雲端顧問倡商家初用者兩步走
【香港商報訊】記者劉楚婷報道:全球資訊保安及風險管理服務供應商NTT Com Security北亞區區域經理龔萱表示,本港中小企使用公用雲比較兩年前更普遍,由初期通常只為提供空間儲存資料(storge),逐漸轉為應用(applica-tion)。大型公司由於資源充裕,較多機會選用私有雲,方便短時間內可以擴充系統的使用量。對於初期使用雲端服務的公司,她建議先存放一些可以公開的資料,例如是公司網頁、推廣信息。至於涉及客戶個人資料就最好在熟悉運作后才考慮放上雲端。
龔萱指中小企普用公雲
NTT Com Security售前顧問經理梁偉杰表示,雲端是容易使用的平台,特色是好容易擴大。雲端的特色是所有數據共享,故此不論是公有雲或是私有雲同樣都要處理好「存取控制」(access control)及每個人的權限。即使是私有雲,數據存放在自己公司,理論上是較為安全。不過,由於數據共享,不僅是IT部門,其他部門都有可能看到這些資料。未用雲端前,以前的資料都會存放在不同的伺服器。現時許多大規模的公司都會設立私有雲,但在行政及營運的成本會較昂貴。
「雲端服務有許多優點,但亦有須要注意的地方。公司數據存放在公用雲,其中一個風險是客戶不知道本身的數據會如何處理。雲端服務供應商會向客戶解釋數據安全,但又有何保證呢?」
梁偉杰倡做足保密功夫
梁偉杰給予企業的建議是要了解供應商的背景,公司本身的商譽,在實際營運上如何保證數據存放后,雲端服務供應商的工作人員不會隨便看到。客戶與雲端服務供應商訂立的服務水平協議(SLA)時要留意細節,如要求供應商定期給予審核紀錄(audit log),如究竟有無人登入過伺服器,保障自己的權益。
「客戶可以先為公司的數據分類,如內部使用、機密、特別機密及公開資料等,再決定放那些數據上雲端。公開資料通常是指在互聯網上都可以查到的資料,如公司歷史等,基本上風險不大。至於涉及機密,如客戶資料存放在雲端之前就要小心處理。之前可以為資料做加密,如encryption(加密)或masking(打亂)。例如豐的網上銀行服務就會使用雙重認證(2 factors authentication),確認使用者的身份。」
龔萱補充說,由於流通設施使用日益普遍,企業對資訊保安的意識也要提高。公司要為員工設立使用流動設施的安全政策,并經常作出更新。最理想是每年定期為員工提供有關資訊保安知識的培訓,例如是不可設立一些太容易估到的密碼。