Sunpower Technology


晶能科技 專業-物聯網/資訊安全/工廠CIM系統銷售及整合服務

2010/04/12 賽門鐵克與Ponemon發表雲端資訊安全控管報告

2010年04月12日 電子工程專輯

賽門鐵克公司(Symantec)與Ponemon Institute共同發表一份針對IT人員的調查報告,指出大部份企業在確保雲端上高敏感度資訊的安全方面,缺乏明確的流程、政策和適當的工具。儘管具 有安全考量和雲端運算預期的成長外,僅27%受訪者表示公司擁有可審查使用高敏感度或機密資料的雲端應用 程式流程。

 

對大多數企業而言,負責IT和資訊安全事業部門的主管和目前評估雲端運算服務的廠商之間存在相當大的落差。在受訪的企業 中,有68%表示使用者和事業部門的主管要負責評估雲端運算廠商。只有20%受訪企業表示,其資訊安全團隊有定期參與決策過程;約有25%受訪者表示他們 從未參與任何過程。而有69%受訪者表示希望資訊安全或企業IT團隊能主導雲端相關決策過程。

 

此份調查報告也發現,參與雲端 相關決策的員工在缺乏IT部門的專業知識,以及沒有充分瞭解資訊安全的潛在危機之情形下參與決策過程。僅有30%受訪者在部署雲端運算的相關產品前針對廠 商作評估。

 

企業評估雲端服務的方式:65%以口耳相傳、55%會根據與廠商的合約、53%則靠企業的保證,僅有23%的企業 要求廠商提出,如SAS 70等符合安全規定的證明,18%企業則仰賴企業界部的安全評估,只有6%仰賴資訊安全專家或審查員提供的第三方評估。

超 過75%受訪者表示由於對終端用戶的控管不足,因此在移轉至雲端運算時的情況不盡理想;此外,投入適當評估的資源不足、沒有監督流程的主管,以及不重視評 估流程等都是造成移轉情況不理想的原因。僅有19%受訪者表示公司提供了一般的資料安全訓練,其中並針對雲端應用進行討論。此外,42%受訪者指出公司提 供的一般資料安全訓練並未論及雲端應用。

 

因此,賽門鐵克建議,企業必須確保政策和程式皆能載明保護儲存在雲端中的敏感資料重 要性。這些政策應概述何種資訊是感應且為企業所有的。此外,企業應採用一種資訊治理方法,其中評估第三單位的安全層級。企業IT人員和(或)資訊安全專業 人員應徹底檢視和審查供應商的安全資格。

 

在部署雲端技術之前,公司應提供員工正式的訓練課程,教導員工如何降低資訊安全風 險,並針對新技術進行訓練,確保敏感和機密資料得以保護。雲端資訊治理(Information Governance in the Cloud):一份針對已採用雲端運算平台的中大型美國企業(1,000至25,000名員工)中637位資深IT人員所做的研究。