云端威脅到底有多大?

責任編輯:hli

2012-10-09 10:28:49

摘自:中國會計視野

面對節(jié)約管理成本這樣巨大的誘惑,越來越多公司開始迅速地采用云計算技術服務,但是大多數(shù)公司的高管并未開始認真地評估使用這項服務所面臨的風險,或制定相應的風險防范措施。

面對節(jié)約管理成本這樣巨大的誘惑,越來越多公司開始迅速地采用云計算技術服務,但是大多數(shù)公司的高管并未開始認真地評估使用這項服務所面臨的風險,或制定相應的風險防范措施。當然,專家們也認為問題的難點在于,在應用云計算技術的過程中,相關的風險不容易辨識,從而也很難為此購買充足的保險。

隨著云計算技術的廣泛運用,新的風險隨之產生?!端伎?012年度全球云技術網絡調查》(2012Cisco Global Cloud Networking survey)采訪了來自13個國家的1,300名信息技術高管,發(fā)現(xiàn)截至2012年底,將有20%的公司采用云計算技術傳遞經營過程中使用的大部分應用軟件數(shù)據(jù)。

作為芝加哥市的威爾森·埃爾斯·莫斯科維茨·埃德曼及迪克合伙人公司(Wilson Elser Moskowitz Edelman &Dicker LLP)負責數(shù)據(jù)安全及網絡責任的聯(lián)合主席,勞倫·紐金特(Lori S.Nugent)認為,許多非技術類公司的非技術高管,在云計算技術的運用上面,顯得操之過急,因為在他們看來信息技術(IT)不是公司的核心職能,運用云技術只是小菜一碟。

尤其值得關注的是,公司的首席財務官(CFO)也期望將IT工作外包,因為這些IT工作的成本日漸增加,而且信息安全問題也更加復雜。紐金特說:“將IT工作外包,讓別人替自己管理IT事務,這主意聽起來簡單易行。通過云計算技術,理論上公司可以將所有技術工作外包,可以自主決定增加或是減少服務內容,從而讓技術工作更加收放自如。”

同時紐金特也指出:“事實上,公司通過外包方式運用云計算技術,成本也是相當高昂的。這并不是意味著公司就不能采用云計算技術進行IT 外包,而是表明公司需要事先采取足夠的保護和防范措施,從而避免因云計算技術被非法侵入而遭遇的風險。”

她認為:“毫無疑問,中小規(guī)模公司沒有足夠的資源,也沒有足夠的精力承擔自身全部的IT工作。這種情況下,采用云技術是一種不錯的選擇,這樣公司可以獲得更好的IT服務。”

紐金特進一步補充道:“但是,評估是否采用云計算技術,底線似乎越來越模糊。”如果一個公司決定采用云技術,它必須清楚認識到這并不意味著公司從此可以高枕無憂,不需要操心任何IT事務了。她說:“有一個可行的辦法,那就是部分,但不是所有的IT事務采用云技術。如果讓我做決策,我就不會把敏感事務,如知識產權或者研發(fā)信息,存放到云系統(tǒng)里,因為云技術提供的畢竟是一個開放共享環(huán)境。”

她同時提醒CFO,一旦決定將敏感信息放到云系統(tǒng)中,CFO需要有充分的理由,并保留好相關記錄,這樣才是明智之舉。因為對于云技術而言,不是有沒有被非法侵入的問題,而是什么時候會發(fā)生非法侵入。

紐金特說,當前保險公司為客戶提供的險種比較齊全,能較好地應對網絡風險,并且費用相對低廉。這些險種覆蓋面廣,甚至針對經銷商所掌握的公司數(shù)據(jù),比如發(fā)票開票信息,也有相應的險種對應。這樣的承保人包括勞埃德(Lloyd’s)以及美國和歐洲的保險公司。

紐金特指出,目前,購買此類保險的公司比例低于20%。她建議CFO與公司風險管理經理以及熟悉云技術的保險代理人一起,共商對策,識別并降低相關風險。

她介紹道,如果數(shù)據(jù)被盜,很多保單都可以覆蓋因此而產生的違約成本、司法費用以及其他費用。同時還可以補償行政處罰及罰款、訴訟費用,甚至危機公關的相關費用。

羅伯特·帕里西(Robert Parisi)是大型保險經紀公司瑪希公司(Marsh)負責網絡安全以及隱私保護事務的主管。他指出,對于一些公司而言,真正的風險是,云技術已深入業(yè)務的方方面面,以至于他們習以為常,沒有充分考慮這方面的風險。

他說,有時候這種風險可能由公司高層引發(fā),在他們出差在外使用外部經銷商提供的云服務時,使用了不安全的訪問方式,比如,在一個不安全的物理位置使用了沒有加密的無線局域網。

外包業(yè)務,例如支付處理系統(tǒng)、保險精算表以及信用確認服務,都可能引發(fā)此類風險。帕里西指出,三種情況下云計算系統(tǒng)容易被非法侵入:

1、由第三方控制公司運營或者基礎設施系統(tǒng)的一部分;

2、第三方有權接入公司的網絡系統(tǒng),不管是主動訪問,還是被動接入,比如公司采用外部服務商提供的云服務,而該服務商自身系統(tǒng)比較薄弱,容易被入侵;

3、通過云技術訪問某些程序的時候,公司IT人員的認識不夠,以為采用了云技術就不需要像公司內部管理時那般嚴格謹慎。

傳統(tǒng)的財產保單,只能覆蓋公司自有資產不能正常運行,從而影響業(yè)務經營所產生的損失及額外費用。在云計算背景下,公司自有資產是指公司的電腦系統(tǒng)。

帕里西解釋到,傳統(tǒng)的財產保單目前尚不能補償下列損失或費用:由于外包服務異常所導致的損失;購買另一家云服務提供商的服務所產生的費用;以及更換云服務提供商所產生的轉換費用。這些費用包括軟件轉換費用以及數(shù)據(jù)轉移費用。

羅恩·庫利(Ron Cooley)是工業(yè)供應商W.W.Grainger Inc.的風險管理主管,他所在的公司雖然采用多項云服務,但是卻沒有專門針對云服務購買一份保險。他補充到:“我們現(xiàn)在面對的挑戰(zhàn)是:科學技術發(fā)展太迅猛,雖然大多數(shù)保單也隨之不但更新改進,但其所覆蓋的風險還是不能跟上科技發(fā)展的節(jié)奏。”

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號