如果將雲端運算管理方式帶入到IT管理,是不是會有哪些不同?CIO需要做哪些準備?老編曾經走訪多家企業客戶,很多的客戶都有一份Security Bible,很多企業都認為做好風險管理與資安規範,就能建立資料分享與資料外洩的分水嶺,而要將資料管理好,首先要先知道資料放在那兒。對於一般企業來說,資料無非是存放在內部資料中心或是個人的裝置上,比較容易掌握,所以,Cloud Today,強大的便利性讓很多人都會開始將資料轉至雲端的主機上,沒錯,您跟老編想的一樣,資料安全的重點完完全全就在那雲端機房中的資料了。
如果將雲端運算管理方式帶入到IT管理,是不是會有哪些不同?CIO需要做哪些準備?老編曾經走訪多家企業客戶,很多的客戶都有一份Security Bible,很多企業都認為做好風險管理與資安規範,就能建立資料分享與資料外洩的分水嶺,而要將資料管理好,首先要先知道資料放在那兒。對於一般企業來說,資料無非是存放在內部資料中心或是個人的裝置上,比較容易掌握,所以,Cloud Today,強大的便利性讓很多人都會開始將資料轉至雲端的主機上,沒錯,您跟老編想的一樣,資料安全的重點完完全全就在那雲端機房中的資料了。
從很多原廠的設備介紹中,當資料存放在雲端的主機內,雲端資訊服業者是否有提供合併的資料管理機制,保障資料有妥善的備份系統等等,管理者不用擔心設備掛點後導致資料流失,同時,在雲端的運作方式與架構上也有足夠的安全設定,能避免外部駭客或內部惡意份子竊取資料。
如何針對這些問題,企業得以將雲端治理運用至IT管理中,除了適當的使用雲端資源外,雲端資訊服務內容,可以參考資訊服業者是否有通過CSA Guidance 、ISO 27017等資安服務認證,具有雲端平台規劃安全規範的資服業者,也能確保企業本身的資料安全性外,存放資服業者的雲端平台也能具有足夠的國際安全水準。
在管理上,更不能忽視了定期清查職務資料存取權限,要紮紮實實地落實外洩的管理風險。其中最多的便是管理與監督的成本,這些是降低風險的必要措施也是投資。企業體若是要透過雲端效益來強化IT競爭力,就必需多花時間來仔細審核這些資訊服務商,資服業者可以藉由導入的各式安全規範,對內可加強安全管理體質,對外也能強化資訊的服務品質。資訊服業者可以提昇雲端平台的競爭力。
另外,在資料存取的管控上也是不容忽視的一環。建立一套標準流程,清楚明訂各類資料的調閱與使用辦法,還要定期檢查每位職務的資料存取權限(有如會計盤點一般樣),特別是人員異動時,若未隨之調整所早成的權限空窗期,導致資料流失。雖然不用月盤點一次,但是一般職務最好還是兩季檢查一次使用權限,有職務調動時當然也要再檢查一遍外,特別是高階主管與資料權限控管使用特權之人,檢查期限以短為佳,避免有些高階經理人離職時,將企業內部的中要的關鍵資料全部都帶走,這些血淋淋的故事希望不要再上演。
另外,Gartner也表示,大量資料將會帶動資訊安全市場需求,2013年,企業將會投資在資訊安全防護的預算超過120億美元,其中FireWall有75億美元、IPS&IDS也有15億美元,終端保護軟體上有34億美元之數。2017年,有將近25%以上的企業資料交易會避開傳統的資安防護罩,直接由手持行動裝置往雲端,這樣的雲端資安市場商機高達410億美元。