一些首席信息安全官(CISO)被组织引导到云计算中，他们决定必须利用分布式系统的强大和灵活性。而其他人是没有由管理层批准或知识而只注册云服务的员工推入的。

无论哪种方式，如果没有云安全技术战略，那么组织将会遇到麻烦，Forrester公司研究副总裁兼首席安全分析师安德拉斯·西瑟说。

在当今世界，许多首席信息安全官对于云计算是持怀疑态度的，如果没有其他任何销售数字的云服务的话，例如SaaS，PaaS，IaaS，这证明恰恰相反。西瑟表示，首席信息安全官越来越愿意使用云计算，这其中的原因有很多。

这些包括数据保护工具，例如某些服务提供的加密和密钥管理，以及执行数据安全策略和数据跟踪技术的云访问安全代理/网关等产品。

但是技术本身不会使组织安全，其中包括加密到云端的所有东西。除此之外，它是不切实际的。西瑟说，只有敏感数据必须加密。

但重点是加密和使用安全网关本身不会使企业安全，没有一个总体的云安全战略。

对于在哪里开始有不同的意见。云计算安全代理提供商Skyhigh网络公司产品和营销副总裁KamalShah说，“在你甚至考虑一个策略做审核，并了解云计算中真正发生的事情之前，它可以是一样广泛的，了解正在使用多少云服务，哪个部门使用，有多少数据在云中，这可以用于制定企业的战略，或者可以专门为云计算应用程序理解用户如何使用它，存储什么数据，如何在企业外部共享，哪些是共享数据，有多少是受信任的供应商与个人电子邮件地址等。”

除此之外，他说，如果组织是在医疗保健行业和零售行业，可能会衩云计算中存在的监管所限制，或者如果允许的话，那么如何保护它。

最后，管理层可能声明某些敏感数据(例如知识产权)是完全被禁止的。然后找到一个提供者。云计算管理服务提供商CenturyLink公司的IT安全副总裁TimKelleher说，首席信息安全官应该质疑供应商以各种方式保护其环境，包括满足特定行业的必要法规(如支付卡行业的数据安全标准)，如何保护每个客户的环境，并且提供额外的安全服务(例如可以启动的虚拟防火墙)，以及如何证明这些是用于审计目的。

开始这个研究的机构可能是云安全联盟，VMware公司是这个范围广泛的行业组织成员之一，将为成员提供认证。

Forrester公司首席安全分析师西瑟推荐了一个用于创建一个云安全战略的五个阶段流程，以实现三年的技术路线图：

1.定义云安全的业务理由

首席信息安全官在采用云计算之前，必须显示为什么需要在安全支出。量化效益，包括违约成本，合规成本与运营效率(例如，可能会节省成本，因为服务提供商会对应用程序进行补丁，并考虑加密)。

2.确定利益相关者及其安全需求

业务部门希望保证云安全不会妨碍他们的工作。西瑟说，单一登录和部署集成将有助于使用多个云应用程序的组织更加容易采用。开发人员还可能需要帮助确保云计算安全不会干扰工作负载。此外，合规和审计人员将需要确保云计算满足他们的要求。

3.定义组织的云安全治理流程

西瑟说，组织不能在没有数据发现的情况下进行治理，也不知道流量到哪里，以及标记信息的能力。这将有助于定义需要加密的内容，可以访问云计算的工作人员，内部的属性，以及如何对非结构化数据进行分类。这是未授权的云应用程序必须被发现的步骤。

4.评估组织当前的云安全能力并确定差距

这里是云安全网关，标记化和加密对性能的影响，以及身份和访问管理的测量。

其他考虑包括其解决方案是否满足法规要求，数据丢失防护和入侵检测，用户行为监控，云工作负载(配置)文件的完整性监控。

5.创建一个三年技术路线图。

Forrester集团称这是一个管理人员的概述，描述如何计划实施建议。