云計算改變了企業(yè)利用IT資源的方式，同時，基礎設施和應用程序的外部化也給企業(yè)增加了風險。

這種風險增加也是很多行業(yè)沒有部署云解決方案的主要原因，因此，企業(yè)在轉移IT解決方案到云計算的同時，也應該考慮所涉及的風險。

讓我們回顧一下云計算的主要優(yōu)勢：

● 規(guī)模經(jīng)濟： 對于運行傳統(tǒng)IT和IT外包的基礎設施，創(chuàng)建和維護費都非常昂貴。相比之下，云計算非常具有成本效益，因為云計算不需要投資資金來建設基礎設施，或者組建內(nèi)部IT安全專家團隊。此外，企業(yè)只需要為其使用的存儲容量付費，這意味著企業(yè)可以根據(jù)需要調(diào)整存儲容量，而不需要花費大量開支。企業(yè)最終節(jié)省了時間，并節(jié)約了關鍵資源，這使得IT可以轉變?yōu)閷Ｗ⒂诟邉?chuàng)新性舉措的戰(zhàn)略團隊。

● 敏捷性： 實際上，大多數(shù)首席信息官部署云解決方案是因為，這些解決方案可以快速啟動和運行，而不是因為它們更便宜。更快地實現(xiàn)商業(yè)效益，同時降低內(nèi)部IT項目管理、采購、集成和變更管理的成本，也是關鍵驅(qū)動力。而且企業(yè)不需要擔心持續(xù)的運營、更新和修復，因為這些都是由云計算供應商處理。

● 靈活性： 云計算為一些領域的創(chuàng)新鋪平了道路，并且可以迅速適應業(yè)務的變化。例如，在線零售商可以利用云服務有效地部署基于web的在線采購應用程序。企業(yè)可以讓其員工和關鍵利益相關者通過云端訪問企業(yè)資源，無論員工處于什么位置或者使用什么設備，這可以提高生產(chǎn)效率。云計算還可以支持大數(shù)據(jù)，隨著很多企業(yè)轉移越來越多的業(yè)務應用到云端。

了解風險因素

IT經(jīng)理最怕的事情就是失去控制—“基礎設施不再受我控制，而是由其他人來負責，如果它們出現(xiàn)故障的話，會發(fā)生什么事?”我們可以從基礎設施、軟件功能和數(shù)據(jù)的角度來看風險。

● 數(shù)據(jù)安全： 云計算供應商對安全元素的確定性和可視性使用含糊的說法，這是造成企業(yè)擔憂的很大一個原因。由于企業(yè)數(shù)據(jù)位于企業(yè)外部，同時數(shù)據(jù)移動來移動去，數(shù)據(jù)遭受盜竊和攻擊的風險顯而易見會提高。

● 服務可靠性： 互聯(lián)網(wǎng)連接中斷，以及云供應商可能遭遇宕機，都讓企業(yè)開始考慮云服務可靠性和網(wǎng)絡依賴的問題。

● 軟件管理： 如果沒有對軟件的控制權，對軟件進行調(diào)整或升級或修復漏洞都會變得非常復雜。

有些企業(yè)正在猶豫是否將自己的業(yè)務信息和應用轉移到云服務提供商，他們沒有意識到外部云服務提供商實際上可以比內(nèi)部IT團隊更好地管理哲學風險。畢竟，云服務提供商通過與多個客戶合作，已經(jīng)開發(fā)了最佳做法，并且，他們有更大的動力來避免數(shù)據(jù)泄露事故的發(fā)生，因為事故帶來的聲譽損失對于他們來說要高得多。同時，云服務提供商有更少的單點故障，因為服務供應商部署了更多的冗余資源。

建議

在辯論是否轉移到云計算的時候，企業(yè)必須仔細考慮風險問題，考慮云計算如何能夠加強他們的業(yè)務價值，以及實現(xiàn)他們的IT目標，而不會讓其面臨風險。下面是我們的一些建議：

● IT管理部門需要意識到云服務提供商是其內(nèi)部IT部門的延伸。所有這些風險也作用于云服務提供商。關鍵的區(qū)別是，對于內(nèi)部部門，他們可以更容易地驗證、執(zhí)行和管理控制來管理風險。

● 選擇云服務提供商時，應該選擇能夠證明其部署的控制的供應商。這些控制包括SSAE審計、數(shù)據(jù)、可訪問性、數(shù)據(jù)中心安全控制以及數(shù)據(jù)加密等。

● 選擇私有云或者虛擬私有云，在這些環(huán)節(jié)中，系統(tǒng)是虛擬地分開的，它們位于公共云內(nèi)的加密環(huán)境中。

● 分析哪些傳統(tǒng)應用程序適合云環(huán)境。

● 要求供應商提供一個明確的災難恢復計劃。內(nèi)部恢復策略也將有助于幫助企業(yè)快速移動到備用的IT服務模式。

● 保持定期對關鍵云計算資產(chǎn)的備份，并通過強大的加密技術來保護數(shù)據(jù)。

● 要求云服務提供商提供定期的安全事件警報，并要求他們標記特定的任務關鍵性資產(chǎn)。

● 要求服務提供商提供獨立的審計報告以獲取更大的透明度，并檢查云服務提供商的行業(yè)認證，例如ISO 27001和27002、ISO 31000以及支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)合規(guī)認證。

● 增加額外的安全措施到云中，例如單點登錄訪問到多個云應用，以及利用安全框架，例如ITIL或者ITSM。

通過加強IT管理過程和建立可靠的控制，企業(yè)可以從云解決方案中獲得真正的競爭優(yōu)勢。企業(yè)在作出任何決策時，都應該分析控制權以及風險，這能夠幫助企業(yè)迅速地將最好地功能運用到業(yè)務中。在權衡風險/回報時，首席信息官和關鍵IT決策者應該從控制分析的角度來考慮核心問題，而不是從風險分析的角度。