您现在的位置:融合网首页 > 云计算 >

云计算安全需要业务的参与和支持

来源:比特网 作者:Karen Goulart 责任编辑:admin 发表时间:2012-07-25 16:12 
核心提示:如果我们能够减少对这些影响较低的系统的投入成本-这里的影响较低即当安全问题出现时,如机密信息,数据完整或者数据可用性的破坏所造成的影响-我们就可以去把资金投入在会造成重大财务影响或者损害个人利益的信息保护上。

作为Georgia州的首席信息安全官(CISO),Mark Reardon一直以来全情投入在云计算安全方面。他的工作内容是对来自州政府公务员和市民的需求进行风险分析和平衡。考虑到上述因素,我们很容易想象到“否决”是他的常用词。

事实恰好相反,Reardon从来没有把自己看作是扮演阻碍云计算等技术改革的角色。他认为自己在确保这些技术变革更加安全。今天我们主要谈论的是Georgia州特别是州政府领导的执行机构是如何利用云计算来降低风险的。

SearchCIO.com:你能谈一下你们是如何使用云技术的吗?

Reardon:我们准备将对大众公开的信息站点迁移到云上。我需要这些信息准确,但明显他们并不会造成什么财物损失,无关生死。如果站点崩溃了,对我们是尴尬的一件事。我们想避免这个结果,但是在投入的同时需要考虑成本。

如果我们能够减少对这些影响较低的系统的投入成本-这里的影响较低即当安全问题出现时,如机密信息,数据完整或者数据可用性的破坏所造成的影响-我们就可以去把资金投入在会造成重大财务影响或者损害个人利益的信息保护上。

作为政府机构我们采用软件即服务的策略(SaaS)来进行持续运营规划。无论发生了什么,州政府都需要保证关键职能的运营。这些目前都是由外部供应商来托管的。如果有需要,政府部门可以登陆主机执行计划应对。如果数据中心出现停机情况,我们无法提供服务给我们的市民是很严重的。因此,我们使用了SaaS帮助我们应付这些状况。同样,使用SaaS运行某些特定应用也是很划算的。供应商会支持系统负责系统升级和维修,我们只需要登陆使用。

关于云计算安全问题,有哪些因素帮助你做出决策?

Reardon:在作出决策之前,我们会参考国家标准与技术研究所颁布的联邦信息安全管理准则中建议的风险管理框架-Risk Management Framework进行分析。操作任何计算系统都是有风险的。且即使你不操作也是有影响的,因此业务人员需要将这种影响视为提供服务伴随风险的一部分。如果你将云计算放在这个大背景下,你就可以开始根据你的需求和预算进行抉择了。

回到运营的持续性:我们过去都是自己来管理软件,但是后来发现引入外包服务会降低成本。与此同时州政府的不同部门可以分享这个软件,这样做的好处是很多的。然后我会去检查有哪些信息如果泄露了,是否存在信息被泄露给了不法分子的风险?答案是否定的。只有在系统被破坏的同时我们又遇到了极端情况下负面影响会显现。我们需要分析和衡量所有不同风险,决定愿意接受哪些风险。

如何让业务人员参与到云计算安全和其他风险管理的决策中?

Reardon:这是一个老生常谈的话题,但是很少能做到:如果做IT管理?我所在的管理和计划部门,我们会努力让业务部门的干系人加入共同作出决定。这是乔治亚州的做法--但并不是一成不变的,以我曾经工作的经验在某些地方安全决策都是由负责安全的专员作出,他们会说“不,我们不会使用云技术”且业务方只能服从。我还遇到过业务方并不关心安全因素,他们只会对安全专员提出要求“确保这些是安全的”。上述这两种情况都不好,因为事实上在作出决策之前必须考虑安全因素。

我们的想法是安全的主要部分是信息风险管理,业务在考虑其他风险时也需要考虑这一点;其次是满足需要。这是不同方面,他们有很多相关的信息,但是他们通过不同方式管理。

接下来要做的是管理剩余风险和决策,我是否需要消除风险,减少风险或者接受风险?我是否可以通过与供应商签署合同或者购买保险将风险转嫁?这些都是我们选择云计算时需要做的商业决定。如果我遇到上述问题却不敢决定,我们就不可能使用云技术。再比如因为商业需求得到了满足我们从风险角度去分析,这就是我们需要做的商业决定。

是否有某些问题导致云计算风险极大以至于你不敢触及?

Reardon:答案是否定的。我们会根据掌握的信息以及云技术供应商提供的保护作出决定,但是用不了太长时间。我在计算机行业工作34年还依稀记得PC的最初阶段,我的计算机的内存只有1k或者更小的空间。如果你在计算机行业工作,变化是贯穿始终的。

作为州的安全官,我的职责不是排斥未来,而是帮助政府在信息风险方面作出信息充分的决定。我的工作是对从工作场所的移动电话到外包服务的方方面面进行潜在分析并为决策者提供合适的建议。

(责任编辑:admin)
    • “扫一扫”关注融合网微信号

    免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。

    第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。

    根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。

    第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。

    个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

    融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net

    对免责声明的解释、修改及更新权均属于融合网所有。

    今日头条

    更多>>

    热门关键字

    关于我们 - 融合文化 - 媒体报道 - 在线咨询 - 网站地图 - TAG标签 - 联系我们
    Copyright © 2010-2020 融合网|DWRH.net 版权所有 联系邮箱:dwrh@dwrh.net 京公网安备 11011202002094号 京ICP备11014553号