賽門鐵克公司與知名隱私暨資訊管理研究機構Ponemon Institute共同發表一份針對IT專業人員的調查報告。報告中指出,大部分企業在確保雲端上高敏感度資訊的安全方面,缺乏明確的流程、政策和適當的工具。儘管有安全考量和雲端運算預期的成長外,僅27%受訪者表示他們的公司擁有可審查使用高敏感度或機密資料的雲端應用程式之流程。
對大多數企業而言,負責IT和資訊安全事業部門的主管和目前評估雲端運算服務的廠商之間存在相當大的落差。在受訪的企業中,有68%表示使用者和事業部門的主管要負責評估雲端運算廠商。只有20%受訪企業表示,其資訊安全團隊有定期參與決策過程;約有25%受訪者表示他們從未參與任何過程。而有69%受訪者表示希望資訊安全或企業IT團隊能主導雲端相關決策過程。
此份調查報告也發現,參與雲端相關決策的員工在缺乏IT部門的專業知識,以及沒有充分瞭解資訊安全的潛在危機之情形下參與決策過程。僅有30%受訪者在部署雲端運算的相關產品前針對廠商作評估。
調查報告其他發現如下:企業評估雲端服務的方式分別為,65%以口耳相傳,5%會根據與廠商的合約,還有53%則靠企業的保證,僅有23%的企業要求廠商提出如SAS 70等符合安全規定的證明,18%企業則仰賴企業內部的安全評估,只有6%仰賴資訊安全專家或審查員提供的第三方評估。
超過75%受訪者表示由於對終端用戶的控管不足,因此在移轉至雲端運算時情況不盡理想;此外,投入適當評估的資源不足、沒有監督流程的主管,以及不重視評估流程等都是造成移轉情況不理想的原因。
僅有19%受訪者表示他們的公司有提供一般的資料安全訓練,其中會針對雲端應用進行討論。此外,42%受訪者指出,他們的公司提供的一般資料安全訓練並沒有論及雲端應用。
Ponemon Institute董事長暨創辦人Larry Ponemon博士表示:「雲端運算很有潛力成為提供許多關鍵商業服務的工具,但在這次調查中可明顯看出,在許多企業急於加入雲端的行列時,仍缺乏對高敏感度企業及個人資料的考量。為了能讓企業適時解決資訊安全問題,我們鼓勵企業應立即建立審核供應商資格之政策和各種流程。此外,提供雲端運算服務的廠商也必須同意採用更透明化的服務模式。」
賽門鐵克公司資訊安全長Justin Somaini表示:「儘管企業普遍都有興趣採用各種雲端運算技術,但許多企業郤盲目地認為他們是安全的,因而讓他們的商業營運、公司資料和顧客資訊處於潛在的危機中。現今的企業需要更強固的資訊治理方法,有效地管理企業資訊,並能更有信心地採用雲端應用。成功的雲端運算取決於信任和信心,而信任則來自於資訊安全團隊在進入雲端時,是否對安全狀態和雲端計畫之運作有充分的瞭解和掌握。」
賽門鐵克建議:
1.序皆能清楚地說明保護儲存在雲端中的敏感資料之重要性。這些政策應概述何種資訊是敏感且為企業所有的。
2.企業應採用一個資訊治理方法,其中要包括可分類資料和承擔風險的工具和流程,因此可透過政策具體地分辨哪些是適當的雲端服務與應用程式,哪些不是。
3.在分享機密或敏感資料前,要評估第三單位的安全層級。企業IT人員和(或)資訊安全專業人員應徹底檢視和審查供應商的安全資格。
4.在部署雲端技術之前,公司應提供員工正式的訓練課程,教導員工如何降低資訊安全風險,並針對新技術進行訓練,確保敏感和機密資料得以保護。
雲端資訊治理(Information Governance in the Cloud):一份針對已採用雲端運算平台的中大型美國企業(1,000至25,000名員工)中637位資深IT人員所做的研究。賽門鐵克贊助此研究報告。