【獨家專訪】雲轉移 獨斷獨行 管理層自製風險難補鑊
雲轉移 是現時工商界的熱話,特別是起步較遲的中小企,或多或少都會考慮選用哪種雲端服務,以提升競爭力及降低營運成本。不過,網絡保安專家提醒管理層在決定選購某一種雲服務前,必定要做好風險評估,同時認清所需服務的內容,避免採購後才發現不適合公司使用,最後只會徒然浪費金錢,同時亦達不到預期效果。
雲轉移 不簡單
「從事網絡保安工作接近二十年,最常見的情況是管理層在選購科技應用產品時,通常不會想到要聽取公司內部的 IT 或 網絡保安人員的意見,而是參考現時同業愛採用那一款產品,然後便要求技術人員配合使用。」網絡安全產品供應商 eWalker 首席顧問楊思聰 (Ricci)指出,欠缺溝通的情況除了是思慮不足,很多時還因為採購準則以價格為優先,管理層又不熟悉產品的技術規格,以致選用的產品難以與公司使用的系統順利磨合,「例如以現時雲端數據轉移為例,即使 IT 同事發現產品不合,由於已沒有轉圜的餘地,便要夾硬將數據放上雲端,但轉移及運作過程中出現的問題卻以解決。」
服務與需求偏差
造成這種現實與預想出現割裂的原因,Ricci 說主要跟管理層輕視了雲轉移的問題有關,「他們以為雲轉移就是將數據放上雲,用什麼方法、有什麼風險,在事前均沒有詳細檢討。以經營網上購票為例,有客人選用了伺服器設於美國的大型票務系統供應商,以為一定穩陣,卻沒有考慮到強如 Google、Facebook 也會有 down 機的時候,所以如果連接美國的線路或遠在美國的供應商系統出現問題,他們便無法做生意,就只能被動地等待問題被解決。」他說如果管理層在一開始已向技術人員了解所需的服務細節,就可減少出現以上的問題。
私隱外洩風險評估
此外,Ricci 又指出選用雲服務時,亦要先進行風險評估,決定哪些資料或工序可以轉移雲上,「特別是中小企業,管理層不應將風險評估踢給 IT 人員處理,因為他們未必知道哪些資料屬於高度機密,以及應該如何管理不同級別的私隱。」他以自己公司的做法為例,會先對每項資料進行評估,「例如這些資料如果外洩會怎樣?給別人修改了又會怎樣?如發現這些資料不能外洩或被修改,就不可以放上雲端,即使放在公司伺服器,亦一樣要加強保安。」Ricci 說網絡保安往往需要講求平衡,例如這些資料多重要,管理層就需要投放與之相符的人手及預算進去,「只要在計劃將資料放上雲端前做好評估,同時聽取技術人員的意見,便可以令雲轉移更暢順、更有效率及更安全。」
