扫一扫
关注微信公众号

如何驶过云安全雷区
2012-09-19   企业网

云很可能是一个IT高管的梦想成真——一个减小成本并为其他IT项目腾出资金的机会。

但是,穿过恐惧的雷区,来自不同季度的对于云安全的不确定和怀疑均可以通过创建一个应急计划并了解澳洲和海外的法律法规来缓解。

对于康斯律师事务所的高级合伙人Johanna O’Rourke(她专攻ICT法律方向)来说,拥有一个合适的计划意味着能在一个组织的数据被盗或者管理者不得不诉诸法律保护公司之前,将安全和诉讼难题缩到最小。

O’Rourke在悉尼IDC云会议上发表讲话告诉代表们,组织们被要求要保持大量电子信息,这对日常运作是很重要的。

深度观察:避免在线失职索赔

“当首席信息官移动数据到云,这意味着他们需要放弃控制数据,而且这就是法律问题会出现的地方,”她说。比如说,公司可能面对不适当泄露的风险,声誉损失,数据泄露事件牵涉的第三方的起诉以及监管机构的起诉,例如澳大利亚政府信息专员办公室。

“澳大利亚隐私专员,Timothy Pilgrim,并不害怕调查数据泄露以及发表与之相关的陈述,”她警告道。

例如,专员调查了2011年4月7700万用户账号被盗的索尼PlayStation网络的数据数据泄露事件。

根据O’Rourke的说法,此次事件发生在2011年4月17和19号之间。但是,索尼知道4月26号才公布数据泄露。

“虽然政府专员发现已经没有违反隐私法的行为了,但他确实对索尼花了十天才告知用户其账号泄露表示担忧,”她说。

隐私法

说道法律法规时,O’Rourke指出,澳大利亚的1988年隐私法没有处理云计算,所以应用现存的隐私法对科技行业来说是个重要问题。

“在云计算环境中,该法案适用于正在澳洲收集数据并在海内外存储数据的澳大利亚公司,”她说。

“它也适用于在澳洲做生意并在转换数据到海外之前在此地存储数据的外国公司。”

但是,该法案不适用于不在澳洲收集数据的海外企业。

“我辛苦的申明此点是因为许多云供应商事实上并不为隐私法所约束,”她说。

根据O’Rourke的说法,许多云服务供应商在澳大利亚都没有一间办公室。结果是,这里没有服务器或数据驻扎在这儿。

但是,使用海外云服务供应商的服务的澳大利亚公司仍然没该法案约束。结果是,如果这些公司决定转移私人数据至云中,需要将额外的保护写入与这些供应商的合同中。

“隐私法下所应用的与云计算相关的条例是NPP4,它讨论的是数据安全和维护数据的要求,”她说。

“另一项条例是NPP9,它涵盖了运输者数据流。之所以说它相关,原因是在云环境中,你不能转移数据,除非你已经收到了私人信息主人的许可或它已经被转移至与隐私法相似的法律权限内,”她说。

根据O’Rourke的说法,欧洲隐私法被认为是相似的,但美国和新加坡隐私法并不被澳大利亚隐私专员所承认。

再看2012隐私修正案,一个IT高管应注意的主要的改变是关系到跨境披露。

“在新法律下,转移数据的组织将保持在违反安全时间发生时负责,”她说。

这意味着严格的责任,所以如果公司的云供应商有数据泄露情况,该公司管理者将要负责。

“你将会想在你的合同中要保护措施来确保你有能力在偶然事件发生时恢复元气,”她说。

“这是最糟糕的情况,所以你想要对供应商做尽职调查来确保他们已经尽可能的来确保环境安全而你甚至根本不会到达数据安全泄露的那个地步。”

非盈利云体验

对于天主教教育办公室首席技术官Milton Scott来说,在和谷歌签合同前尽职调查是最重要的,他的70%的系统都建设在云中。

“我们已经有两个法律团队专门服务于查看藏在某人(如谷歌)后台的隐私、条目和条件,”他说。这包括天主教教育办公室主持的学生信息保健问题的责任。比如说,关于学生的健康和安全信息或Google Mail中没有留存的雇员信息。

Scott补充道,云使用对一个非盈利组织的节约来说是理想的。“我们从微软、谷歌获得的云产品的种类在一个区别于商业冒险的教育价位。”

另一个被该办公室应用的云安全创举是一个Novell身份管理系统,它准许所有员工身份,区别于一个雇员目录。

“一旦一位雇员离开,他们的名字就从哪个身份管理系统中除去,而应用程序就对他们限制使用,”Scott说。

热词搜索:

上一篇:Gartner:私有云五大常见误区
下一篇:IT治理与IT管理:一枚硬币的两面

分享到: 收藏