CIO如何评估云计算风险的承受能力
2013-09-16 作者:机房360
大中小
身为企业的首席信息官,如何正确而客观地评估风险承受能力是CIO们的一项重要工作,这也是正式风险管理方法中的第一步,也是最重要的任务之一。而风险管理的很多方面都可以是复杂的,但风险偏好则完全相反。但在它的核心,其内涵就是一些企业更愿意承担风险,而其他的一些企业则不愿意承担风险。
云计算风险偏好
组织的“风险偏好”工作方式与之相同。一家企业可能愿意承受某种风险但在其他风险方面则显得更为谨慎。另外,即便是同一种类的风险中,在某一方面的承受能力也是存在着较大差异的。
云计算是这些领域中的一个:云计算相对较新,并具有一些可影响风险的独特属性。因为云计算技术是在快速发展着的,而新的威胁也在不断涌现;随着云计算监管重点的不断扩大,了解企业在该特定领域中的承受程度是较为有利的。
评估云计算风险承受能力
在企业中有无数的文化、法规以及业务等具体因素将影响企业的风险偏好,并且也会因此影响企业实施云计算。如果一家企业已经实施了风险管理工作,那么就几乎可以肯定这些因素已经经过评估并已形成了相应文档。在这些基础之上开展进一步的工作将节省重复基础工作的时间。如果你的企业从未进行过任何系统的或正式的风险管理,那么这种评价工作就变得具有挑战性了。你将需要对更广范围的风险输入企业的承受能力,但是这些可用于借鉴的文档可能并不存在。因此,你将需要完成充分的工作以便于能够告知你的活动,但是需要指出的是,充分评估每一个领域或获得主管级授权可能并不容易。
你需要了解你自己的技术战略。你是否会计划把你的大部分业务转移至云计算?你是否计划以非常有限的方法有选择性地使用云计算?这种性质的问题将影响你的企业将愿意承担云计算风险的数量,特别是在第一步中所分析的文化因素。因为,非常明显的攻击可能会削弱企业长期实施云计算的信心,从而危及你的长期战略。
人才和技术能够支持你按期望推出待评估的云计算。例如,企业的其他方面的(例如合规性、法律和审计)是否有助于风险评估、威胁监测、持续运行、供应商审批等等?你是否可以使用技术策略以标记威胁、脆弱性以及其他存在的风险?如果你明确地了解随着时间推移你跟踪、管理和应对这些风险的能力,那么你就可能能够容忍更高等级的风险。一旦你已经评估了这些领域,那么下一步就是正式记录你的云计算风险偏好。这就意味着,将其形成书面文字并传达给企业。