还在2022年时,就已经有80%的受访公司承认他们至少经历过一次云安全事件。然后,到2023年中期,94%的受访公司表示他们至少正在使用某种类型的云服务。
将IT迁移到云的流行趋势是无可争议的,而且云采用的速度也令人望而生畏。然而,随着企业将更多IT服务转移到云端,人们开始质疑企业是否准备好管理网络安全、数据处理、知识产权保护和治理等领域的云风险。
风险是存在的,事实上,超过一半的企业在过去一年中都出现过问题。”“其中包括IT延迟、数据丢失、生产力损失、应用程序中断、违反法规以及提供服务的能力下降。
这些都不是偶然事件。云故障、重大安全或数据泄露可能会降低公司的声誉甚至影响到生存力。但许多企业并未将云列为风险管理问题。
公司监控和规划的常见风险管理问题是什么?
大多数都围绕着财务资产负债表面临的危险,例如,如果您是一家金融机构,则账面上有太多高风险贷款;如果您是一家制造商,则在世界风险地区有太多供应商。网络漏洞和IT灾难恢复也已成为风险管理问题,但很少有企业将风险管理扩展到其云服务提供商。
由CIO来提出这个问题。
公司应应对的云风险
使用云服务带来的风险包括安全漏洞、服务质量差、数据处理和机密性等IT问题。但它们也延伸到责任、合规性和可保性。
以下是逐点回顾:
网络安全和网络保险风险。网络保险仍然是一个不断发展的领域,保险公司落后于技术进步。这本身就是一种风险,因为保险公司可能不会为源自云的安全漏洞提供或扩大承保范围。
公司也可能没有做好准备。大多数公司已经将其业务责任范围扩大到包括针对其网络、边缘设备和内部IT的网络攻击。因此,即使云中发生了漏洞,他们也可能会觉得自己受到了保护。不幸的是,现有的企业网络保险政策可能无法扩展到对被保险公司正在使用的外部云服务中发生的基于云的灾难性网络事件的保险保护。
还应该指出的是,云提供商向其客户发布的标准合同保证在发生云安全漏洞或服务故障时“尽最大努力”,但这些合同很少保证云提供商将承担任何财务责任和损失。
管理风险的一部分是确保在云中发生安全或数据泄露等灾难性事件时您拥有适当的保险保护。您的风险管理策略应包括与您的保险提供商会面,以确保您的网络保险涵盖可能源自云以及本地IT的事件。
对于数据处理和数据保管等基于云的操作也是如此。
知识产权和IT所有权风险。如果您订阅了SaaS(软件即服务)云产品,例如ERP系统、CRM系统或AI和分析平台,您是否知道谁拥有您在该平台上为自己开发的独特模块和报告?
一些云提供商会说,既然你使用了他们的平台,他们就可以自由地重新打包并出售或分发你的作品给其他人,而其他云提供商会愿意与你谈判,以便你可以保持自己的作品的专有性和机密性,并且你如果您选择迁移到其他云提供商,可以随身携带。
如今,有些大型企业继续在运行过时操作系统的大型机上运行其系统,因为它们开发了专用系统,这使它们在市场上具有明显的竞争优势。当系统位于云中时,公司将继续开发具有竞争优势的应用程序。当他们这样做时,他们应该预先知道他们是否会拥有自己开发的产品,同时确定失去该知识产权的风险以及他们可以采取哪些措施来防止损失。
作为风险管理策略的一部分,公司在与云供应商的谈判中应优先考虑保护其知识产权。
合规风险。针对医疗保健、金融和其他行业领域的行业特定云平台承诺遵守一般安全和隐私标准以及管理其所服务的特定行业领域的法规。
然而,仅仅因为有这些承诺并不意味着云安全和治理是最新的,或者它们与您自己的相匹配。
作为持续风险管理的一部分,IT应要求云供应商提供最新的IT和监管安全审计报告。当外部IT审计师和监管机构进行访问以评估公司安全和法规合规性时,审计应包括对外部云提供商安全和治理文档的审查。这可以确保IT供应链中的每个人都合规,并且不存在合规或监管风险。
与云一起出现的风险管理问题远远超出了IT范围。它们应纳入企业范围的风险管理,并应接受董事会级别的审查。
原因有3点:
1、许多关键任务系统和应用程序被委托给云。在将他们转移到那里时,企业无法保证现有的业务和网络责任保险会跟随他们。
2、通过将关键系统迁移到云端,企业可以摆脱对安全、治理和监管合规性的直接监督。这会带来更大的风险。
3、企业风险管理和企业商业责任保险的谈判不属于CIO“所有”。企业风险管理和保险范围通常由财务部门管理,并受到董事会和首席执行官的直接监督。现在是CIO将IT和云添加到企业风险管理和董事会级别可见性中的时候了,因为风险太大了。
