中小企业如何善用云端服务?

使用云端服务可以节省商业成本并提高业务灵活性,但要注意潜在风险。近年来,云端服务的使用越来越普及。 中小企业熟悉的典型云端产品包括Microsoft Office Online、Salesforce CRM、SAP Cloud、DropBox等等。 这些应用大致上可归类为软件即服务(SaaS),即可通过互联网从云端服务提供商(CSP)服务器按需提供给客户。 其他类型的云端服务包括平台即服务(PaaS)和基础设施即服务(IaaS)。 通过平台即服务,客户可以使用服务提供商用云端。

问:中小企业为什么应该使用云端服务?

答:云端服务让中小企业能够以极低的成本获取无限的运算能力,并且无需管理硬件、软件和网络。云端服务根据使用额度来收费,公司只需为使用的资讯科技服务付费,无需在设备、应用或资讯科技人员作出大量投资。

云端服务也可根据需求伸缩,为中小企业提供业务灵活性。例如,在顾客计划上网购买的高峰期,网店可以要求服务提供商提高运算能力,以便快速为更多客户提供服务。同样地,在非高峰期间,公司可以降低所需的运算能力以节省业务成本。服务提供商可以在几分钟内完成配置。这样,中小企业可以在业务有需要时为更多用户或使用额度付费。

云计算数据中心通常分布在国内甚至全球的不同地域,有助于应对区域和当地发生的问题和灾难(如风暴、地震或电缆中断)。在云环境中,修补和备份等运作可以轻松自动化。

由于商业环境全球化而且竞争激烈,中小企业必须要适应变化并具备业务灵活性,以便跟随市场变化做出快速应对。

问:使用云端服务有什么潜在风险?

答:一个主要风险是未经授权获取和修改客户及业务数据。如果在云存储或处理敏感数据,而云软件存在漏洞导致数据受损,这将影响数据的机密性和完整性。和中小企业在公司内部环境处理和存储数据相比,当数据在公司和云环境之间传输时,还存在额外的网络风险。中小企业应采纳适当的措施来加强数据的处理、存储、传输和存档的安全性。

云服务提供商为了节省成本、为客户提供更低的价格,往往会通过汇集运算资源来取得规模经济。

这涉及了把运算资源虚拟化,让云端服务同时支持多个中小企业用户。根据这种情况,相同的计算资源处理和存储多个用户的数据,并且隔离度很小,而如果这些服务设计不当,可能会导致数据的机密性和完整性出现问题。

云服务数据中心所在地点不同,就会受不同地域的法规和政策管制。如果您的企业不允许在国外处理数据,那选择位于国外的云端服务将带来合规和法律问题。

客户若要转换云服务提供商也会比较困难,这种情况称为供应商锁定。当客户在某些情况下不得不使用另一个提供商的服务,例如当双方出现法律冲突、收费问题、服务有重大中断等时,这可能会成为问题。如果现有的服务提供商不提供数据导出的功能,或不使用标准数据格式和应用界面,数据转移可能会比较困难和耗时。

服务提供商也可能使用其他云端服务来提供本身的服务。在这种情况下,上述风险则进一步扩大。

问:中小企业可做些什么来降低这些风险?

答:在采购云端服务之前,中小企业应该了解服务提供商的组织结构及风险管理流程。重要的是,要了解服务提供商如何处理安全事件,以及由哪个部门处理,弄清楚如何查找与安全相关的信息、安全建议、有关服务中断的信息,以及一旦出现安全问题,服务提供商应该负担的责任和义务。

从软件和数据的角度来看,中小企业还可询问服务提供商如何确保软件安全、如何保护客户数据或流程免受未经授权的使用、如何导出数据以及数据采用何种格式。客户应该能够通过一览表和报告来监控服务的表现和安全性。

中小企业还可以参考多层云安全(MTCS)新加坡标准(SS)584,特别是那些不了解如何评估云端服务提供商的企业。MTCS标准旨在通过让用户清楚了解云服务提供商的安全服务水平和提高服务提供商的责任和透明度,推动各行业采取云服务。MTCS标准描述了三种安全级别。

简而言之,第一层专门针对在低影响信息系统的非关键业务数据和系统而设计(例如,托管公共信息的网站);第二层专为在中等影响的信息系统运行重要业务数据和系统的公司而设计(例如,电子邮件/客户关系管理系统);第三层专为在高影响信息系统中使用云服务、拥有特定需求和更严格安全要求的公司而设计。合格的第三方认证机构根据云服务供应商提供的服务进行认证。中小企业可以根据自己所需的云安全级别,更好地衡量特定供应商是否合适。

(作者是新加坡管理大学信息系统学院助理教授)