云端?當你在談論”云”的時候，你到底在談論什么?

人們對于各種基于云的產(chǎn)品以及解決方案之間的細微差別可能有多種多樣的認知。對本文而言，云的概念就是一種將計算處理、存儲過程剝離，并利用“別人的電腦”的機會。

[[141427]]

在云端化的過程中，很重要的一點就是在提升價值的同時保護信息。

我們要解決什么問題?

我們每天都在聽聞各種網(wǎng)絡(luò)安全的壞消息，人們持續(xù)關(guān)注著安全失誤、缺乏控制，還有人悲觀地認為未來越變越多的云將帶來一場災難，是這樣嗎?

并不完全是。

隨著我們的大腦充滿了負面信息，不斷從惡劣結(jié)果角度考慮風險，很容易認為云會帶來另一場威脅。在這個鏈條里，云本身就是問題，它帶來了一連串我們必須面對的風險。

但事實上，云有可能成為我們解決實際問題的機會：改變我們保護組織賴以生存的信息的方式。

將組織遷移到一個帶有完備安全策略的云上可能反而會增加安全性。你可能會得到一直以來渴求的控制權(quán)限。更好的是，通過把基本功能交由第三方處理，你可以騰出更多時間來做更高級別、更有價值的任務。

你頭上的云可能會產(chǎn)生一場風暴，毀掉一天的好心情，或者讓太陽炙烤地面，帶來炎熱的氣候，但這些感受往往只屬于視角問題。同樣，公司需要判斷云技術(shù)在整套解決方案中所處的位置，不管認為它是機會還是負擔，這種判斷本身往往也只是一個視角問題。

最近的一項調(diào)查顯示，61%的公司認為，將業(yè)務遷移到云上是屬于高管或董事層的戰(zhàn)略性決定。

人們?nèi)绱丝粗卦贫嘶?，因此很有必要評估一下自己的公司是否正在遷移到云端。在很多情況下，答案都是否定的：準備遷移到云端的所有組織中，有34%認為IT和安全決策在公司內(nèi)起領(lǐng)導作用，拖延了云端化過程。

作為安全負責人，你有三種基本的選擇：

領(lǐng)導公司遷移到一個更加安全的云上
對其他人的決定作出反應，并提出一些改進
徹底落伍

三個需要考慮的關(guān)鍵因素

將云包括進你的策略中至少包括以下三個需要考慮的關(guān)鍵領(lǐng)域：

選擇：通知并確定標準，以指導企業(yè)的解決方案，在使公司受益的同時保護信息。
保護：一旦決定了某個特定的解決方案，應當了解環(huán)境，并構(gòu)建保護信息安全的***途徑。
操作：測量、評估并根據(jù)需求變化和其它可用選項調(diào)整控制、方法、解決方案。

選擇

由于在早期就能夠考慮關(guān)鍵因素，這對安全而言是個很不錯的機會。對領(lǐng)導層而言，云能夠?qū)踩鳛楣緲I(yè)務的一部分進行整合，而不會成為業(yè)務的障礙。

你需要引導組織遷移到云上，并在過程中明確以下幾個問題：

你想解決什么問題?

如何確定范圍?

如何評估?

保護

理想地講，將云上的數(shù)據(jù)保護起來與選擇過程有關(guān)。不管你如何匹配或完善選擇，你究竟能做什么才是真正決定是否能夠進行保護的關(guān)鍵因素。你需要投入時間，與供應商展開合作，探索以下幾個關(guān)鍵領(lǐng)域，以制定一份與組織的風險相匹配的方法：

每個相關(guān)方的角色，為什么會是這樣
如何控制訪問權(quán)限
如何保護數(shù)據(jù)

從這些基本問題開始：

對方能做什么?
對方做了什么?
如何保護對方?
如何保護你自己?
在不考慮預算的情況下，對方能做什么

操作

盡管選擇和保護解決方案是必要的，我們大量的時間都浪費在了消費那些現(xiàn)成的服務上。對***而言，應當開發(fā)清晰和結(jié)構(gòu)化的過程：

評估績效和風險
評估控制和保護機制的狀況，在新選擇可以使用的情況下也是如此
周期性地評估價值并進行改進，不論是對于當前的解決方案還是選擇/保護過程
與其他人展開探討