云計算改變了企業(yè)利用IT資源的方式，同時，基礎(chǔ)設(shè)施和應(yīng)用程序的外部化也給企業(yè)增加了風(fēng)險。

這種風(fēng)險增加也是很多行業(yè)沒有部署云解決方案的主要原因，因此，企業(yè)在轉(zhuǎn)移IT解決方案到云計算的同時，也應(yīng)該考慮所涉及的風(fēng)險。

讓我們回顧一下云計算的主要優(yōu)勢：

● 規(guī)模經(jīng)濟： 對于運行傳統(tǒng)IT和IT外包的基礎(chǔ)設(shè)施，創(chuàng)建和維護費都非常昂貴。相比之下，云計算非常具有成本效益，因為云計算不需要投資資金來建設(shè)基礎(chǔ)設(shè)施，或者組建內(nèi)部IT安全專家團隊。此外，企業(yè)只需要為其使用的存儲容量付費，這意味著企業(yè)可以根據(jù)需要調(diào)整存儲容量，而不需要花費大量開支。企業(yè)最終節(jié)省了時間，并節(jié)約了關(guān)鍵資源，這使得IT可以轉(zhuǎn)變?yōu)閷Ｗ⒂诟邉?chuàng)新性舉措的戰(zhàn)略團隊。

● 敏捷性： 實際上，大多數(shù)首席信息官部署云解決方案是因為，這些解決方案可以快速啟動和運行，而不是因為它們更便宜。更快地實現(xiàn)商業(yè)效益，同時降低內(nèi)部IT項目管理、采購、集成和變更管理的成本，也是關(guān)鍵驅(qū)動力。而且企業(yè)不需要擔(dān)心持續(xù)的運營、更新和修復(fù)，因為這些都是由云計算供應(yīng)商處理。

● 靈活性： 云計算為一些領(lǐng)域的創(chuàng)新鋪平了道路，并且可以迅速適應(yīng)業(yè)務(wù)的變化。例如，在線零售商可以利用云服務(wù)有效地部署基于web的在線采購應(yīng)用程序。企業(yè)可以讓其員工和關(guān)鍵利益相關(guān)者通過云端訪問企業(yè)資源，無論員工處于什么位置或者使用什么設(shè)備，這可以提高生產(chǎn)效率。云計算還可以支持大數(shù)據(jù)，隨著很多企業(yè)轉(zhuǎn)移越來越多的業(yè)務(wù)應(yīng)用到云端。

了解風(fēng)險因素

IT經(jīng)理最怕的事情就是失去控制—“基礎(chǔ)設(shè)施不再受我控制，而是由其他人來負責(zé)，如果它們出現(xiàn)故障的話，會發(fā)生什么事?”我們可以從基礎(chǔ)設(shè)施、軟件功能和數(shù)據(jù)的角度來看風(fēng)險。

● 數(shù)據(jù)安全： 云計算供應(yīng)商對安全元素的確定性和可視性使用含糊的說法，這是造成企業(yè)擔(dān)憂的很大一個原因。由于企業(yè)數(shù)據(jù)位于企業(yè)外部，同時數(shù)據(jù)移動來移動去，數(shù)據(jù)遭受盜竊和攻擊的風(fēng)險顯而易見會提高。

● 服務(wù)可靠性： 互聯(lián)網(wǎng)連接中斷，以及云供應(yīng)商可能遭遇宕機，都讓企業(yè)開始考慮云服務(wù)可靠性和網(wǎng)絡(luò)依賴的問題。

● 軟件管理： 如果沒有對軟件的控制權(quán)，對軟件進行調(diào)整或升級或修復(fù)漏洞都會變得非常復(fù)雜。

有些企業(yè)正在猶豫是否將自己的業(yè)務(wù)信息和應(yīng)用轉(zhuǎn)移到云服務(wù)提供商，他們沒有意識到外部云服務(wù)提供商實際上可以比內(nèi)部IT團隊更好地管理哲學(xué)風(fēng)險。畢竟，云服務(wù)提供商通過與多個客戶合作，已經(jīng)開發(fā)了最佳做法，并且，他們有更大的動力來避免數(shù)據(jù)泄露事故的發(fā)生，因為事故帶來的聲譽損失對于他們來說要高得多。同時，云服務(wù)提供商有更少的單點故障，因為服務(wù)供應(yīng)商部署了更多的冗余資源。

建議

在辯論是否轉(zhuǎn)移到云計算的時候，企業(yè)必須仔細考慮風(fēng)險問題，考慮云計算如何能夠加強他們的業(yè)務(wù)價值，以及實現(xiàn)他們的IT目標(biāo)，而不會讓其面臨風(fēng)險。下面是我們的一些建議：

● IT管理部門需要意識到云服務(wù)提供商是其內(nèi)部IT部門的延伸。所有這些風(fēng)險也作用于云服務(wù)提供商。關(guān)鍵的區(qū)別是，對于內(nèi)部部門，他們可以更容易地驗證、執(zhí)行和管理控制來管理風(fēng)險。

● 選擇云服務(wù)提供商時，應(yīng)該選擇能夠證明其部署的控制的供應(yīng)商。這些控制包括SSAE審計、數(shù)據(jù)、可訪問性、數(shù)據(jù)中心安全控制以及數(shù)據(jù)加密等。

● 選擇私有云或者虛擬私有云，在這些環(huán)節(jié)中，系統(tǒng)是虛擬地分開的，它們位于公共云內(nèi)的加密環(huán)境中。

● 分析哪些傳統(tǒng)應(yīng)用程序適合云環(huán)境。

● 要求供應(yīng)商提供一個明確的災(zāi)難恢復(fù)計劃。內(nèi)部恢復(fù)策略也將有助于幫助企業(yè)快速移動到備用的IT服務(wù)模式。

● 保持定期對關(guān)鍵云計算資產(chǎn)的備份，并通過強大的加密技術(shù)來保護數(shù)據(jù)。

● 要求云服務(wù)提供商提供定期的安全事件警報，并要求他們標(biāo)記特定的任務(wù)關(guān)鍵性資產(chǎn)。

● 要求服務(wù)提供商提供獨立的審計報告以獲取更大的透明度，并檢查云服務(wù)提供商的行業(yè)認證，例如ISO 27001和27002、ISO 31000以及支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)合規(guī)認證。

● 增加額外的安全措施到云中，例如單點登錄訪問到多個云應(yīng)用，以及利用安全框架，例如ITIL或者ITSM。

通過加強IT管理過程和建立可靠的控制，企業(yè)可以從云解決方案中獲得真正的競爭優(yōu)勢。企業(yè)在作出任何決策時，都應(yīng)該分析控制權(quán)以及風(fēng)險，這能夠幫助企業(yè)迅速地將最好地功能運用到業(yè)務(wù)中。在權(quán)衡風(fēng)險/回報時，首席信息官和關(guān)鍵IT決策者應(yīng)該從控制分析的角度來考慮核心問題，而不是從風(fēng)險分析的角度。