風險類別--授權風險--網路層
5.4 雲端服務的終止或失效
5.5 雲端服務供應商合併
5.6 特權升級
(5.4~5.6具有相關性,在此合併說明)
《新聞分享》:企業雲端環境之風險管理及因應對策
(新聞來源:勤業眾信:https://www2.deloitte.com/tw/tc/pages/risk/articles/cloud-risk-management.html )
《筆者分析及建議》:
物聯網裡面,可能隨著企業擴大,而產生所謂的跨國交易的問題,多數企業會開始被要求資安、保密協定等等的要求,多數企業到了跨國階段,由於國情不同,有的甚至得靠VPN,才有辦法與另一個國家溝通,因此不可避免的會產生許多雲端服務租借的需求。
然而,租借對於企業來說,基本上就是一個風險,不管是租借到期、終止、合併、失效或升級,都有其風險性的存在,重點在於這些雲端資料要進行風險層級的分類,大部分企業會依風險而規劃資料的重要層級,例如,有些企業會分極機密、機密、普通等層級。
層級分類之後,就要思考哪些資料可以完全依賴雲端,或者另尋其他加密方式進行資料交換,以避免因為跨領域的雲端服務而造成企業的損失產生,同時,也要注意到責任歸屬的問題,我們對於在國內的雲端服務,尚可依國內法律標準進行責任的追究,到了跨國交易時,角色變得更複雜,所有交易模式從國內變成跨國交易,即便是一個伺服器的租借都要考慮到的層面也變得更複雜了。
筆者認為,重視合約
是個減低風險的方式,企業當然會考慮到「效率」的問題,所以企業可以預先擬定合約內容,在進行雲端服務的選擇及評估,當然雲端服務的服務端也會有相應的定型化合約產生,在此就要看雙方對於條件上的認定差異,針對差異進行討論,因此對雲端服務的到期、終止、合併、失效或升級若在合約內都有先行考慮的情況下,對於企業風險及效率上來說,筆者認為是有其必要性的,能夠將注意的事項提早考慮到合約內,後續風險自然就能降低。
下一章,會進入較長資料處理與資訊風險,很多風險因子都與資安項目有關,資安如果要說明,可能篇幅上會極為耗時,考量筆者的作業時間關係,筆者會以比較簡短方式說明,如果有興趣,大家也可以看看資安組裡面一些高手們的文章,或者也可以參考本人歷屆在資安組所寫的文章。