云时代的CIO要学会评估和控制云风险

“云计算”这个词一定是有着某种魔力,而这是像ASP、OnDemand、SaaS和其所有其他的前身都不曾具备的。几乎所有的分析师和记者都在撰写博客和微博谈论它,还有大量的会议和展会,并且为此还出版了令人吃惊的大量书籍。

随着云计算的爆发式增长,如今云的类型也已不止一种。现在有公有云、私有云、社区云和混合云。除了这些类型之外,我们还可以再提出一个新的名词,“隐形云”。恰如这一名称所揭示的,这是一个悄然的、看不见的、未被人注意到的云类型。本质上讲,隐形云所提供的服务是被商业客户在不知情的情况下所消费的,而且没有获得CIO和IT部门的允许或支持。

消费者也是商业人士

商业人士正以前所未有的热情接受云计算的概念。他们可以立刻看到云所提供的应用和服务的价值。随着技术研发越来越容易,云所能提供的东西似乎是无限的,其中很多服务是非常令人难忘,可以平滑用户体验的。

当商业人士作为消费者享受这些精致的服务时,他们也不可避免地会将这些服务带到工作中来。例如像在线备份、项目管理、CRM、协作和社交网络等应用都可通过浏览器来访问,既然如此,还有哪位商业人士会继续使用IT部门给配发的古板而乏味的应用呢?

英联邦曾经对其政府部门的IT基础设施做过一次调查,结果发现在PC和服务器上有超过2500种未获支持的商业应用,例如MSAccess数据库、各种电子表格、定制化应用等等。而在这2500多种应用中,居然有500多种承担着关键任务,真让人难以置信。如果采用隐形云的话,那么这些应用或服务根本不可能被发现,除非用户自己向IT部门“坦白交代”。

它为什么是个问题,对谁来说是问题?

隐形云作为一种“众包”类型,听上去很像是可以减轻IT工作负载和积压任务的一种不错的途径。成千上万很有创意的小企业家都在提供各种解决方案,这些解决方案常常可以解决一些很细分的业务问题,而且对企业来说成本很少甚至是零成本。对IT部门来说,是应该把云计算当做一个盟友来对待,因为接受云计算会让他们显得可以对业务提供更多的支持;然而,隐形云似乎具有相反的效果。

缩小还是扩大业务-IT之间的裂痕

对于业务与IT之间的裂痕已经谈论得够多了。不幸的是,隐形云会让业务和IT之间的裂痕越来越深。作为业务的一方,他们常常会抱怨企业的IT部门缺乏灵活性、敏捷性和适应性,但是从CIO的角度去看,你就能看到使用这些云服务的各种风险(运营的、法规遵从的和集成的)。

企业级系统的构建成本和维护成本都很高,而且通常都是关键任务应用,是要支持企业整体运营的。企业的IT部门之所以不能像某些机敏的新兴企业那样迅速采用某些“令人着迷的”应用,其理由是站得住脚的。到目前为止,到底有多少“新型的”云服务商是真正企业就绪的呢?非常少。

这里的关键是,在你打算采用某个云应用之前,必须回答清楚一组问题。这些问题也是企业多年来询问本地运行模式软件厂商的问题,当然还有一些和云相关的问题。

然而大多数的企业用户在开始考虑采用云应用时,根本就没有意识到要去问清楚这些问题。

究竟会有什么样的风险?

由于隐形云的存在,企业正在让自身暴露于以下三种危险之前。

●第一种危险是最为明显的,也是在媒体、博客和各种会议上争论不休的:那就是安全。在很多情况下,较为成熟和老练的云服务商(如Salesforce.com)和企业内部的IT部门相比,会给你的数据带来更好的安全性。为什么?因为这正是他们所关注的地方,他们的收入就仰仗于超过8万家客户的安全。

●第二种危险是法规遵从风险。企业与客户签有什么样的合同,数据应存放在何处?企业的ISO质量认证和数据安全认证所依据的规则是否全员遵守?如果企业员工由于使用了某个云应用而导致数据的无意泄露,那么合同和安全策略是如何规定应承担责任的?这种泄露会给企业带来什么后果?

●第三种危险是商誉受损的风险。假如隐形云中的关键云应用宕机(尤其是在最关键的时候宕机),将会给企业带来怎样的商誉损失?是否会严重影响到客户关系(无论是私下的还是公开的关系)?在过去的数月中,由于墨西哥湾漏油事件,英国石油可以说已经很清楚地了解到了这样一点,工作可以外包,但责任是无法外包的。

我们该做些什么?

云计算的危险是不能忽略的。

魔鬼已经被放出了宝瓶。只要业务部门用户有一个浏览器和互联网连接,那么就会存在安全问题。

有没有限制互联网接入的简单办法呢?没有。那只会让隐形云更进一步地转入地下。业务部门用户会购买带3G网卡的笔记本,轻松绕过企业的防火墙。你会觉得这么说是可笑的,但是最近的两个例子说明这种情况是存在的,并且对于企业来说,这在时间和金钱上都是一种毫无意义的浪费。

对于这一问题的解决办法来自一个似乎最不可能的地方:意大利厨房和PASTA(意大利面条)。让我们把意大利面条拆解开来逐一解说。

●P:策略。企业的云计算策略是怎样的?请记住,“限制策略”是不可取的。这样的策略只会让隐形云更深地隐形。什么样的应用可以迁移到云中?企业是否应该为用户提供类似Force.com的云平台?如果要坚持自己的策略,那么策略必须是务实的,切实可行的。

●A:赦免。企业需要了解业务部门用户在干些什么,然而这些人不可能告诉你他们在做什么,除非他们得知他们的职业生涯将会因此而受损,或者他们已被禁止使用某个应用。赦免期不应长于一个月,需要非常明确地广而告之,造成一种紧迫印象。举例说,要让员工们明白,从赦免期结束之日起,任何违反策略使用云应用的行为都是冒犯企业法规的行为。

●S:支持。必须让最终用户相信,如果他们在赦免期所提供的信息是真实的,会对今后提供给他们的帮助和支持非常有利。从此以后,IT部门必须对用户所使用的应用提供支持——无论你觉得这个应用是多么的不可靠。这个过程将会是非常艰难的,而且需要很高水平的自我控制能力。

●T:技术评估。这是指要对正在使用的云应用进行全面评估,既要做技术评估,也要做商业评估。

●A:采用。现在需要为企业构建自己的云架构了。这可能是由很多目前已经在用的应用构成的,当然也会涉及某些用户按照企业标准迁移进来的应用。然后就需要进行艰苦的工作。推动这些迁移应用、但并非新的应用能够被采纳。

最后的话

作为CIO,你必须引导策略、赦免和支持阶段的进行。这样你才能拥有某种程度的控制,可以评估隐形云对于企业的真正风险。而技术评估和采纳阶段还需要在一段时间之后进行。

云计算已被普遍接受。商业用户正在用浏览器使用云应用投出他们的选票,但他们往往不知道这么做会让自己和他们的企业蒙受风险。而意大利面(PASTA)是一个缩写词,描述的是评估和控制企业中云计算风险的方法。作为CIO,如果你受不了意大利厨房里的热气,那你只能遗憾地离开厨房了。