當(dāng)企業(yè)CIO試圖為其IT工作負(fù)載在云和本地之間找到理想的平衡時(shí)，他們可能會(huì)發(fā)現(xiàn)自己面臨著意想不到的意外 - 云的承諾和云供應(yīng)商的承諾與企業(yè)IT的現(xiàn)實(shí)相去甚遠(yuǎn)。

雖然云風(fēng)險(xiǎn)分析應(yīng)該與任何其他第三方風(fēng)險(xiǎn)分析沒(méi)有什么不同，但許多企業(yè)對(duì)待云的態(tài)度更溫和，采取了不那么徹底的方法，這在很大程度上是因?yàn)槠髽I(yè)傾向于使用可用的最大的云平臺(tái)——其中AWS、Microsoft Azure和Google Cloud Platform位居榜首，這些龐大的平臺(tái)極大地限制了它們能夠使一家企業(yè)進(jìn)行IT盡職調(diào)查的程度。

最大的企業(yè)有時(shí)會(huì)有例外——比如沃爾瑪、埃克森美孚、CVS、伯克希爾哈撒韋等——但其他許多企業(yè)通常不會(huì)。此外，大多數(shù)企業(yè)云戰(zhàn)略涉及各種云供應(yīng)商，包括在云中運(yùn)營(yíng)的點(diǎn)式解決方案SaaS供應(yīng)商，這些不同合作伙伴之間的相互關(guān)系進(jìn)一步復(fù)雜化了風(fēng)險(xiǎn)方程式。

你的云資產(chǎn)可能面臨的最明顯風(fēng)險(xiǎn)涉及云設(shè)置和配置。許多IT團(tuán)隊(duì)花費(fèi)大量精力微調(diào)他們的云實(shí)例、架構(gòu)和環(huán)境的設(shè)置，以精確地匹配他們公司的需求，但后來(lái)卻發(fā)現(xiàn)，他們的云供應(yīng)商的一名員工對(duì)該供應(yīng)商的所有企業(yè)租戶(hù)進(jìn)行了一些通用的更改，實(shí)際上覆蓋了IT團(tuán)隊(duì)精心設(shè)計(jì)的設(shè)置。

但CIO在云計(jì)算領(lǐng)域還可能面臨其他意想不到的挑戰(zhàn)，他們應(yīng)該意識(shí)到這一點(diǎn)，這里列出了幾個(gè)這樣的隱藏風(fēng)險(xiǎn)，并就如何緩解這些風(fēng)險(xiǎn)提出了建議。

供應(yīng)商風(fēng)險(xiǎn)姿態(tài)的轉(zhuǎn)變

云供應(yīng)商本身可能會(huì)遇到許多與業(yè)務(wù)相關(guān)的問(wèn)題，這些問(wèn)題可能會(huì)挑戰(zhàn)他們向簽署合同時(shí)承諾的標(biāo)準(zhǔn)企業(yè)CIO提供服務(wù)的能力，包括引入新的風(fēng)險(xiǎn)。

在執(zhí)行云平臺(tái)允許的任何最低限度的盡職調(diào)查時(shí) - SOC報(bào)告、GDPR合規(guī)性、PCIROC等 - 請(qǐng)記住，這只是評(píng)估時(shí)刻的快照，這一點(diǎn)至關(guān)重要，這就是合同發(fā)揮作用的地方。如果有任何變化會(huì)影響你的供應(yīng)商的風(fēng)險(xiǎn)狀況，例如裁員影響其運(yùn)營(yíng)或削減非人力資源的預(yù)算，應(yīng)該有明確的合同條款，要求云供應(yīng)商有義務(wù)提醒你的團(tuán)隊(duì)，理想情況下，讓你的團(tuán)隊(duì)有選擇免費(fèi)退出，包括退還未花費(fèi)的資金。

安永負(fù)責(zé)網(wǎng)絡(luò)安全的董事總經(jīng)理布萊恩·萊文表示：“我看不出這么做有什么壞處。 (云供應(yīng)商)會(huì)堅(jiān)持到底嗎?大概不會(huì)吧，他們很可能沒(méi)有這樣做的流程。為了訴訟的目的，有一個(gè)明示的條款總是比默示的條款更好。”

Sailpoint的CISO雷克斯·布斯(Rex Booth)同意這樣的條款無(wú)傷大雅，但需要做出很多解釋。他表示，一種更好的合同方法是，在合同中加入類(lèi)似這樣的條款：“如果你按照獨(dú)立審計(jì)師的決定進(jìn)行跳水，我們有權(quán)退出”，然而，布斯補(bǔ)充說(shuō)，裁員并不一定意味著組織努力的減少。

新的數(shù)據(jù)主權(quán)令人頭痛

很長(zhǎng)一段時(shí)間以來(lái)，數(shù)據(jù)主權(quán)一直是一個(gè)關(guān)鍵的IT問(wèn)題，但現(xiàn)在出現(xiàn)了許多企業(yè)可能沒(méi)有預(yù)料到的特定于云的數(shù)據(jù)主權(quán)問(wèn)題，例如，美國(guó)商務(wù)部在1月份提出了一項(xiàng)規(guī)則，禁止中國(guó)企業(yè)在美國(guó)云環(huán)境中培訓(xùn)其LLM模型。盡管這最初似乎只會(huì)影響中國(guó)企業(yè)，但Forrester首席分析師Lee Sustar認(rèn)為，這很容易牽涉到美國(guó)企業(yè)——不僅是云計(jì)算公司，還有那些擁有為客戶(hù)執(zhí)行分析工作的部門(mén)的企業(yè)集團(tuán)。

例如，如果一家中國(guó)公司聘請(qǐng)了一家美國(guó)人工智能公司，并付錢(qián)讓他們?cè)谶@家美國(guó)公司的云環(huán)境中培訓(xùn)各種LLM，那會(huì)怎么樣?這會(huì)違反商業(yè)規(guī)則嗎?更復(fù)雜的是，如果這家美國(guó)公司的客戶(hù)設(shè)在比利時(shí)或澳大利亞怎么辦?如果那家比利時(shí)公司的客戶(hù)碰巧是一家中國(guó)公司怎么辦?如果一家中國(guó)公司想要繞過(guò)這一規(guī)定，它很可能會(huì)通過(guò)多家非中國(guó)公司處理這一請(qǐng)求。

“現(xiàn)在你必須規(guī)劃你的云工作負(fù)載，不僅要考慮第三方的風(fēng)險(xiǎn)，還要考慮第四方的風(fēng)險(xiǎn)”，他說(shuō)。

安永的萊文建議首席信息官在談判新的云協(xié)議時(shí)需要考慮的其他因素，一些云運(yùn)營(yíng)對(duì)記錄其環(huán)境中發(fā)生的情況收取額外費(fèi)用。如果云租戶(hù)可以直接跟蹤活動(dòng)，這不是一個(gè)大問(wèn)題，但他們不能，因此必須依賴(lài)云平臺(tái)的日志。

“這是基本的，如果一家企業(yè)要為(云中發(fā)生的一切)負(fù)責(zé)，他們必須有相關(guān)日志才能負(fù)責(zé)，他們會(huì)把這些原木保存多久?”，萊文說(shuō)。

在大范圍緊急情況下的可擴(kuò)展性

許多企業(yè)IT高管認(rèn)為，云提供了近乎無(wú)限的可擴(kuò)展性——這在數(shù)學(xué)上是不正確的。云營(yíng)銷(xiāo)對(duì)此沒(méi)有幫助，它強(qiáng)烈地暗示——如果不是直接的承諾——無(wú)限的可擴(kuò)展性。

大多數(shù)情況下，云的彈性為其宗旨提供了極高級(jí)別的可擴(kuò)展性，然而，網(wǎng)絡(luò)安全投資公司Team8的運(yùn)營(yíng)合伙人兼常駐CISO查爾斯·布勞納表示，當(dāng)緊急情況發(fā)生時(shí)，所有的賭注都會(huì)取消。布勞納曾在花旗集團(tuán)、德意志銀行和摩根大通擔(dān)任CISO。

BLauner指出，在9/11襲擊期間，他多次嘗試外包數(shù)據(jù)，但都以失敗告終，他在2012年颶風(fēng)桑迪和美國(guó)新冠疫情最初幾周再次看到這種情況。“這只適用于第一批”將更多數(shù)據(jù)推向云端的公司。

企業(yè)希望能夠“在危機(jī)期間恢復(fù)到云環(huán)境中，然后911事件發(fā)生了，所有人都同時(shí)宣布進(jìn)入緊急狀態(tài)。如果你不是第一批宣布這一消息的公司之一，(云服務(wù)供應(yīng)商)會(huì)說(shuō)，‘我們已經(jīng)滿(mǎn)了’”，布勞納說(shuō)。

BLauner說(shuō)，解決方案是讓CIO們建立他們的緊急最低生存產(chǎn)品(MVP)職位，他的意思是讓企業(yè)識(shí)別他們最基本的服務(wù)——那些“你的客戶(hù)離不開(kāi)的服務(wù)”——這樣，當(dāng)緊急情況發(fā)生時(shí)，只有那些緊急服務(wù)才會(huì)轉(zhuǎn)移到云中。如果所有企業(yè)都這樣做，該行業(yè)就能挺過(guò)下一場(chǎng)危機(jī)。

例如，當(dāng)BLauner在花旗工作時(shí)，MVP是國(guó)際資金轉(zhuǎn)移。如果我們不保護(hù)這一點(diǎn)，我們可能會(huì)遭遇全球經(jīng)濟(jì)崩潰。在韓國(guó)，如果沒(méi)有花旗，你就無(wú)法進(jìn)行轉(zhuǎn)賬。“對(duì)于世界上的每一家公司來(lái)說(shuō)，都有這樣的事情?！?/p>

自身造成的安全風(fēng)險(xiǎn)和效率低下

Gartner云安全團(tuán)隊(duì)的高級(jí)主管分析師Charlie Winckless同意危機(jī)發(fā)生時(shí)的可擴(kuò)展性是一個(gè)令人擔(dān)憂(yōu)的問(wèn)題，但他認(rèn)為IT領(lǐng)導(dǎo)者的典型解決方案正在形成一個(gè)不同的問(wèn)題：通過(guò)與全球大量云環(huán)境達(dá)成協(xié)議來(lái)覆蓋他們?cè)谠品矫娴馁€注。

CIO認(rèn)為，通過(guò)使用多個(gè)云提供商，他們認(rèn)為它正在提高可用性，但事實(shí)并非如此。它所做的一切只是增加了復(fù)雜性，而復(fù)雜性一直是安全的敵人?！笆褂迷铺峁┥痰膮^(qū)域要?jiǎng)澦愕枚?。?/p>

咨詢(xún)公司麥肯錫負(fù)責(zé)監(jiān)管企業(yè)網(wǎng)絡(luò)安全戰(zhàn)略實(shí)踐的合伙人里奇·伊森伯格認(rèn)為，企業(yè)往往達(dá)不到云所承諾的財(cái)務(wù)和效率優(yōu)勢(shì)，因?yàn)樗鼈儾辉赋浞中湃卧骗h(huán)境的機(jī)制。

企業(yè)IT的“阻力”在于他們不信任云自動(dòng)化和技術(shù)。他們希望自己的團(tuán)隊(duì)管理一切。Isenberg說(shuō)，云包括云原生工具和自動(dòng)化，但CIO仍然傾向于使用他們的團(tuán)隊(duì)的老式方法，這些高管“依賴(lài)于他們的安全和訪問(wèn)團(tuán)隊(duì)，他們從他們首選的供應(yīng)商那里獲得了他們的首選工具?！?/p>

這意味著許多云任務(wù)需要執(zhí)行兩次，這就是效率優(yōu)勢(shì)有時(shí)無(wú)法實(shí)現(xiàn)的原因。伊森伯格說(shuō)，大多數(shù)IT高管“認(rèn)為重大漏洞將威脅到他們的工作，但現(xiàn)實(shí)情況是，威脅是這些高管不是數(shù)字技術(shù)的先鋒。”如果高管們“不接受云本地[工具]和自動(dòng)化，那么，是的，這將成為別人的工作?！?/p>

如今，云在所有企業(yè)系統(tǒng)中的集成程度都很高，無(wú)論是IaaS、PaaS還是SaaS，云戰(zhàn)略都需要成為默認(rèn)假設(shè)。伊森伯格說(shuō)：“無(wú)論你知道還是不知道，無(wú)論你想不想，你都會(huì)參與其中?！?/p>