作为Georgia州的首席信息安全官(CISO),Mark Reardon一直以来全情投入在">云计算安全方面。他的工作内容是对来自州政府公务员和市民的需求进行风险分析和平衡。考虑到上述因素,我们很容易想象到“否决”是他的常用词。
事实恰好相反,Reardon从来没有把自己看作是扮演阻碍云计算等技术改革的角色。他认为自己在确保这些技术变革更加安全。今天我们主要谈论的是Georgia州特别是州政府领导的执行机构是如何利用云计算来降低风险的。
SearchCIO.com:你能谈一下你们是如何使用云技术的吗?
Reardon:我们准备将对大众公开的信息站点迁移到云上。我需要这些信息准确,但明显他们并不会造成什么财物损失,无关生死。如果站点崩溃了,对我们是尴尬的一件事。我们想避免这个结果,但是在投入的同时需要考虑成本。
如果我们能够减少对这些影响较低的系统的投入成本-这里的影响较低即当安全问题出现时,如机密信息,数据完整或者数据可用性的破坏所造成的影响-我们就可以去把资金投入在会造成重大财务影响或者损害个人利益的信息保护上。
作为政府机构我们采用软件即服务的策略(SaaS)来进行持续运营规划。无论发生了什么,州政府都需要保证关键职能的运营。这些目前都是由外部供应商来托管的。如果有需要,政府部门可以登陆主机执行计划应对。如果数据中心出现停机情况,我们无法提供服务给我们的市民是很严重的。因此,我们使用了SaaS帮助我们应付这些状况。同样,使用SaaS运行某些特定应用也是很划算的。供应商会支持系统负责系统升级和维修,我们只需要登陆使用。
关于云计算安全问题,有哪些因素帮助你做出决策?
Reardon:在作出决策之前,我们会参考国家标准与技术研究所颁布的联邦信息安全管理准则中建议的风险管理框架-Risk Management Framework进行分析。操作任何计算系统都是有风险的。且即使你不操作也是有影响的,因此业务人员需要将这种影响视为提供服务伴随风险的一部分。如果你将云计算放在这个大背景下,你就可以开始根据你的需求和预算进行抉择了。
回到运营的持续性:我们过去都是自己来管理软件,但是后来发现引入外包服务会降低成本。与此同时州政府的不同部门可以分享这个软件,这样做的好处是很多的。然后我会去检查有哪些信息如果泄露了,是否存在信息被泄露给了不法分子的风险?答案是否定的。只有在系统被破坏的同时我们又遇到了极端情况下负面影响会显现。我们需要分析和衡量所有不同风险,决定愿意接受哪些风险。
如何让业务人员参与到云计算安全和其他风险管理的决策中?
Reardon:这是一个老生常谈的话题,但是很少能做到:如果做IT管理?我所在的管理和计划部门,我们会努力让业务部门的干系人加入共同作出决定。这是乔治亚州的做法--但并不是一成不变的,以我曾经工作的经验在某些地方安全决策都是由负责安全的专员作出,他们会说“不,我们不会使用云技术”且业务方只能服从。我还遇到过业务方并不关心安全因素,他们只会对安全专员提出要求“确保这些是安全的”。上述这两种情况都不好,因为事实上在作出决策之前必须考虑安全因素。
我们的想法是安全的主要部分是信息风险管理,业务在考虑其他风险时也需要考虑这一点;其次是满足需要。这是不同方面,他们有很多相关的信息,但是他们通过不同方式管理。
接下来要做的是管理剩余风险和决策,我是否需要消除风险,减少风险或者接受风险?我是否可以通过与供应商签署合同或者购买保险将风险转嫁?这些都是我们选择云计算时需要做的商业决定。如果我遇到上述问题却不敢决定,我们就不可能使用云技术。再比如因为商业需求得到了满足我们从风险角度去分析,这就是我们需要做的商业决定。
是否有某些问题导致云计算风险极大以至于你不敢触及?
Reardon:答案是否定的。我们会根据掌握的信息以及云技术供应商提供的保护作出决定,但是用不了太长时间。我在计算机行业工作34年还依稀记得PC的最初阶段,我的计算机的内存只有1k或者更小的空间。如果你在计算机行业工作,变化是贯穿始终的。
作为州的安全官,我的职责不是排斥未来,而是帮助政府在信息风险方面作出信息充分的决定。我的工作是对从工作场所的移动电话到外包服务的方方面面进行潜在分析并为决策者提供合适的建议。
TechTarget中国原创内容,原文链接:http://www.searchcio.com.cn/showcontent_64068.htm
(责任编辑:吕光)