資料放雲端，安全嗎?

一直以來，很多朋友與合作夥伴，一聽到雲端，就會有這樣的問題。我想先請教各位幾個問題：

如果你有十萬塊，請問你會放家裡還是放銀行?

如果你有一百萬，請問你會放家裡還是放銀行?

如果你有一千萬，請問你會放家裡還是放銀行?

這幾個問題，對於大部分的人來說，答案都是"放銀行"。為什麼錢不放家裡，要放到別人開的銀行呢? 難道不怕錢被銀行的人偷走嗎? 事實上，你會放心把錢放銀行的原因，就是因為銀行有一定的安全稽核機制，因此你把錢放銀行被監守自盜的機會，絕對比你把錢放家裡被小偷偷走的機會來得低很多。

公司裡的資料何嘗不是如此? 當你把資料放在公司中，可能會因為系統外包，而被外包的開發人員下載複製帶走；也可能因為開發人員的疏失，而造成系統的漏洞被盜走；更可能因為資料庫管理員沒有落實備份備援計劃，當機房或是伺服器發生問題時，導致重要資料的遺失...

所以資料放雲端安不安全，其實只是一個觀念上的問題。對於企業來說，資訊安全的問題，有七八成是屬於管理面的責任，剩下的才是跟程式實作有關係；也因為這樣，所以才會有ISO 27001的資安標準(http://www.bsigroup.tw/zh-tw/Training/Course-areas/Information-Security/)。如果你的公司沒有通過ISO 27001，如果你的外包廠商沒有通過ISO 27001的標準，那我可以告訴你，你的資料放在公司，絕對不會比放在雲端上面來的安全。至少在機房的管理上，Windows Azure雲端平台通過了ISO 27001的資安標準；而且當作業系統有重要安全更新的時候，還會自動提供安裝最新安全更新的作業系統版本，避免人為因素所造成的安全性漏洞。

當然，也會有些人用剛通過的個資法，質疑雲端的安全性，其實這並沒有太大的關連。就如同剛剛所提到的，系統的安全性其實有大部分都跟管理有關，如果公司整體的資安管理沒做好，資料放哪裡都是不會安全的。就好比你中了大樂透第一特獎，如果你全家人都不跟外人說，錢放家裡也是可行(放得下的話)；但是如果你家人大肆張揚的話，就算你把錢存在銀行，歹徒也可以綁架你去拿這些錢，不是嗎?

從另外一方面來看，也就是因為一般公司的資料中心或是機房管理人員，並非具有專業的資安背景，因此若是將資料存放在管理更好、安全性更高的Windows Azure雲端平台當中，反而更安全! 當然，若是再搭配系統本身實作資料加密，與使用者驗證、授權、稽核等機制，就可以再提升系統整體的安全性!!

面對資訊安全，請記得正確的觀念：資訊安全是架構在良好的資安管理上的! 如果你們沒有制定安全性的政策、程式與架構沒有review、員工沒有資安的觀念與訓練、沒有定期做資訊安全稽核、沒有做資安的弱點分析、沒有有效的掌控重要資料的存取權限、沒有即時監控系統執行的狀況.... 等等，只要其中任何一個資安管理的環節出錯，都會是資安的漏洞!

資料放哪裡，老實說關係其實並沒這麼大。