作為Georgia州的首席信息安全官(CISO),Mark Reardon一直以來全情投入在云計算安全方面。他的工作內容是對來自州政府公務員和市民的需求進行風險分析和平衡。考慮到上述因素,我們很容易想象到“否決”是他的常用詞。
事實恰好相反,Reardon從來沒有把自己看作是扮演阻礙云計算等技術改革的角色。他認為自己在確保這些技術變革更加安全。今天我們主要談論的是Georgia州特別是州政府領導的執行機構是如何利用云計算來降低風險的。
SearchCIO.com:你能談一下你們是如何使用云技術的嗎?
Reardon:我們準備將對大眾公開的信息站點遷移到云上。我需要這些信息準確,但明顯他們并不會造成什么財物損失,無關生死。如果站點崩潰了,對我們是尷尬的一件事。我們想避免這個結果,但是在投入的同時需要考慮成本。
如果我們能夠減少對這些影響較低的系統的投入成本-這里的影響較低即當安全問題出現時,如機密信息,數據完整或者數據可用性的破壞所造成的影響-我們就可以去把資金投入在會造成重大財務影響或者損害個人利益的信息保護上。
作為政府機構我們采用軟件即服務的策略(SaaS)來進行持續運營規劃。無論發生了什么,州政府都需要保證關鍵職能的運營。這些目前都是由外部供應商來托管的。如果有需要,政府部門可以登陸主機執行計劃應對。如果數據中心出現停機情況,我們無法提供服務給我們的市民是很嚴重的。因此,我們使用了SaaS幫助我們應付這些狀況。同樣,使用SaaS運行某些特定應用也是很劃算的。供應商會支持系統負責系統升級和維修,我們只需要登陸使用。
關于云計算安全問題,有哪些因素幫助你做出決策?
Reardon:在作出決策之前,我們會參考國家標準與技術研究所頒布的聯邦信息安全管理準則中建議的風險管理框架-Risk Management Framework進行分析。操作任何計算系統都是有風險的。且即使你不操作也是有影響的,因此業務人員需要將這種影響視為提供服務伴隨風險的一部分。如果你將云計算放在這個大背景下,你就可以開始根據你的需求和預算進行抉擇了。
回到運營的持續性:我們過去都是自己來管理軟件,但是后來發現引入外包服務會降低成本。與此同時州政府的不同部門可以分享這個軟件,這樣做的好處是很多的。然后我會去檢查有哪些信息如果泄露了,是否存在信息被泄露給了不法分子的風險?答案是否定的。只有在系統被破壞的同時我們又遇到了極端情況下負面影響會顯現。我們需要分析和衡量所有不同風險,決定愿意接受哪些風險。
如何讓業務人員參與到云計算安全和其他風險管理的決策中?
Reardon:這是一個老生常談的話題,但是很少能做到:如果做IT管理?我所在的管理和計劃部門,我們會努力讓業務部門的干系人加入共同作出決定。這是喬治亞州的做法--但并不是一成不變的,以我曾經工作的經驗在某些地方安全決策都是由負責安全的專員作出,他們會說“不,我們不會使用云技術”且業務方只能服從。我還遇到過業務方并不關心安全因素,他們只會對安全專員提出要求“確保這些是安全的”。上述這兩種情況都不好,因為事實上在作出決策之前必須考慮安全因素。
我們的想法是安全的主要部分是信息風險管理,業務在考慮其他風險時也需要考慮這一點;其次是滿足需要。這是不同方面,他們有很多相關的信息,但是他們通過不同方式管理。
接下來要做的是管理剩余風險和決策,我是否需要消除風險,減少風險或者接受風險?我是否可以通過與供應商簽署合同或者購買保險將風險轉嫁?這些都是我們選擇云計算時需要做的商業決定。如果我遇到上述問題卻不敢決定,我們就不可能使用云技術。再比如因為商業需求得到了滿足我們從風險角度去分析,這就是我們需要做的商業決定。
是否有某些問題導致云計算風險極大以至于你不敢觸及?
Reardon:答案是否定的。我們會根據掌握的信息以及云技術供應商提供的保護作出決定,但是用不了太長時間。我在計算機行業工作34年還依稀記得PC的最初階段,我的計算機的內存只有1k或者更小的空間。如果你在計算機行業工作,變化是貫穿始終的。
作為州的安全官,我的職責不是排斥未來,而是幫助政府在信息風險方面作出信息充分的決定。我的工作是對從工作場所的移動電話到外包服務的方方面面進行潛在分析并為決策者提供合適的建議。
京公網安備 11010502049343號