世界各地的组织都在快速迁移本地IT基础设施, 软件和其他技术到云服务. 今天, 组织将几乎一半的IT预算用于云服务, 而且这种支出还在增长.1 使用这些服务的好处是不可否认的, 包括可变费用的交易资本支出(i.e.(按使用付费模式)和规模经济,这是云超大规模澳门赌场官方下载通常提供的. 与本地IT基础设施和服务相比,云技术可以提高速度和灵活性,并在更短的时间内访问全球受众. 此外, 使用云计算使组织能够专注于其核心业务,而不是维护数据中心. 云服务也在不断增强,以保持在技术的前沿.
然而, 组织及其治理实践无法跟上云的变化步伐. They lack the required 技能 and expertise to effectively govern use of the cloud and its associated risk; 因此, 他们无法优化其价值. 除了, 从运营角度或单个云服务的角度来看,采用云服务通常被认为成本更高, 这是由于缺乏一个明确的或标准的云治理集成框架. 目前, 行业框架没有专门解决云计算对IT治理和管理流程的影响. 云计算是数字化转型的关键推动者,也是数字治理中的一个重要考虑因素. 因此, 重要的是要更加强调云治理,以确保它与未来的业务需求保持一致.
理解云治理原则
要建立云治理原则,应该考虑两个问题. 首先,云治理与IT治理有何不同? 云计算将物理IT硬件和软件转换或抽象为服务, 影响几乎所有的IT管理和治理过程. 有了云计算, 与传统的本地控制IT环境相比,在关键IT服务和基础设施方面越来越依赖第三方. 因此,对IT的治理也应该进行调整. 其次,为什么适当的云治理如此重要? 由于采用云计算带来的IT服务性质的根本变化(例如.e., 资讯保安方法, 成本模型, 所需的技能), 组织的IT治理流程需要适应使用云服务和基础设施引入的新运营模式. 考虑到全球范围内云迁移的显著加速, 在对云进行更改时,执行管理和管理委员会考虑几个原则是很重要的. 快速和灵活的实践和控制是关键,而不是严格的. 他们应该集中政策,但分散政策执行.2 图1 展示了这样的原则.
外圈代表治理领域. 内圈是云迁移影响的典型IT管理流程的非详尽表示.3 执行管理层和管理委员会应该考虑云治理框架的原则,以帮助确保良好治理和增值的云环境.
云治理组件和风险
建议的云治理框架有14个主要的治理领域. 理解这些云治理框架主题是有帮助的.
建立云战略和业务案例
与组织的数字业务战略集成的完善的云战略是云采用旅程的重要起点. 组织通常选择多云和云优先战略,但不考虑云迁移的时间或云将如何实现其数字业务战略. 组织应该制定一个业务和利益案例,考虑云策略和组织的相关需求和利益, 总拥有成本, 以及敏捷性和效率等战略因素.
没有仔细考虑和记录的云策略, 组织面临几种风险来源,包括:
- 在整个澳门赌场官方下载中实现不一致的向云的迁移. 不同的组织部门或业务单位可能使用不同的云采用方法并应用不同的原则, 哪些可能对澳门赌场官方下载实现其目标产生不利影响.
- 向云的迁移没有提供预期的好处和价值. 云的一些好处,比如敏捷性,可能会受到阻碍.
- 第三方信赖风险不明确和管理不善. 这可能会导致系统中断、安全漏洞和不遵守法规等问题.
- 网络安全和隐私风险不明确且管理不善. 这可能导致网络安全漏洞和不遵守隐私法律法规.
创建云治理运营模型
云治理运营模型指的是组织结构, 角色和职责, 资源, 技能, 以及支持云服务的业务流程. The cloud supports an organization’s digital business strategy and business operating model; therefore, IT运作模式, 包括IT治理操作模型, 应该与云对齐吗. 通过与业务涉众协商,IT运营模型应该与业务运营模型保持一致. 一旦IT操作模型对齐, IT治理操作模型必须适应云带来的风险和挑战.
不适当的云治理运营模式可能带来的风险来源包括:
- 组织的结构可能无法有效地管理云迁移, 开发和应用程序支持.
- 云活动可能不支持业务策略, 哪些可能使组织暴露于未管理的风险因素.
- 云计算成本可能过高,无法立即识别.e.(隐藏的)或未管理的.
寻求云的合规性
监管机构和其他重要利益相关者希望遵守法律, 规则, 法规和行业标准.4 组织必须遵守的一些合规性要求包括欧盟通用数据保护条例(GDPR), 南非个人信息保护法(POPIA), 2008年《澳门赌场官方下载》第68号, 国际标准化组织(ISO)标准.g.ISO 22316:2017)和支付卡行业(PCI)标准. 云超大规模计算还必须遵守许多行业标准, 这就是为什么采用云服务的组织将云集成到其合规流程中很重要的原因.
csp应根据组织隐私政策进行评估,并应建立监测机制,以确保持续遵守隐私要求.
未能将云计算集成到合规性流程中可能产生的常见风险来源包括:
- 该组织可能不符合当地或国际立法, 法规或行业标准.
- (五)被吊销经营许可证.g.(因违反隐私规则而丧失处理个人信息的权利).
注重资讯安全合作
使用云服务不会自动确保信息安全.5 云服务提供商(csp)和客户端之间的角色和职责应该明确定义网络安全流程和控制. 还应考虑与所使用的云服务类型相关的共同责任.6
与无效或不充分的信息安全协作相关的常见风险来源包括:
- 组织没有有效管理CSP风险, 导致违反组织的信息安全政策和程序.
- 使用云服务的实体没有充分考虑和实现客户端-用户补充控制, 哪些可能导致控制环境的空白,并提高实体的风险暴露.
- 没有设立监察机制,以确保CSP继续执行商定及订立合约的资讯保安措施.
保护个人资料私隐
在采用任何云服务之前,管理层应该仔细评估隐私风险.7 csp应根据组织隐私政策进行评估,并应建立监测机制,以确保持续遵守隐私要求. 除了, 应建立适当的事故管理程序,以确保在事故发生时,有适当的护栏来处理事故.
组织必须采用和实施适当的数据治理框架和数据管理流程,如数据质量管理,同时还要涵盖云数据.
未能保护个人信息可能带来的风险包括:
- 由于安全漏洞而潜在的私人或机密信息暴露
- 潜在的不遵守规章制度可能产生不利影响,如制裁, 对组织的经济损失或声誉损害
确保数据治理以实现数字化
数据治理是数据驱动型组织和数字化的关键推动者. 组织可以利用多种云数据相关服务进行预测分析, 竞争优势和商业利益. 管理层应建立控制措施以确保完整性, 精度, 保密, 在云中存储和处理的信息的可用性和完整性.
数据完整性和质量的不一致管理是与数据治理相关的一个关键风险. 组织必须采用和实施适当的数据治理框架和数据管理流程,如数据质量管理,同时还要涵盖云数据.
监督财务管理
防止不受控制的增长和云支出的升级, 对云成本进行集中监控和报告至关重要, 以及持续的评估, 优化, 云支出预测. 管理层应建立流程和控制,如标签、报告和分配成本. 随着云使用的增长,标记对于在组织内正确分配成本非常重要.
与云财务管理相关的常见风险来源包括:
- 缺乏对云支出的财务控制可能导致组织无法优化云使用或交付预期价值.
- 孤立的云计算成本管理方法可能不是最佳的. 它可能会减缓或停止云的采用, 削弱创新或降低服务质量.
- 云扩展(不受控制的增长)或云资源的未充分利用可能导致更高的相关支出.
考虑审计权和第三方保证
保证仍然是一个挑战, 特别是在流程和治理结构尚未正式确定的相对较小的csp的情况下. 较小的csp可能负担不起独立的保证提供商来发布服务组织报告. 他们也可能无法处理多个审计请求或执行不同细节程度的风险自我评估. 组织应考虑在CSP合同中包括审核和提交第三方保证报告的权利. 这对于软件即服务(SaaS)供应商来说尤其重要,因为SaaS通常会创建一个黑盒,在这个黑盒中,供应商的风险和控制环境对客户是不可见的.
不幸的是, 未能监测csp以减轻和控制风险是澳门赌场官方下载风险的一个常见来源. 这可能导致未知和无法管理的风险, 导致日常业务运作中断.
仔细选择和签约csp
卖方尽职调查, 选择和承包是确保组织保护其合法权利的重要手段. CSP合同通常是标准的高级文档,是片面的, 很少向客户提供追索权. 应特别注意所有权问题, 特别是在SaaS合同的情况下,用户可能会投入大量资源根据其目的定制云解决方案.8
常见的危险因素包括:
- 如果发生服务中断或所有权或移动云服务提供商等问题上的争议,组织可能无法执行法定权利. 这可能会导致经济损失或长期的法律纠纷.
- 组织可能无法理解与csp相关的风险因素及其解决这些风险的能力, 因此, 可能无法有效地减轻和监测它们.
实现有效的CSP治理和管理
管理安排和csp的管理, 信息即服务(IaaS), 使用平台即服务(PaaS)或SaaS, 对抗黑箱效应的重要部分是服务提供商的典型行为吗. 组织应该始终保留对治理的责任.9 他们不能将治理委托给csp. 组织应该主动管理云供应商,并拥有与业务策略一致的强大内部治理结构, 特别是总体数字化转型计划或路线图.
如果组织不能有效地管理云供应商, 其结果可能是对csp缺乏控制和无效管理.
注意服务水平管理
组织应该积极监控和管理CSP服务水平. 定期的服务水平会议和报告对于确保服务提供者满足组织的需求至关重要. This is not a new concept for most IT teams; however, 组织应该考虑利用现代的和特定于云的工具来监控商定的服务水平. 没有这些工具, 组织面临CSP服务无法满足业务需求或定义服务水平的风险.
确保可移植性和互操作性
当指定提供商时,组织应该考虑从CSP的潜在迁移,以确保不会由于缺乏可移植性而发生供应商锁定. 组织应该在供应商合同中包括迁移帮助,并考虑对他们使用的云服务进行分层,以确定必要的可移植性速度. 否则, 他们可能面临云解决方案和连接系统之间缺乏互操作性的问题, 制造信息孤岛和集成问题.
优先考虑澳门赌场官方下载风险管理
组织应将云风险集成到澳门赌场官方下载风险管理流程中,并定期报告风险. 管理层应该明确定义云风险管理方面的角色和职责.10
如果组织未能将云计算视为组织范围内的风险, 云的采用可能会失败,给组织带来更多的问题而不是进步.
考虑CSP的连续性
组织应该将云中的灾难恢复和连续性作为其云解决方案的一部分进行架构设计,而不应该假设会发生自动恢复. 如果他们做不到这一点,可能会导致CSP服务不可用.11
组织应该在供应商合同中包括迁移帮助,并考虑对他们使用的云服务进行分层,以确定必要的可移植性速度.
结论
云治理正在兴起. 云的使用改变了标准的本地IT治理流程(例如.g.(SaaS和IaaS影响供应商治理和管理流程的性质). 云计算对IT服务产生了根本性的影响,从而改变了风险概况. 为本地IT服务设计的现有IT治理流程与云采用和迁移带来的挑战和风险不一致. 提出的云治理框架提供了云治理更重要方面的集成模型,有助于实现有效的云治理.
尾注
1 FutureCIO,“一半的IT预算将用于云计算”,2022年2月16日, http://futurecio.tech/half-of-it-budgets-will-go-to-the-cloud
2 木材、T.; D. Bartoletti; 为云调整您的治理框架弗雷斯特,美国,2018
3 ITIL和政府商务办公室(OGC) 服务操作, p33-78, The Stationery Office,英国,2007, http://www.teraits.com/pitagoras/marcio/itil/OGC_ITIL_v3_5_Service_Operation.pdf
4 Heyink, M.; 云计算导论:对南非公司的法律影响,第2版,南非律师协会,南非,2014年, http://www.lssa.org.za/wp-content/uploads/2019/12/LSSA-Guidelines_Introduction-to-Cloud-Computing-Legal-Implications-2012.pdf
5 尼利,M.; "Securing an Evolving 云 Environment," ISACA® 杂志,卷. 3, 2014, http://3i4.bobbyingano.com/archives
6 Vohradsky D.; "云 Risk-10 Principles and a Framework for Assessment," ISACA杂志,卷. 5, 2012, http://3i4.bobbyingano.com/archives
7 哇,T.; D. Bartoletti; 为云调整您的治理框架弗雷斯特,美国,2018
8 Op cit Heyink
9 柯克帕特里克J.; "治理 in the 云," ISACA杂志,卷. 5, 2011, http://3i4.bobbyingano.com/archives
10 艾,V.; "Risk Landscape of 云 Computing," ISACA杂志,卷. 1, 2010, http://3i4.bobbyingano.com/archives
11 Shacklett, M.; "Rethinking Disaster Recovery for the 云," CIO杂志2018年12月6日
David mazula | cisa, cism
是普华永道(PwC)南非分公司数字信托团队的合伙人吗. 他有超过10年的系统审计经验, 内部审计, 跨不同行业的业务流程改进和其他咨询服务.
Casper lamprecht | cisa, cia
是普华永道南非数字信托团队的高级经理吗. 他专门研究IT治理以及项目和计划保证. 他拥有超过20年的项目管理经验和13年的IT风险和治理经验.