企業(yè)應(yīng)用咨詢公司的首席分析師JoshGreenbaum強(qiáng)調(diào)說，多數(shù)企業(yè)對(duì)云計(jì)算的風(fēng)險(xiǎn)還沒有給予足夠的重視。"如果數(shù)據(jù)中心的管理者們?nèi)リP(guān)注機(jī)房里的主要設(shè)施，看到服務(wù)器之外都配置了一個(gè)備用電源，他們就認(rèn)為沒有問題了"Greenbaum表示。他認(rèn)為云計(jì)算應(yīng)該也沒有什么不同。

    在某些情況下，如果風(fēng)險(xiǎn)太大就不能過于依賴云計(jì)算。企業(yè)在決定要把一些服務(wù)器和應(yīng)用軟件放在云上時(shí)，必須考慮清楚如何對(duì)可能的風(fēng)險(xiǎn)進(jìn)行管理。

    Gartner咨詢公司副總裁兼分析家DavidCearley表示使用云計(jì)算的局限是企業(yè)必須認(rèn)真對(duì)待的敏感問題，企業(yè)必須對(duì)云計(jì)算發(fā)揮作用的時(shí)間和地點(diǎn)所產(chǎn)生的風(fēng)險(xiǎn)加以衡量。舉例來說，企業(yè)通過放棄對(duì)某些數(shù)據(jù)的控制來獲取經(jīng)濟(jì)上的交換成本節(jié)約。對(duì)于IT部門里那些C級(jí)別的高層管理者來說，他們必須對(duì)這種交易是否值得做出決策。Cearley表示每件事務(wù)最終都能作為云服務(wù)提供，但是對(duì)于任何獨(dú)立的企業(yè)而言，并非每件事務(wù)都能從云上獲取。

    "在企業(yè)外部的共享資源池中，用戶對(duì)資源在何處運(yùn)行一無所知也無從控制。如果你認(rèn)為數(shù)據(jù)所在的位置和來源對(duì)你很重要，那么這就成為你不使用云計(jì)算的一個(gè)原因"Cearley強(qiáng)調(diào)說。

    安全標(biāo)準(zhǔn)與云無關(guān)

    Greenbaum表示，IT業(yè)界有大量的行業(yè)標(biāo)準(zhǔn)。舉例來說，諸如像SAS公司的交互關(guān)系管理（SASInteractionManagement）這樣的服務(wù)標(biāo)準(zhǔn)廣泛應(yīng)用于IT安全和法規(guī)遵從和企業(yè)交互關(guān)系的管理。然而隨著時(shí)間的流逝，交換式關(guān)系管理也將被轉(zhuǎn)移到云上。

    同時(shí)，在針對(duì)云計(jì)算體系架構(gòu)的安全模式和標(biāo)準(zhǔn)出臺(tái)以前，多數(shù)可能面臨的風(fēng)險(xiǎn)和損失就直接落在了IT企業(yè)的肩上，而不是由云計(jì)算服務(wù)供應(yīng)商來承擔(dān)。"Salesforce.coms和NetSuites都無法提供由標(biāo)準(zhǔn)化制度保障的風(fēng)險(xiǎn)管理機(jī)制"Greenbaum補(bǔ)充說。

    針對(duì)云計(jì)算的最佳實(shí)踐指南

    IBM公司安全和風(fēng)險(xiǎn)管理部門總監(jiān)KristinLovejoy認(rèn)為，享受云服務(wù)的消費(fèi)者最終要負(fù)責(zé)對(duì)數(shù)據(jù)的保密性，完整性和可用性的維護(hù)。

    Lovejoy引用健康保險(xiǎn)便利及責(zé)任法案(HealthInsurancePortabilityandAccountabilityAct,HIPAA)的事實(shí)為例解釋說，健康保險(xiǎn)便利及責(zé)任法案沒有對(duì)數(shù)據(jù)安全有特別規(guī)定。取而代之的是，法案的第164.308和164.314章節(jié)中只是簡單的要求企業(yè)要確保來自任何第三方處理數(shù)據(jù)的安全性。Lovejoy強(qiáng)調(diào)說。

    至于對(duì)云配置的時(shí)間加以限制的做法，Lovejoy建議說企業(yè)應(yīng)該按照杰弗里.摩爾的"相對(duì)核心"理論去做（摩爾是TCG顧問公司的創(chuàng)建者兼商業(yè)戰(zhàn)略家）。

    Lovejoy解釋說，核心商業(yè)慣例提倡的是競爭差異化。而相對(duì)慣例傳遞的是企業(yè)內(nèi)部行為的理念，諸如人力資源服務(wù)和薪資制度。核心慣例和相對(duì)慣例能被分為關(guān)鍵任務(wù)應(yīng)用軟件和非關(guān)鍵任務(wù)應(yīng)用軟件。"如果非關(guān)鍵任務(wù)應(yīng)用軟件脫機(jī)，企業(yè)依然能繼續(xù)生存"。

    Lovejoy還強(qiáng)調(diào)說，摩爾的理論是"如果企業(yè)實(shí)踐是相對(duì)和非關(guān)鍵任務(wù)的，可以把它放在云上，如果是相對(duì)又是關(guān)鍵任務(wù)的，可以用云激活。如果是核心業(yè)務(wù)而不是關(guān)鍵任務(wù)，你可以考慮把它置于防火墻的保護(hù)下；如果它即是核心業(yè)務(wù)又是關(guān)鍵任務(wù)，你就必須把它放在防火墻的保護(hù)下"。