看到關(guān)于云服務(wù)的保險政策,那么就需要盡力去開發(fā)完善保險協(xié)議并鞏固您的計算機和網(wǎng)絡(luò)安全協(xié)議。這將會使您在面臨威脅事件或云計算相關(guān)問題的時候具有更好的準備。”