最近的一項調(diào)查發(fā)現(xiàn)，四分之一以上的組織計劃在未來一到兩年內(nèi)將所有IT基礎(chǔ)設(shè)施和工作負(fù)載轉(zhuǎn)移到云端。

與此同時，在備份軟件提供商Veritas公司的調(diào)查中，83%的受訪者認(rèn)為云計算服務(wù)提供商將會保護(hù)用戶的數(shù)據(jù)。但這種想法是不切實際的，而且在目前的監(jiān)管環(huán)境中，這是危險的，并且可能是潛在的合規(guī)性陷阱。

[[231261]]

當(dāng)然，組織可以通過提高效率、靈活性和降低業(yè)務(wù)成本從云計算服務(wù)中受益。

組織機(jī)構(gòu)可以結(jié)合自己和供應(yīng)商的基礎(chǔ)設(shè)施采用混合云和多云服務(wù)，而這些云平臺由于其具有的性能和成本優(yōu)勢而越來越受歡迎。而這些趨勢將會促進(jìn)組織的云計算應(yīng)用。

云合規(guī)差距

在數(shù)據(jù)保護(hù)條例越來越嚴(yán)格的情況下，更多地使用云計算的舉措正在出現(xiàn)。

歐盟的“通用數(shù)據(jù)保護(hù)條例”(GDPR)不僅已經(jīng)生效，其他條例(如更新支付卡PCI-DSS標(biāo)準(zhǔn))也促使組織審查其收集和處理信息的方式。

像GDPR這樣的法規(guī)為個人帶來了一些額外的權(quán)利和保障，例如被遺忘的權(quán)利和組織的新義務(wù)，以及強(qiáng)制披露數(shù)據(jù)泄露事件等。

然而，GDPR的情況并不是新生事物。相反，它是對現(xiàn)有數(shù)據(jù)保護(hù)規(guī)則的澄清和整合。因此，具有可靠數(shù)據(jù)保護(hù)和隱私政策的組織應(yīng)該能夠遵從GDPR法規(guī)。

但是，組織采用云計算的舉措可能會暴露在合規(guī)性方面的差距，特別是對于主要處理個人數(shù)據(jù)的組織。GDPR法規(guī)對“個人數(shù)據(jù)”提出了更清晰的定義。這個定義比許多國家的數(shù)據(jù)保護(hù)法規(guī)定的定義要寬泛得多。

在GDPR的規(guī)定之下，組織在收集、處理或存儲個人數(shù)據(jù)違規(guī)的情況很難爭辯。因此，不可避免地會對使用云計算的組織產(chǎn)生影響。

Dentons律師事務(wù)所的技術(shù)、媒體和電信團(tuán)隊的合伙人Dan Burge說：“遷移到云計算并沒有帶來法規(guī)的豁免。”但它可能會讓組織遵守這些規(guī)則更加困難。

多云也是多重挑戰(zhàn)

組織將業(yè)務(wù)轉(zhuǎn)移到云端可能會帶來一系列實際的管理和監(jiān)管挑戰(zhàn)。

但是對于合規(guī)性，首席信息官和安全官員面臨的關(guān)鍵問題是組織存儲的數(shù)據(jù)類型以及數(shù)據(jù)的位置。運(yùn)行自己的內(nèi)部數(shù)據(jù)庫、檔案和存儲系統(tǒng)的組織應(yīng)該能夠識別大部分?jǐn)?shù)據(jù)的位置。他們可以指定系統(tǒng)和數(shù)據(jù)中心的位置，并進(jìn)行IT設(shè)置，以便限制數(shù)據(jù)(例如歐盟)在特定的地理位置進(jìn)行存儲和處理。從其他業(yè)務(wù)信息中分離個人數(shù)據(jù)應(yīng)該同樣適用于良好的IT控制。

識別數(shù)據(jù)類型或是數(shù)據(jù)分類，也應(yīng)該通過內(nèi)部系統(tǒng)和合規(guī)人員來實現(xiàn)。但是，向外部位置遷移數(shù)據(jù)存儲和IT工作負(fù)載會給組織帶來新的挑戰(zhàn)。

云計算供應(yīng)商通過提供規(guī)模經(jīng)濟(jì)來發(fā)揮作用。要做到這一點，他們需要匯總數(shù)據(jù)。云計算提供商也建立了彈性，并且這樣做將在多個位置承載數(shù)據(jù)。

詳細(xì)了解存儲和合規(guī)性

除非組織的規(guī)模足夠大可以擁有并運(yùn)營私有云系統(tǒng)，或者采用可能分散在幾個地理上分散的私有云，否則他們需要將適合的數(shù)據(jù)交給云計算服務(wù)提供商進(jìn)行存儲。

這對用戶的“數(shù)據(jù)主權(quán)”產(chǎn)生了挑戰(zhàn)，并且用戶知道數(shù)據(jù)在何時何地使用。

組織的CIO們可能不知道他們的云服務(wù)在哪些國家和地區(qū)存儲數(shù)據(jù)。而云計算提供商可能不知道他們是否使用高度自動化的系統(tǒng)實現(xiàn)負(fù)載均衡，并確保業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)。

數(shù)據(jù)的位置

組織經(jīng)常忽視數(shù)據(jù)的確切位置。最安全的解決方案是使用云服務(wù)，并將數(shù)據(jù)鎖定到一個位置，或者至少將數(shù)據(jù)保存在一個管轄區(qū)域內(nèi)，如歐盟各國。

但首先，組織需要確定他們收集和處理的信息類型。如果其首席信息官不清楚進(jìn)入云端的數(shù)據(jù)類型，任何控制或?qū)徲嫈?shù)據(jù)位置的嘗試都會失敗。

有些數(shù)據(jù)類型可以清楚地標(biāo)識為敏感數(shù)據(jù)。例如，保險號碼、銀行賬號、健康信息、地址、年齡等細(xì)節(jié)都是客戶希望企業(yè)保護(hù)的所有數(shù)據(jù)類型。

但是，在GDPR法規(guī)下個人數(shù)據(jù)的定義比傳統(tǒng)的以美國為中心的個人身份信息(PII)定義更寬。

SaaS應(yīng)用程序、電子商務(wù)，甚至社交媒體都有可能在云中創(chuàng)建敏感數(shù)據(jù)。正如最近的媒體報道的事件，任何將在線互動與個人簡介結(jié)合在一起的功能都能夠快速將記錄帶進(jìn)個人數(shù)據(jù)領(lǐng)域。基于SaaS的客戶關(guān)系應(yīng)用程序或保險承保應(yīng)用程序利用來自社交媒體或其他來源的數(shù)據(jù)日志，風(fēng)險會更高。

如果有某種方法通過組合數(shù)據(jù)字段追蹤個人信息，即使匿名或清理記錄也可以恢復(fù)。法律制定者稱之為“馬賽克識別”，并且可能會發(fā)生在云端運(yùn)行的應(yīng)用程序，而組織的CIO卻沒有意識到這個風(fēng)險。

鎖定數(shù)據(jù)

幸運(yùn)的是，組織可以采取措施解決云合規(guī)問題。

首先是在特定的提供商服務(wù)中限制云計算的使用或?qū)⑾拗朴猛荆鴮τ跀?shù)據(jù)地理位置則采取健全且透明的策略。

但是，對于需要使用公共云的組織(即那些采用多供應(yīng)商策略的組織)，下一步是仔細(xì)審核所有數(shù)據(jù)，以確保個人數(shù)據(jù)得到識別、跟蹤并實施數(shù)據(jù)主權(quán)政策。

一旦組織的CIO和數(shù)據(jù)保護(hù)人員知道他們正在處理的數(shù)據(jù)是什么樣的，他們可以采取實際措施來保護(hù)數(shù)據(jù)。建議采用基于客戶端的加密優(yōu)化做法，因為如果云計算服務(wù)遭到黑客攻擊，并具有丟失數(shù)據(jù)的風(fēng)險，即使它沒有解決數(shù)據(jù)主權(quán)問題，加密優(yōu)化也可以降低數(shù)據(jù)丟失的風(fēng)險。

組織還應(yīng)該審查他們的云計算服務(wù)提供商的安全策略，其中包括SaaS平臺和遵守他們自己的數(shù)據(jù)合規(guī)政策和標(biāo)準(zhǔn)，例如ISO27001。

對于混合云和多廠商云來說，盡管仍然可行，但很難實施。多云數(shù)據(jù)管理工具雖然對市場來說還相對較新，但它為IT和數(shù)據(jù)保護(hù)團(tuán)隊提供了對其存儲數(shù)據(jù)進(jìn)行更快速、更加深入監(jiān)控的前景。

但任何采用云計算的組織都需要意識到，無論他們對IT部門如何改進(jìn)，都不能將合規(guī)責(zé)任推卸出去。而確保云計算提供商符合當(dāng)前標(biāo)準(zhǔn)是膙盡職調(diào)查流程的一部分。因此，遵守GDPR法規(guī)和違規(guī)處罰等法律責(zé)任則完全落在組織身上，而不是其云計算供應(yīng)商。