云很可能是一個IT高管的夢想成真——一個減小成本并為其他IT項目騰出資金的機會。
但是,穿過恐懼的雷區,來自不同季度的對于云安全的不確定和懷疑均可以通過創建一個應急計劃并了解澳洲和海外的法律法規來緩解。
對于康斯律師事務所的高級合伙人Johanna O’Rourke(她專攻ICT法律方向)來說,擁有一個合適的計劃意味著能在一個組織的數據被盜或者管理者不得不訴諸法律保護公司之前,將安全和訴訟難題縮到最小。
O’Rourke在悉尼IDC云會議上發表講話告訴代表們,組織們被要求要保持大量電子信息,這對日常運作是很重要的。
深度觀察:避免在線失職索賠
“當首席信息官移動數據到云,這意味著他們需要放棄控制數據,而且這就是法律問題會出現的地方,”她說。比如說,公司可能面對不適當泄露的風險,聲譽損失,數據泄露事件牽涉的第三方的起訴以及監管機構的起訴,例如澳大利亞政府信息專員辦公室。
“澳大利亞隱私專員,Timothy Pilgrim,并不害怕調查數據泄露以及發表與之相關的陳述,”她警告道。
例如,專員調查了2011年4月7700萬用戶賬號被盜的索尼PlayStation網絡的數據數據泄露事件。
根據O’Rourke的說法,此次事件發生在2011年4月17和19號之間。但是,索尼知道4月26號才公布數據泄露。
“雖然政府專員發現已經沒有違反隱私法的行為了,但他確實對索尼花了十天才告知用戶其賬號泄露表示擔憂,”她說。
隱私法
說道法律法規時,O’Rourke指出,澳大利亞的1988年隱私法沒有處理云計算,所以應用現存的隱私法對科技行業來說是個重要問題。
“在云計算環境中,該法案適用于正在澳洲收集數據并在海內外存儲數據的澳大利亞公司,”她說。
“它也適用于在澳洲做生意并在轉換數據到海外之前在此地存儲數據的外國公司。”
但是,該法案不適用于不在澳洲收集數據的海外企業。
“我辛苦的申明此點是因為許多云供應商事實上并不為隱私法所約束,”她說。
根據O’Rourke的說法,許多云服務供應商在澳大利亞都沒有一間辦公室。結果是,這里沒有服務器或數據駐扎在這兒。
但是,使用海外云服務供應商的服務的澳大利亞公司仍然沒該法案約束。結果是,如果這些公司決定轉移私人數據至云中,需要將額外的保護寫入與這些供應商的合同中。
“隱私法下所應用的與云計算相關的條例是NPP4,它討論的是數據安全和維護數據的要求,”她說。
“另一項條例是NPP9,它涵蓋了運輸者數據流。之所以說它相關,原因是在云環境中,你不能轉移數據,除非你已經收到了私人信息主人的許可或它已經被轉移至與隱私法相似的法律權限內,”她說。
根據O’Rourke的說法,歐洲隱私法被認為是相似的,但美國和新加坡隱私法并不被澳大利亞隱私專員所承認。
再看2012隱私修正案,一個IT高管應注意的主要的改變是關系到跨境披露。
“在新法律下,轉移數據的組織將保持在違反安全時間發生時負責,”她說。
這意味著嚴格的責任,所以如果公司的云供應商有數據泄露情況,該公司管理者將要負責。
“你將會想在你的合同中要保護措施來確保你有能力在偶然事件發生時恢復元氣,”她說。
“這是最糟糕的情況,所以你想要對供應商做盡職調查來確保他們已經盡可能的來確保環境安全而你甚至根本不會到達數據安全泄露的那個地步。”
非盈利云體驗
對于天主教教育辦公室首席技術官Milton Scott來說,在和谷歌簽合同前盡職調查是最重要的,他的70%的系統都建設在云中。
“我們已經有兩個法律團隊專門服務于查看藏在某人(如谷歌)后臺的隱私、條目和條件,”他說。這包括天主教教育辦公室主持的學生信息保健問題的責任。比如說,關于學生的健康和安全信息或Google Mail中沒有留存的雇員信息。
Scott補充道,云使用對一個非盈利組織的節約來說是理想的。“我們從微軟、谷歌獲得的云產品的種類在一個區別于商業冒險的教育價位。”
另一個被該辦公室應用的云安全創舉是一個Novell身份管理系統,它準許所有員工身份,區別于一個雇員目錄。
“一旦一位雇員離開,他們的名字就從哪個身份管理系統中除去,而應用程序就對他們限制使用,”Scott說。