作為Georgia州的首席資訊安全官(CISO),Mark Reardon一直以來全情投入在HTTP://www.aliyun.com/zixun/aggregation/13634.html">雲計算安全方面。 他的工作內容是對來自州政府公務員和市民的需求進行風險分析和平衡。 考慮到上述因素,我們很容易想像到「否決」是他的常用詞。
事實恰好相反,Reardon從來沒有把自己看作是扮演阻礙雲計算等技術改革的角色。 他認為自己在確保這些技術變革更加安全。 今天我們主要談論的是Georgia州特別是州政府領導的執行機構是如何利用雲計算來降低風險的。
SearchCIO.com:你能談一下你們是如何使用雲技術的嗎?
Reardon:我們準備將對大眾公開的資訊網站遷移到雲上。 我需要這些資訊準確,但明顯他們並不會造成什麼財物損失,無關生死。 如果網站崩潰了,對我們是尷尬的一件事。 我們想避免這個結果,但是在投入的同時需要考慮成本。
如果我們能夠減少對這些影響較低的系統的投入成本-這裡的影響較低即當安全問題出現時,如機密資訊,資料完整或者資料可用性的破壞所造成的影響-我們就可以去把資金投入在會造成重大財務影響或者損害個人利益的資訊保護上。
作為政府機構我們採用軟體即服務的策略(SaaS)來進行持續運營規劃。 無論發生了什麼,州政府都需要保證關鍵職能的運營。 這些目前都是由外部供應商來託管的。 如果有需要,政府部門可以登陸主機執行計畫應對。 如果資料中心出現停機情況,我們無法提供服務給我們的市民是很嚴重的。 因此,我們使用了SaaS説明我們應付這些狀況。 同樣,使用SaaS運行某些特定應用也是很划算的。 供應商會支援系統負責系統升級和維修,我們只需要登陸使用。
關於雲計算安全問題,有哪些因素説明你做出決策?
Reardon:在作出決策之前,我們會參考國家標準與技術研究所頒佈的聯邦資訊安全管理準則中建議的風險管理框架-Risk Management Framework進行分析。 操作任何計算系統都是有風險的。 且即使你不操作也是有影響的,因此業務人員需要將這種影響視為提供服務伴隨風險的一部分。 如果你將雲計算放在這個大背景下,你就可以開始根據你的需求和預算進行抉擇了。
回到運營的持續性:我們過去都是自己來管理軟體,但是後來發現引入外包服務會降低成本。 與此同時州政府的不同部門可以分享這個軟體,這樣做的好處是很多的。 然後我會去檢查有哪些資訊如果洩露了,是否存在資訊被洩露給了不法分子的風險? 答案是否定的。 只有在系統被破壞的同時我們又遇到了極端情況下負面影響會顯現。 我們需要分析和衡量所有不同風險,決定願意接受哪些風險。
如何讓業務人員參與到雲計算安全和其他風險管理的決策中?
Reardon:這是一個老生常談的話題,但是很少能做到:如果做IT管理? 我所在的管理和計畫部門,我們會努力讓營業單位的干係人加入共同作出決定。 這是喬治亞州的做法--但並不是一成不變的,以我曾經工作的經驗在某些地方安全決策都是由負責安全的專員作出,他們會說「不,我們不會使用雲技術」且業務方只能服從。 我還遇到過業務方並不關心安全因素,他們只會對安全專員提出要求「確保這些是安全的」。 上述這兩種情況都不好,因為事實上在作出決策之前必須考慮安全因素。
我們的想法是安全的主要部分是資訊風險管理,業務在考慮其他風險時也需要考慮這一點;其次是滿足需要。 這是不同方面,他們有很多相關的資訊,但是他們通過不同方式管理。
接下來要做的是管理剩餘風險和決策,我是否需要消除風險,減少風險或者接受風險? 我是否可以通過與供應商簽署合同或者購買保險將風險轉嫁? 這些都是我們選擇雲計算時需要做的商業決定。 如果我遇到上述問題卻不敢決定,我們就不可能使用雲技術。 再比如因為商業需求得到了滿足我們從風險角度去分析,這就是我們需要做的商業決定。
是否有某些問題導致雲計算風險極大以至於你不敢觸及?
Reardon:答案是否定的。 我們會根據掌握的資訊以及雲技術供應商提供的保護作出決定,但是用不了太長時間。 我在電腦行業工作34年還依稀記得PC的最初階段,我的電腦的記憶體只有1k或者更小的空間。 如果你在電腦行業工作,變化是貫穿始終的。
作為州的安全官,我的職責不是排斥未來,而是説明政府在資訊風險方面作出資訊充分的決定。 我的工作是對從工作場所的行動電話到外包服務的方方面面進行潛在分析並為決策者提供合適的建議。
TechTarget中國原創內容,原文連結:HTTP://www.searchcio.com.cn/showcontent_64068.htm
(責任編輯:呂光)