云計算安全需要業(yè)務(wù)的參與和支持

責(zé)任編輯:ylv

2012-07-26 09:56:45

摘自:比特網(wǎng)

作為Georgia州的首席信息安全官(CISO),Mark Reardon一直以來全情投入在云計算安全方面。他的工作內(nèi)容是對來自州政府公務(wù)員和市民的需求進(jìn)行風(fēng)險分析和平衡。

作為Georgia州的首席信息安全官(CISO),Mark Reardon一直以來全情投入在云計算安全方面。他的工作內(nèi)容是對來自州政府公務(wù)員和市民的需求進(jìn)行風(fēng)險分析和平衡。考慮到上述因素,我們很容易想象到“否決”是他的常用詞。

事實恰好相反,Reardon從來沒有把自己看作是扮演阻礙云計算等技術(shù)改革的角色。他認(rèn)為自己在確保這些技術(shù)變革更加安全。今天我們主要談?wù)摰氖荊eorgia州特別是州政府領(lǐng)導(dǎo)的執(zhí)行機(jī)構(gòu)是如何利用云計算來降低風(fēng)險的。

SearchCIO.com:你能談一下你們是如何使用云技術(shù)的嗎?

Reardon:我們準(zhǔn)備將對大眾公開的信息站點遷移到云上。我需要這些信息準(zhǔn)確,但明顯他們并不會造成什么財物損失,無關(guān)生死。如果站點崩潰了,對我們是尷尬的一件事。我們想避免這個結(jié)果,但是在投入的同時需要考慮成本。

如果我們能夠減少對這些影響較低的系統(tǒng)的投入成本-這里的影響較低即當(dāng)安全問題出現(xiàn)時,如機(jī)密信息,數(shù)據(jù)完整或者數(shù)據(jù)可用性的破壞所造成的影響-我們就可以去把資金投入在會造成重大財務(wù)影響或者損害個人利益的信息保護(hù)上。

作為政府機(jī)構(gòu)我們采用軟件即服務(wù)的策略(SaaS)來進(jìn)行持續(xù)運(yùn)營規(guī)劃。無論發(fā)生了什么,州政府都需要保證關(guān)鍵職能的運(yùn)營。這些目前都是由外部供應(yīng)商來托管的。如果有需要,政府部門可以登陸主機(jī)執(zhí)行計劃應(yīng)對。如果數(shù)據(jù)中心出現(xiàn)停機(jī)情況,我們無法提供服務(wù)給我們的市民是很嚴(yán)重的。因此,我們使用了SaaS幫助我們應(yīng)付這些狀況。同樣,使用SaaS運(yùn)行某些特定應(yīng)用也是很劃算的。供應(yīng)商會支持系統(tǒng)負(fù)責(zé)系統(tǒng)升級和維修,我們只需要登陸使用。

關(guān)于云計算安全問題,有哪些因素幫助你做出決策?

Reardon:在作出決策之前,我們會參考國家標(biāo)準(zhǔn)與技術(shù)研究所頒布的聯(lián)邦信息安全管理準(zhǔn)則中建議的風(fēng)險管理框架-Risk Management Framework進(jìn)行分析。操作任何計算系統(tǒng)都是有風(fēng)險的。且即使你不操作也是有影響的,因此業(yè)務(wù)人員需要將這種影響視為提供服務(wù)伴隨風(fēng)險的一部分。如果你將云計算放在這個大背景下,你就可以開始根據(jù)你的需求和預(yù)算進(jìn)行抉擇了。

回到運(yùn)營的持續(xù)性:我們過去都是自己來管理軟件,但是后來發(fā)現(xiàn)引入外包服務(wù)會降低成本。與此同時州政府的不同部門可以分享這個軟件,這樣做的好處是很多的。然后我會去檢查有哪些信息如果泄露了,是否存在信息被泄露給了不法分子的風(fēng)險?答案是否定的。只有在系統(tǒng)被破壞的同時我們又遇到了極端情況下負(fù)面影響會顯現(xiàn)。我們需要分析和衡量所有不同風(fēng)險,決定愿意接受哪些風(fēng)險。

如何讓業(yè)務(wù)人員參與到云計算安全和其他風(fēng)險管理的決策中?

Reardon:這是一個老生常談的話題,但是很少能做到:如果做IT管理?我所在的管理和計劃部門,我們會努力讓業(yè)務(wù)部門的干系人加入共同作出決定。這是喬治亞州的做法--但并不是一成不變的,以我曾經(jīng)工作的經(jīng)驗在某些地方安全決策都是由負(fù)責(zé)安全的專員作出,他們會說“不,我們不會使用云技術(shù)”且業(yè)務(wù)方只能服從。我還遇到過業(yè)務(wù)方并不關(guān)心安全因素,他們只會對安全專員提出要求“確保這些是安全的”。上述這兩種情況都不好,因為事實上在作出決策之前必須考慮安全因素。

我們的想法是安全的主要部分是信息風(fēng)險管理,業(yè)務(wù)在考慮其他風(fēng)險時也需要考慮這一點;其次是滿足需要。這是不同方面,他們有很多相關(guān)的信息,但是他們通過不同方式管理。

接下來要做的是管理剩余風(fēng)險和決策,我是否需要消除風(fēng)險,減少風(fēng)險或者接受風(fēng)險?我是否可以通過與供應(yīng)商簽署合同或者購買保險將風(fēng)險轉(zhuǎn)嫁?這些都是我們選擇云計算時需要做的商業(yè)決定。如果我遇到上述問題卻不敢決定,我們就不可能使用云技術(shù)。再比如因為商業(yè)需求得到了滿足我們從風(fēng)險角度去分析,這就是我們需要做的商業(yè)決定。

是否有某些問題導(dǎo)致云計算風(fēng)險極大以至于你不敢觸及?

Reardon:答案是否定的。我們會根據(jù)掌握的信息以及云技術(shù)供應(yīng)商提供的保護(hù)作出決定,但是用不了太長時間。我在計算機(jī)行業(yè)工作34年還依稀記得PC的最初階段,我的計算機(jī)的內(nèi)存只有1k或者更小的空間。如果你在計算機(jī)行業(yè)工作,變化是貫穿始終的。

作為州的安全官,我的職責(zé)不是排斥未來,而是幫助政府在信息風(fēng)險方面作出信息充分的決定。我的工作是對從工作場所的移動電話到外包服務(wù)的方方面面進(jìn)行潛在分析并為決策者提供合適的建議。 

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號