SaaS、PaaS、IaaS，如今的企業可以選擇任意的云服務交付類型，但是這里有一個他們無法忽視的問題：安全。而且，不同的人對安全性的認識均有所不同，比如IT和業務線人員(LoB)就對基于云的應用風險具有不同看法。

[[258874]]

云里有什么?

如果想要遷移到云端，那么企業可能會希望利用可快速實施的統一通信和協作服務，以提供更多的特性和功能，并同時減少預算。同樣的思維過程也適用于他們的呼叫中心。云計算很有吸引力，但IT人員和業務主管對安全風險的看法則不同。

去年1月Ponemon發布了由Salesforce贊助的云安全報告《縮小云安全業務的差距》(Closing the Cloud Security Business Gap)，該報告調查了與云服務相關的各種觀點、問題和業務立場。其中比較有趣的是，IT組織人員與LoB人員對安全性的看法有所不同。由于這兩個領域并不一致，因此在創建過程、實施的程序、預算定義預安全性執行方面可能存在沖突。盡管他們具有相類似的上云原因，但其背后目的并不一樣，IT需要降低成本，而LoB希望提高效率和減少部署;IT希望提高安全性(24%)，而LoB認為這個并不是太重要(12%)。

來源：Ponemon,2018

云端風險

Ponemon報告的結論之一是，不了解使用中的云應用程序和平臺(SaaS或PaaS)可能會帶來風險。報告發現，77%的受訪者對收集、處理和/或存儲的敏感數據沒有完全的可見性。在另一個結論中，50%的人不確定他們的IT組織是否知道目前正在使用的所有云應用程序。當被要求對風險水平進行評級時，69%的人認為不知道目前使用的所有云應用程序和平臺的風險水平。

下圖顯示，對于云解決方案和本地解決方案，對云安全性的看法是差不多的。它還表明，LoB(20%)和IT(38%)對云安全資源的關注之間存在脫節。

來源：Ponemon,2018

數據外泄

數據外泄問題將可能導致信息竊取、更改網站上的信息、將用戶連接到惡意代碼和信息，或禁用企業的資源等問題。最常見的罪魁禍首是人為錯誤(48%)。這意味著企業必須監視其用戶，以發現導致安全問題的用戶實踐行為。網絡攻擊占安全問題的43%。處理攻擊需要不同的工具集，從監視網絡和應用程序的異常行為到安裝預防措施。比較有趣的是，安全問題的第三大來源是系統故障(36%)。這可能意味著安裝不當、疏忽、沒有更新補丁、延遲更改、IT人員缺乏知識或培訓不足，所有這些都是IT管理問題。

來源：Ponemon,2018

SaaS vs. PaaS安全責任

假設企業正在使用云服務，誰負責安全性?SaaS與PaaS安全責任的比較存在著明確的意見分歧。在使用SaaS時，受訪者表示他們希望云服務提供商(SaaS)負責(29%)。當與PaaS合作時，這一比例下降到17%。當被問及是否應該共享安全責任時，只有13%SaaS客戶希望共享責任，而在PaaS客戶中比例上升到25%。

來源：Ponemon,2018

IT vs. LOB安全認知

報告的結論是，LoB比IT安全部門更有可能相信存于云中的敏感/機密信息會比本地信息更安全。根據下圖，46%的LoB受訪者認為云中的敏感或機密數據更安全，而IT受訪者只有28%認為如此。33%的IT受訪者和25%的LoB受訪者表現他們的功能對信息安全負有較大責任。

LoB和IT都不認為云服務提供了比本地計算更安全的環境(IT 49% vs. LoB 45%)。

來源：Ponemon,2018

一些觀察

使用云服務可以減輕IT的工作量。這也意味著它的控制權更少，將依賴第三方的安全。它看到負債增加。LoB看到了一個更有效的解決方案。

IT認為風險妨礙他們的操作，產生額外的工作，并在發生攻擊時投訴。

IT認為攻擊是一種成本，因為它們會耗盡資源。

LoB認為此次攻擊不僅會影響收入和利潤，還會受到監管機構的費用和罰款的影響。

LoB更加關注客戶流失和聲譽受損。

似乎IT與LoB對安全具有當前的認知可能是由于本地安全功能的聲譽不佳。 對于云的營銷工作對LoB的影響可能比IT部門更大。 IT和LoB必須能進行更好地溝通，更多地了解對方的看法， 目標和現狀。

查看完整報告請點擊：

http://s3.amazonaws.com/idgcampaigns/documents/uploaded_data/05c/4f2/1a-/original/closing-the-cloud-security-business-gap.pdf?1542300161

原文鏈接：https://telecomreseller.com/2019/03/04/cloudy-security-concerns-it-vs-lob/

作者：Gary Audin