最近的一項調查發(fā)現(xiàn)，四分之一以上的組織計劃在未來一到兩年內將所有IT基礎設施和工作負載轉移到云端。

與此同時，在備份軟件提供商Veritas公司的調查中，83%的受訪者認為云計算服務提供商將會保護用戶的數(shù)據(jù)。但這種想法是不切實際的，而且在目前的監(jiān)管環(huán)境中，這是危險的，并且可能是潛在的合規(guī)性陷阱。

[[231261]]

當然，組織可以通過提高效率、靈活性和降低業(yè)務成本從云計算服務中受益。

組織機構可以結合自己和供應商的基礎設施采用混合云和多云服務，而這些云平臺由于其具有的性能和成本優(yōu)勢而越來越受歡迎。而這些趨勢將會促進組織的云計算應用。

云合規(guī)差距

在數(shù)據(jù)保護條例越來越嚴格的情況下，更多地使用云計算的舉措正在出現(xiàn)。

歐盟的“通用數(shù)據(jù)保護條例”(GDPR)不僅已經(jīng)生效，其他條例(如更新支付卡PCI-DSS標準)也促使組織審查其收集和處理信息的方式。

像GDPR這樣的法規(guī)為個人帶來了一些額外的權利和保障，例如被遺忘的權利和組織的新義務，以及強制披露數(shù)據(jù)泄露事件等。

然而，GDPR的情況并不是新生事物。相反，它是對現(xiàn)有數(shù)據(jù)保護規(guī)則的澄清和整合。因此，具有可靠數(shù)據(jù)保護和隱私政策的組織應該能夠遵從GDPR法規(guī)。

但是，組織采用云計算的舉措可能會暴露在合規(guī)性方面的差距，特別是對于主要處理個人數(shù)據(jù)的組織。GDPR法規(guī)對“個人數(shù)據(jù)”提出了更清晰的定義。這個定義比許多國家的數(shù)據(jù)保護法規(guī)定的定義要寬泛得多。

在GDPR的規(guī)定之下，組織在收集、處理或存儲個人數(shù)據(jù)違規(guī)的情況很難爭辯。因此，不可避免地會對使用云計算的組織產(chǎn)生影響。

Dentons律師事務所的技術、媒體和電信團隊的合伙人Dan Burge說：“遷移到云計算并沒有帶來法規(guī)的豁免。”但它可能會讓組織遵守這些規(guī)則更加困難。

多云也是多重挑戰(zhàn)

組織將業(yè)務轉移到云端可能會帶來一系列實際的管理和監(jiān)管挑戰(zhàn)。

但是對于合規(guī)性，首席信息官和安全官員面臨的關鍵問題是組織存儲的數(shù)據(jù)類型以及數(shù)據(jù)的位置。運行自己的內部數(shù)據(jù)庫、檔案和存儲系統(tǒng)的組織應該能夠識別大部分數(shù)據(jù)的位置。他們可以指定系統(tǒng)和數(shù)據(jù)中心的位置，并進行IT設置，以便限制數(shù)據(jù)(例如歐盟)在特定的地理位置進行存儲和處理。從其他業(yè)務信息中分離個人數(shù)據(jù)應該同樣適用于良好的IT控制。

識別數(shù)據(jù)類型或是數(shù)據(jù)分類，也應該通過內部系統(tǒng)和合規(guī)人員來實現(xiàn)。但是，向外部位置遷移數(shù)據(jù)存儲和IT工作負載會給組織帶來新的挑戰(zhàn)。

云計算供應商通過提供規(guī)模經(jīng)濟來發(fā)揮作用。要做到這一點，他們需要匯總數(shù)據(jù)。云計算提供商也建立了彈性，并且這樣做將在多個位置承載數(shù)據(jù)。

詳細了解存儲和合規(guī)性

除非組織的規(guī)模足夠大可以擁有并運營私有云系統(tǒng)，或者采用可能分散在幾個地理上分散的私有云，否則他們需要將適合的數(shù)據(jù)交給云計算服務提供商進行存儲。

這對用戶的“數(shù)據(jù)主權”產(chǎn)生了挑戰(zhàn)，并且用戶知道數(shù)據(jù)在何時何地使用。

組織的CIO們可能不知道他們的云服務在哪些國家和地區(qū)存儲數(shù)據(jù)。而云計算提供商可能不知道他們是否使用高度自動化的系統(tǒng)實現(xiàn)負載均衡，并確保業(yè)務連續(xù)性和災難恢復。

數(shù)據(jù)的位置

組織經(jīng)常忽視數(shù)據(jù)的確切位置。最安全的解決方案是使用云服務，并將數(shù)據(jù)鎖定到一個位置，或者至少將數(shù)據(jù)保存在一個管轄區(qū)域內，如歐盟各國。

但首先，組織需要確定他們收集和處理的信息類型。如果其首席信息官不清楚進入云端的數(shù)據(jù)類型，任何控制或審計數(shù)據(jù)位置的嘗試都會失敗。

有些數(shù)據(jù)類型可以清楚地標識為敏感數(shù)據(jù)。例如，保險號碼、銀行賬號、健康信息、地址、年齡等細節(jié)都是客戶希望企業(yè)保護的所有數(shù)據(jù)類型。

但是，在GDPR法規(guī)下個人數(shù)據(jù)的定義比傳統(tǒng)的以美國為中心的個人身份信息(PII)定義更寬。

SaaS應用程序、電子商務，甚至社交媒體都有可能在云中創(chuàng)建敏感數(shù)據(jù)。正如最近的媒體報道的事件，任何將在線互動與個人簡介結合在一起的功能都能夠快速將記錄帶進個人數(shù)據(jù)領域?；赟aaS的客戶關系應用程序或保險承保應用程序利用來自社交媒體或其他來源的數(shù)據(jù)日志，風險會更高。

如果有某種方法通過組合數(shù)據(jù)字段追蹤個人信息，即使匿名或清理記錄也可以恢復。法律制定者稱之為“馬賽克識別”，并且可能會發(fā)生在云端運行的應用程序，而組織的CIO卻沒有意識到這個風險。

鎖定數(shù)據(jù)

幸運的是，組織可以采取措施解決云合規(guī)問題。

首先是在特定的提供商服務中限制云計算的使用或將限制用途，而對于數(shù)據(jù)地理位置則采取健全且透明的策略。

但是，對于需要使用公共云的組織(即那些采用多供應商策略的組織)，下一步是仔細審核所有數(shù)據(jù)，以確保個人數(shù)據(jù)得到識別、跟蹤并實施數(shù)據(jù)主權政策。

一旦組織的CIO和數(shù)據(jù)保護人員知道他們正在處理的數(shù)據(jù)是什么樣的，他們可以采取實際措施來保護數(shù)據(jù)。建議采用基于客戶端的加密優(yōu)化做法，因為如果云計算服務遭到黑客攻擊，并具有丟失數(shù)據(jù)的風險，即使它沒有解決數(shù)據(jù)主權問題，加密優(yōu)化也可以降低數(shù)據(jù)丟失的風險。

組織還應該審查他們的云計算服務提供商的安全策略，其中包括SaaS平臺和遵守他們自己的數(shù)據(jù)合規(guī)政策和標準，例如ISO27001。

對于混合云和多廠商云來說，盡管仍然可行，但很難實施。多云數(shù)據(jù)管理工具雖然對市場來說還相對較新，但它為IT和數(shù)據(jù)保護團隊提供了對其存儲數(shù)據(jù)進行更快速、更加深入監(jiān)控的前景。

但任何采用云計算的組織都需要意識到，無論他們對IT部門如何改進，都不能將合規(guī)責任推卸出去。而確保云計算提供商符合當前標準是膙盡職調查流程的一部分。因此，遵守GDPR法規(guī)和違規(guī)處罰等法律責任則完全落在組織身上，而不是其云計算供應商。