如今，大部分组织都在将一些工作负载和资产转移到云端。根据最近的一份调查报告，许多企业的首席信息安全官（CISO）对安全控制和人才短缺问题感到担忧，40%的企业因这些问题而放缓业务迁移。

报告发现，尽管83%的IT专业人士表示他们将敏感数据存储在公共云中，但只有69%的IT专业人士表示相信公共云能够保护他们的数据安全。而近年来针对云计算的网络攻击十分猖獗：据调查，使用基础设施即服务（IaaS）或软件即服务（SaaS）的四分之一企业的数据曾经被盗。与此同时，五分之一的受访者表示他们遭遇了对其公共云基础设施的重大攻击。

调研机构Forrester公司副总裁兼首席分析师Andras Cser表示：“我们在如何保护云中的数据，如何将企业的身份转移到云端，以及如何确保网络安全等方面进行了大量的调查。很多时候，我们看到一些企业甚至放弃了这个领域的安全项目。”

但是，Gartner公司信息风险研究主管Daria Kirilenko表示，首席信息安全官（CISO）经常不信任云安全的原因比一些报告所暗示的更为细微。

“许多首席信息安全官（CISO）认为供应商的安全性实际上比他们自己部署的安全措施强大得多，但最终他们认为如果某些供应商出现违规行为，他们仍将对此后果负责。”Kirilenko说，“这是他们认为应该谨慎看待采用云计算的主要原因。”

Kirilenko表示，首席信息安全官也倾向于认为他们的安全团队没有适当的技能在组织实施云策略。“他们认为，对于组织迅速采用云计算没有准备好提供支持。”她补充道。

Kirilenko表示，许多安全团队缺乏云计算安全知识，因为大多数传统的安全实践不能迁移到云环境中，而是必须重建。

“他们毫无准备，最终他们认为如果出现问题，可能会承担责任。”Kirilenko说。

建立一个云计算安全团队

Kirilenko指出，即使供应商有过错，对云中违规的责任也往往会落在企业的首席信息安全官（CISO）身上。她补充说，首席信息安全官应该向高级业务利益相关者宣传云计算安全是由供应商和内部团队共同承担的事实，因为内部利益相关者犯错时会出现很多安全问题。

Kirilenko表示：“首席信息安全官花费大量时间和精力建立一个强大的安全团队，让开发人员接受安全的云计算流程，而不是花费所有时间来管理和监控提供商。如果他们花费精力建立强大的安全团队，为现在实际上绕开安全的开发人员实施云安全措施，他们将获得更好的结果，但他们往往不能正确实施云安全，而这增加了使用其云供应商的风险。”

Cser表示，云操作、云架构或云计算安全工作者通常负责云安全，但通常会发现更多传统安全工作者正在与新平台进行斗争。

Kirilenko说，谈到建立一个云安全团队时，寻找一位“独角兽”公司或者某个云计算提供商的专家来了解云计算架构，并拥有软件开发技能通常是不可行的。相反，首席信息安全官应该将他们的安全团队视为一个技能组合。

“企业需要先了解自己真正需要的云技能。”Kirilenko说，“很多时候，寻找那些知道并了解每个提供者内部和外部的个人并不是非常重要，这些个体可以随着时间的推移而发展。”

Kirilenko说，相反，企业应该建立一支有个人优势的团队，加入其团体安全。例如，一名员工可能具备必要的软件开发技能，另一名员工在企业架构方面经验丰富，而另一位则在解决方案架构方面擅长。

Kirilenko表示，首席信息安全官也应该记住，他们不需要使用自己的团队来构建所有的云安全。还有一些公司建立了云计算卓越中心，并将人员从应用程序和基础设施等不同功能中轮换出来，并通过这些人员加强组织的安全性。

“许多成功的公司并不认为他们的内部安全资源是一种限制，因为他们知道制定云计算策略是组织应该共同做的事情。”Kirilenko说。

Kirilenko表示，首席信息安全官也应该使开发人员容易遵守云安全准则。成功组织的另一个实践是开发一个通用安全平台，其中包含API和参考架构，开发人员可以使用这些平台快速了解如何在其应用程序中实施安全准则。

“企业需要考虑如何减轻利益相关者的负担来做好安全的事情，并需要以简单的方式实现安全。”Kirilenko说。