企业应用咨询公司的首席分析师JoshGreenbaum强调说,多数企业对云计算的风险还没有给予足够的重视。"如果数据中心的管理者们去关注机房里的主要设施,看到服务器之外都配置了一个备用电源,他们就认为没有问题了"Greenbaum表示。他认为云计算应该也没有什么不同。
在某些情况下,如果风险太大就不能过于依赖云计算。企业在决定要把一些服务器和应用软件放在云上时,必须考虑清楚如何对可能的风险进行管理。
Gartner咨询公司副总裁兼分析家DavidCearley表示使用云计算的局限是企业必须认真对待的敏感问题,企业必须对云计算发挥作用的时间和地点所产生的风险加以衡量。举例来说,企业通过放弃对某些数据的控制来获取经济上的交换成本节约。对于IT部门里那些C级别的高层管理者来说,他们必须对这种交易是否值得做出决策。Cearley表示每件事务最终都能作为云服务提供,但是对于任何独立的企业而言,并非每件事务都能从云上获取。
"在企业外部的共享资源池中,用户对资源在何处运行一无所知也无从控制。如果你认为数据所在的位置和来源对你很重要,那么这就成为你不使用云计算的一个原因"Cearley强调说。
安全标准与云无关
Greenbaum表示,IT业界有大量的行业标准。举例来说,诸如像SAS公司的交互关系管理(SASInteractionManagement)这样的服务标准广泛应用于IT安全和法规遵从和企业交互关系的管理。然而随着时间的流逝,交换式关系管理也将被转移到云上。
同时,在针对云计算体系架构的安全模式和标准出台以前,多数可能面临的风险和损失就直接落在了IT企业的肩上,而不是由云计算服务供应商来承担。"Salesforce.coms和NetSuites都无法提供由标准化制度保障的风险管理机制"Greenbaum补充说。
针对云计算的最佳实践指南
IBM公司安全和风险管理部门总监KristinLovejoy认为,享受云服务的消费者最终要负责对数据的保密性,完整性和可用性的维护。
Lovejoy引用健康保险便利及责任法案(HealthInsurancePortabilityandAccountabilityAct,HIPAA)的事实为例解释说,健康保险便利及责任法案没有对数据安全有特别规定。取而代之的是,法案的第164.308和164.314章节中只是简单的要求企业要确保来自任何第三方处理数据的安全性。Lovejoy强调说。
至于对云配置的时间加以限制的做法,Lovejoy建议说企业应该按照杰弗里.摩尔的"相对核心"理论去做(摩尔是TCG顾问公司的创建者兼商业战略家)。
Lovejoy解释说,核心商业惯例提倡的是竞争差异化。而相对惯例传递的是企业内部行为的理念,诸如人力资源服务和薪资制度。核心惯例和相对惯例能被分为关键任务应用软件和非关键任务应用软件。"如果非关键任务应用软件脱机,企业依然能继续生存"。
Lovejoy还强调说,摩尔的理论是"如果企业实践是相对和非关键任务的,可以把它放在云上,如果是相对又是关键任务的,可以用云激活。如果是核心业务而不是关键任务,你可以考虑把它置于防火墙的保护下;如果它即是核心业务又是关键任务,你就必须把它放在防火墙的保护下"。