根据信息安全论坛(ISF)的一篇题为《云中的数据隐私》的文章报道称:“企业做出部署并采用云系统的决定时,应该同时进行相关的数据信息风险评估,这样的数据信息风险评估是专为处理复杂的云系统和隐私法规的。”
“这也应该由采购过程,有助于使必要的保障支持ISF的报告说,”。
“使用云系统的决定应该被陪同的信息风险评估,在已进行专门对付既云系统和隐私法规的复杂性,”根据该报告,“数据隐私在云中,”信息安全论坛(ISF)。
ISF的报告说:“数据信息的转移过程应该还需要相关采购流程的支持,以便有助于采取必要的保障措施。”
选择一家云提供商要比选择一家普通的供应商需要花费精力,需要更为尽职的详尽的调查。这是因为:不同于其他的供应商,云提供商需要访问并使用您企业的相关关键业务数据,ISF全球副总裁史蒂夫·德宾解释说。
德宾在一封电子邮件中说,“此外,如果出了差池,或者更糟糕的,导致全部数据信息的丢失,而此时的责任则在企业本身而非云服务提供商。”
“企业在选择一家云服务供应商之前务必要擦亮眼睛,对云服务供应商进行彻底的评估,确保他们能够提供相应的安全保证,以及企业所需的应急水平。”他说。
“这些相应的安全保证和所需的应急水平当然是因不同的企业而异的,但这真的是没有捷径可走。”德宾说。“在选择一家云服务供应商之前务必进行风险评估,然后才决定是否购买该服务供应商的服务。”
RSA,EMC安全事业部产品管理总监Nirav Mehta,为我们广大的企业在确定选择一家云服务供应商时提出了安全方面考虑的五大建议:
可用性。“如果您无法容忍企业长时间的停机,那么您务必应该仔细的将这一条纳入到您企业选择云服务供应商的标准范围。” Mehta在接受记者采访时说。“并非所有的云服务提供商都能够保证同样出色的可用性的。”
防止数据资料外泄。您应该咨询云提供商,他们有怎样到位的保障措施,以防止数据资料意外外泄或人为的恶意操作错误而被暴露。
防止数据丢失。如果您企业的数据在云提供商的系统中丢失,他们将采取什么措施?“这可能会造成一次非常严重的业务风险,如果您不将这一标准纳入到您的云服务供应商选择标准的话。” Mehta说。
防止账户被黑。最近已经有很多云服务供应商未能很好的应付这方面突发事故的例子,包括LinkedIn和雅虎。“当这种情况发生时,基本上可以断定是黑客对服务的劫持。” Mehta说。
恶意的内部滥用。作为云服务管理员,他们对于这些系统中的数据有很大的。如果他们滥用这种权限,您企业的数据可能会有麻烦了。
“如果您是一个云管理员,您有获得一切数据信息的权限,并能够摧毁整个数据中心大环境。当想到作为管理员的您有如此众多的权限,这是一种非常可怕的情况。”云基础设施控制公司HyTrust的总裁兼创始人Eric Chiu说。
当云服务的顾客在选择服务提供商时,合规性也是他们所需要考虑到的另一个问题。请记住,虽然您的企业在行业内的确受到一些严格法律的监管,但这个问题如果放到一家第三方云服务提供商那里时,就超出了您所能够管辖的范围了。
Chiu说:“相关的授权,诸如PCI、HIPAA和FISMA等要求控制所有的方式和堆栈。到目前为止,这一级别的控制和可视性在云提供商的环境尚未启用。”
“这一点也阻碍了很多企业迈向云服务的步伐。”他补充道。