|
前期文章已探討了雲端運算的基本原理,以及與會審專業人員相關的應用趨勢,雖然導入雲端服務或許是利多於弊,但仍必須提醒企業管理者,使用雲端服務時,企業資訊技術架構以及流程可能皆為委外,相較於傳統自行部署的資訊架構來說,必然會帶來陌生的新風險,而企業需要面對的資訊安全問題也較為錯綜複雜。
因此,對於內部稽核人員來說,在企業評估是否採用雲端服務前,應能對於雲端服務進行全面性的風險評估,了解潛藏各個環節中的風險,以便於事前能就安全問題,與雲端服務供應商劃分責任,並擬訂風險回應與管理方案以降低並控制風險,消極來說,可以有效減輕企業導入雲端運算的風險,積極來說,則可以透過良好控制提高雲端服務中資訊資源的有效利用。而對於外部查核會計師而言,面對客戶已將資訊架構委外的財務審計專案時,更必須依賴自身的專業訓練,深入了解此一新興技術帶來的控制風險與查核困難,以便順利進行查核作業。
雲端運算七大安全風險
關於導入雲端運算的風險,並不算是一個新的議題,事實上,一直以來它均被雲端運算業者或技術組織視為最重要的議題,因此,許多專業組織均從各個面向,提出諸多安全準則或風險提要。例如2008年6月,Gartner首度提出雲端運算七大安全風險:(1)在雲端供應商內部特權使用者的存取管理(Privileged User Access)、(2)法規遵循(Regulatory Compliance)、(3)資料儲存位置(Data Location)是否符合各國規範、(4)資料的隔離(Data Segregation)是否完全、(5)回復能力(Recovery)、(6)支援調查或稽核的能力(Investigation Support)、(7)永續的使用性(Long-Term Viability)。
其後,目前全球最具雲端安全權威性的雲端安全聯盟(Cloud Security Alliance;CSA)也在2010年提出雲端運算可能的七大安全威脅,並分別指出屬於IaaS、PaaS或SaaS:(1)使用者濫用或利用雲端運算進行非法的行為(Abuse and Nefarious Use of Cloud Computing):如惡意程式-IaaS、PaaS;(2)雲端業者可能使用了不安全的介面與APIs (Insecure Interface and APIs)-IaaS、PaaS、SaaS;(3)雲端業者是有心分子眼中的大魚,惡意內部員工(Malicious Insiders) 的比例應當會比一般組織來的更高-IaaS、PaaS、SaaS;(4)共享環境能否將不同的使用者進行有效地隔離,以避免多使用者之間相互干擾或存取對方資源(Shared Technology Issues)-IaaS;(5)資料遺失或外洩(Data Loss or Leakage),包含是否擁有足夠的AAA(驗證、授權、稽核)機制、是否採用適當且足夠的加密技術、如何安全徹底地刪除資料、災難復原、司法管轄等問題-IaaS、PaaS、SaaS;(6)帳號或服務被竊取(Account or Service Hijacking),雲端運算不像傳統IT架構,使用者並不擁有實體設備,因此一旦帳號或服務被竊取後,除非有其他的方式加以證明,否則惡意分子可以完全取代原先使用者的身分-IaaS、PaaS、SaaS;(7)雲端運算環境包含了許多未知的風險模型(Unknown Risk Profile),使用者須依所處的環境來評估這些威脅的影響,以並採取適當的控制措施-IaaS、PaaS、SaaS。
此外,歐洲網路與資訊安全局 (European Network and Information Security Agency;ENISA)於2009年所發布的「Cloud Computing:Benefits, Risks and Recommendations for Information Security」白皮書,則將雲端運算風險區分為:法規風險、政策與組織風險、技術風險與非雲端特定風險四大類,並分別列出共三十五項詳細風險因子,也相當值得參考。
雲端運算關鍵風險問題分析
無論是Gartner、CSA或ENISA,這些雲端專業組織所提出的風險架構僅為一般性概念,對於會計審計專業人員來說,需要更進一步予以闡釋,才能防患於未然。從學理上來說,雲端服務等資訊委外行為,可能引發下列幾種風險情況:(1)無法執行業務、(2)安全性降低、(3)供應商剝削或綁架、(4)喪失策略優勢,本段先綜合上述三種風險架構,並將各種關鍵風險初步分類,再由會審專業與系統稽核人員的角度分項連結至各種可能的風險情況:
1.基本考量:資訊安全三要素(又稱為CIA Triad )-可用性(Availability);完整性(Integrity);機密性(Confidentiality)。
2.進階考量:內控法規遵循與資訊治理(Legal, Compliance, IT Governance);安全性 (Security) 等議題。
3.技術考量:開放技術架構與標準 (Open Source and Open Standard)。
|
