信息化觀察網(wǎng)

最近的一項(xiàng)調(diào)查發(fā)現(xiàn)，四分之一以上的組織計(jì)劃在未來(lái)一到兩年內(nèi)將所有IT基礎(chǔ)設(shè)施和工作負(fù)載轉(zhuǎn)移到云端。

與此同時(shí)，在備份軟件提供商Veritas公司的調(diào)查中，83%的受訪者認(rèn)為云計(jì)算服務(wù)提供商將會(huì)保護(hù)用戶的數(shù)據(jù)。但這種想法是不切實(shí)際的，而且在目前的監(jiān)管環(huán)境中，這是危險(xiǎn)的，并且可能是潛在的合規(guī)性陷阱。

3

當(dāng)然，組織可以通過提高效率、靈活性和降低業(yè)務(wù)成本從云計(jì)算服務(wù)中受益。

組織機(jī)構(gòu)可以結(jié)合自己和供應(yīng)商的基礎(chǔ)設(shè)施采用混合云和多云服務(wù)，而這些云平臺(tái)由于其具有的性能和成本優(yōu)勢(shì)而越來(lái)越受歡迎。而這些趨勢(shì)將會(huì)促進(jìn)組織的云計(jì)算應(yīng)用。

云合規(guī)差距

在數(shù)據(jù)保護(hù)條例越來(lái)越嚴(yán)格的情況下，更多地使用云計(jì)算的舉措正在出現(xiàn)。

歐盟的“通用數(shù)據(jù)保護(hù)條例”(GDPR)不僅已經(jīng)生效，其他條例(如更新支付卡PCI-DSS標(biāo)準(zhǔn))也促使組織審查其收集和處理信息的方式。

像GDPR這樣的法規(guī)為個(gè)人帶來(lái)了一些額外的權(quán)利和保障，例如被遺忘的權(quán)利和組織的新義務(wù)，以及強(qiáng)制披露數(shù)據(jù)泄露事件等。

然而，GDPR的情況并不是新生事物。相反，它是對(duì)現(xiàn)有數(shù)據(jù)保護(hù)規(guī)則的澄清和整合。因此，具有可靠數(shù)據(jù)保護(hù)和隱私政策的組織應(yīng)該能夠遵從GDPR法規(guī)。

但是，組織采用云計(jì)算的舉措可能會(huì)暴露在合規(guī)性方面的差距，特別是對(duì)于主要處理個(gè)人數(shù)據(jù)的組織。GDPR法規(guī)對(duì)“個(gè)人數(shù)據(jù)”提出了更清晰的定義。這個(gè)定義比許多國(guó)家的數(shù)據(jù)保護(hù)法規(guī)定的定義要寬泛得多。

在GDPR的規(guī)定之下，組織在收集、處理或存儲(chǔ)個(gè)人數(shù)據(jù)違規(guī)的情況很難爭(zhēng)辯。因此，不可避免地會(huì)對(duì)使用云計(jì)算的組織產(chǎn)生影響。

Dentons律師事務(wù)所的技術(shù)、媒體和電信團(tuán)隊(duì)的合伙人Dan Burge說：“遷移到云計(jì)算并沒有帶來(lái)法規(guī)的豁免。”但它可能會(huì)讓組織遵守這些規(guī)則更加困難。

多云也是多重挑戰(zhàn)

組織將業(yè)務(wù)轉(zhuǎn)移到云端可能會(huì)帶來(lái)一系列實(shí)際的管理和監(jiān)管挑戰(zhàn)。

但是對(duì)于合規(guī)性，首席信息官和安全官員面臨的關(guān)鍵問題是組織存儲(chǔ)的數(shù)據(jù)類型以及數(shù)據(jù)的位置。運(yùn)行自己的內(nèi)部數(shù)據(jù)庫(kù)、檔案和存儲(chǔ)系統(tǒng)的組織應(yīng)該能夠識(shí)別大部分?jǐn)?shù)據(jù)的位置。他們可以指定系統(tǒng)和數(shù)據(jù)中心的位置，并進(jìn)行IT設(shè)置，以便限制數(shù)據(jù)(例如歐盟)在特定的地理位置進(jìn)行存儲(chǔ)和處理。從其他業(yè)務(wù)信息中分離個(gè)人數(shù)據(jù)應(yīng)該同樣適用于良好的IT控制。

識(shí)別數(shù)據(jù)類型或是數(shù)據(jù)分類，也應(yīng)該通過內(nèi)部系統(tǒng)和合規(guī)人員來(lái)實(shí)現(xiàn)。但是，向外部位置遷移數(shù)據(jù)存儲(chǔ)和IT工作負(fù)載會(huì)給組織帶來(lái)新的挑戰(zhàn)。

云計(jì)算供應(yīng)商通過提供規(guī)模經(jīng)濟(jì)來(lái)發(fā)揮作用。要做到這一點(diǎn)，他們需要匯總數(shù)據(jù)。云計(jì)算提供商也建立了彈性，并且這樣做將在多個(gè)位置承載數(shù)據(jù)。

詳細(xì)了解存儲(chǔ)和合規(guī)性

除非組織的規(guī)模足夠大可以擁有并運(yùn)營(yíng)私有云系統(tǒng)，或者采用可能分散在幾個(gè)地理上分散的私有云，否則他們需要將適合的數(shù)據(jù)交給云計(jì)算服務(wù)提供商進(jìn)行存儲(chǔ)。

這對(duì)用戶的“數(shù)據(jù)主權(quán)”產(chǎn)生了挑戰(zhàn)，并且用戶知道數(shù)據(jù)在何時(shí)何地使用。

組織的CIO們可能不知道他們的云服務(wù)在哪些國(guó)家和地區(qū)存儲(chǔ)數(shù)據(jù)。而云計(jì)算提供商可能不知道他們是否使用高度自動(dòng)化的系統(tǒng)實(shí)現(xiàn)負(fù)載均衡，并確保業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)。

數(shù)據(jù)的位置

組織經(jīng)常忽視數(shù)據(jù)的確切位置。最安全的解決方案是使用云服務(wù)，并將數(shù)據(jù)鎖定到一個(gè)位置，或者至少將數(shù)據(jù)保存在一個(gè)管轄區(qū)域內(nèi)，如歐盟各國(guó)。

但首先，組織需要確定他們收集和處理的信息類型。如果其首席信息官不清楚進(jìn)入云端的數(shù)據(jù)類型，任何控制或?qū)徲?jì)數(shù)據(jù)位置的嘗試都會(huì)失敗。

有些數(shù)據(jù)類型可以清楚地標(biāo)識(shí)為敏感數(shù)據(jù)。例如，保險(xiǎn)號(hào)碼、銀行賬號(hào)、健康信息、地址、年齡等細(xì)節(jié)都是客戶希望企業(yè)保護(hù)的所有數(shù)據(jù)類型。

但是，在GDPR法規(guī)下個(gè)人數(shù)據(jù)的定義比傳統(tǒng)的以美國(guó)為中心的個(gè)人身份信息(PII)定義更寬。

SaaS應(yīng)用程序、電子商務(wù)，甚至社交媒體都有可能在云中創(chuàng)建敏感數(shù)據(jù)。正如最近的媒體報(bào)道的事件，任何將在線互動(dòng)與個(gè)人簡(jiǎn)介結(jié)合在一起的功能都能夠快速將記錄帶進(jìn)個(gè)人數(shù)據(jù)領(lǐng)域?；赟aaS的客戶關(guān)系應(yīng)用程序或保險(xiǎn)承保應(yīng)用程序利用來(lái)自社交媒體或其他來(lái)源的數(shù)據(jù)日志，風(fēng)險(xiǎn)會(huì)更高。

如果有某種方法通過組合數(shù)據(jù)字段追蹤個(gè)人信息，即使匿名或清理記錄也可以恢復(fù)。法律制定者稱之為“馬賽克識(shí)別”，并且可能會(huì)發(fā)生在云端運(yùn)行的應(yīng)用程序，而組織的CIO卻沒有意識(shí)到這個(gè)風(fēng)險(xiǎn)。

鎖定數(shù)據(jù)

幸運(yùn)的是，組織可以采取措施解決云合規(guī)問題。

首先是在特定的提供商服務(wù)中限制云計(jì)算的使用或?qū)⑾拗朴猛?，而?duì)于數(shù)據(jù)地理位置則采取健全且透明的策略。

但是，對(duì)于需要使用公共云的組織(即那些采用多供應(yīng)商策略的組織)，下一步是仔細(xì)審核所有數(shù)據(jù)，以確保個(gè)人數(shù)據(jù)得到識(shí)別、跟蹤并實(shí)施數(shù)據(jù)主權(quán)政策。

一旦組織的CIO和數(shù)據(jù)保護(hù)人員知道他們正在處理的數(shù)據(jù)是什么樣的，他們可以采取實(shí)際措施來(lái)保護(hù)數(shù)據(jù)。建議采用基于客戶端的加密優(yōu)化做法，因?yàn)槿绻朴?jì)算服務(wù)遭到黑客攻擊，并具有丟失數(shù)據(jù)的風(fēng)險(xiǎn)，即使它沒有解決數(shù)據(jù)主權(quán)問題，加密優(yōu)化也可以降低數(shù)據(jù)丟失的風(fēng)險(xiǎn)。

組織還應(yīng)該審查他們的云計(jì)算服務(wù)提供商的安全策略，其中包括SaaS平臺(tái)和遵守他們自己的數(shù)據(jù)合規(guī)政策和標(biāo)準(zhǔn)，例如ISO27001。

對(duì)于混合云和多廠商云來(lái)說，盡管仍然可行，但很難實(shí)施。多云數(shù)據(jù)管理工具雖然對(duì)市場(chǎng)來(lái)說還相對(duì)較新，但它為IT和數(shù)據(jù)保護(hù)團(tuán)隊(duì)提供了對(duì)其存儲(chǔ)數(shù)據(jù)進(jìn)行更快速、更加深入監(jiān)控的前景。

但任何采用云計(jì)算的組織都需要意識(shí)到，無(wú)論他們對(duì)IT部門如何改進(jìn)，都不能將合規(guī)責(zé)任推卸出去。而確保云計(jì)算提供商符合當(dāng)前標(biāo)準(zhǔn)是膙盡職調(diào)查流程的一部分。因此，遵守GDPR法規(guī)和違規(guī)處罰等法律責(zé)任則完全落在組織身上，而不是其云計(jì)算供應(yīng)商。