[[126209]]

云風險管理策略旨在通過緩解風險，讓高風險變成較低的風險。你在制定策略時應該采取分四步走的方法，并且充分考慮到不同的用戶們會如何認識和看待該策略（比如，有些用戶需要的靈活性高于策略中規(guī)定的靈活性。）

如何制定云風險管理策略？

***步：確認和識別資產(chǎn)

軟件即服務（SaaS）用戶僅限于他們用來訪問SaaS應用程序的臺式機、筆記本電腦，以及/或者平板電腦。

平臺即服務（PaaS）開發(fā)人員使用更多的資產(chǎn)。PaaS開發(fā)人員可使用計算機及其工具來開發(fā)和管理應用程序；開發(fā)人員還在服務提供商提供的操作系統(tǒng)上運行其開發(fā)的應用程序。

基礎(chǔ)設施即服務（IaaS）專家使用服務提供商提供的網(wǎng)絡、存儲或計算資源。

第二步：評估和分析風險

你需要評估每種資產(chǎn)的風險，然后將它們分類成低風險、中風險或高風險。至于風險是人為風險（比如錯誤的應用程序邏輯），還是自然災害（比如地震頻發(fā)地區(qū)），那沒有什么關(guān)系。

第三步：實施防范措施

在實施防范措施之前，你應該確保它可以因此將高風險緩解成較低的風險。典型的防范措施包括故障切換機制、閏年識別、嵌套式防火墻以及雙因子驗證（比如強密碼外加面部識別）。如果針對某項資產(chǎn)的防范措施未能帶來積極的投資回報，你就應該為該資產(chǎn)投保。

第四步：評審資產(chǎn)、風險和防范措施

• 你應該定期評審資產(chǎn)、風險和防范措施（通常是每三個月或每六個月評審一次）。你在這么做的過程中可能會發(fā)現(xiàn)：
• 已購置了新的資產(chǎn)。比如說，你從貴企業(yè)獲得***款式的平板電腦，你用它來訪問SaaS應用程序。回到***步即識別資產(chǎn)，從頭來過。
• 由于你用PaaS開發(fā)的某個應用程序的業(yè)務需求發(fā)生了變化，因而出現(xiàn)了新的風險。如果你的資產(chǎn)庫里面沒有出現(xiàn)任何新的資產(chǎn)，就回到第二步即評估風險。不然，就回到***步，從頭來過。
• 可能需要實施新的防范措施。某項新技術(shù)可能讓防范措施花較少的錢就能獲得更高的成效，或者出現(xiàn)新的風險時，就可能需要實施新的防范措施。至于你是PaaS開發(fā)人員還是IaaS基礎(chǔ)設施專家，那沒有關(guān)系。再次執(zhí)行分四步走的過程。

不同的用戶可能會如何認識和看待策略？

用戶怎樣認識和看待云風險管理的好處，這受到以下因素的影響：

• 他們扮演的云角色；
• 他們所在的部門；
• 云服務提供商授予他們的控制措施

SaaS用戶的認識

在任何一家組織，SaaS用戶擁有的唯一控制權(quán)就是，可以從他們選擇的任何設備來訪問SaaS應用程序――該應用程序涉及會計、人力資源還是供應鏈跟蹤，那無關(guān)緊要。該用戶無法控制應用程序的開發(fā)或虛擬機。

SaaS用戶可能會認為服務提供商的云風險管理策略很有限，因為提供商不會讓用戶使用其安全工具來掃描查找SaaS應用程序的安全漏洞。

PaaS開發(fā)人員的認識

PaaS開發(fā)人員可以使用自己喜歡的任何一種安全工具；因此，他們認為提供商的風險管理策略很靈活。PaaS開發(fā)人員控制整個應用程序的生命周期：從概念階段直到部署階段，他們還可以開發(fā)及構(gòu)建測試防范措施的安全工具。SaaS用戶對給黑客設置重重障礙、無法逾越的任何防范措施都會很滿意。

PaaS開發(fā)人員無法控制操作系統(tǒng)的更新和支持PaaS平臺的虛擬機。提供商不允許開發(fā)人員針對操作系統(tǒng)和虛擬機實施防范措施，他們因而可能會感到失望。

IaaS網(wǎng)絡專家的認識

IaaS網(wǎng)絡專家可以在虛擬基礎(chǔ)設施中使用其自己的安全工具。網(wǎng)絡專家可能會認為提供商的云風險管理策略非常靈活。

IaaS網(wǎng)絡專家對防范虛擬機避免非計劃停運時間所需要的工具擁有控制權(quán)。提供商不允許IaaS網(wǎng)絡專家控制其物理服務器和網(wǎng)絡組成的基礎(chǔ)設施，他們可以理解。

總結(jié)

想緩解或杜絕與云有關(guān)的安全問題，你最穩(wěn)妥的辦法就是要搞清楚哪些人將使用該策略，以及各方可能會對你管理風險的方法做出怎樣的反應。

英文原文鏈接：http://www.techrepublic.com/article/factor-in-the-people-side-of-cloud-risk-management/