基于标准的风险管理方法可以帮助解决这一挑战。它可以帮助数据中心管理人员优先考虑其重大风险,并为数据中心或关键环境审计做好准备。那么具体是从哪儿开始?
了解不同类型的风险
在能够管理数据中心风险之前,必须了解不同类别的操作威胁。法国跨国IT咨询机构凯捷公司的GIO英国高级派送中心经理Kevin Read主要负责管理其组织中的数据中心风险,该机构拥有并运营自己的数据中心设施为客户提供服务。他指出了数据中心管理人员担心的几个风险类别。
他警告说:"关键任务型数据中心面临的首要风险类别是电力中断。这种风险对于每个数据中心来说都是存在的,而风险管理框架将其纳入其中。像许多其他数据中心一样,凯捷公司使用等级对风险进行评级,这有助于揭示诸如此类的破坏性风险。"
"凯捷公司按照Tier 3标准设计和建设了数据中心设施,采用'N + 1'和'N + N'冗余的UPS供电系统为客户提供,并为机架设备和冷却系统提供不间断电源。"Read说,"此外,将不同来源电力提供给数据中心,可防止本地发生的电力故障,而采用备用发电机是最后的技术保障手段。"
第二个风险是火灾,由数据中心内部的IT设备故障导致服务中断。他补充说,该公司在所有数据中心所有房间内布置使用惰性气体灭火系统,以便在火灾蔓延前扑灭。
"第三个风险类别是洪水(河水上涨和雷电、暴雨等极端天气)、飞机、传染病以及空气污染,"他继续说。 "数据中心建设场地不应该选择建在飞行路线上,或者是靠近洪水风险区域,以及靠近污染或可能含有爆炸性化学物质的工厂。"
最后,读取指向安全是第四个风险类别。这其中包括物理安全和逻辑安全漏洞(黑客)的风险。该公司甚至将恐怖主义威胁纳入这一风险类别。
像其他类别的风险一样,安全性自然会分解成许多子类别,而这些分类可以进一步分化。例如,在逻辑安全性中,管理人员可以将员工对应用程序的访问视为特定的风险区域,并将移动设备访问作为另一个风险区域。
一些风险随着新技术的出现而成为主流。例如,CA 技术公司安全解决方案总监Paul Ferron警告说,虚拟化应用是一种特殊的安全隐患。他警告说,这种经常被描述为管理和资源风险的现象也可能对数据安全造成影响。
"虚拟机可以很容易地被复制在没有适当的安全特权时,"他警告说。 "当用户在使用结束后,它们可能不会被关闭。"
在这种情况下,与许多其他方案一样,为某些操作设计安全过程有助于规范虚拟化技术,并降低通过网络进入漏洞的风险,使用IT服务管理工具来编纂和自动化这些流程,这进一步减少了风险。
云计算托管商Pulsant公司首席技术官Matt Lovell在这些风险组合中还增加了健康和安全风险。
他警告说,这些风险都是多方面的,工作人员将面对从电气实践和机械操作安全,到环境和噪声控制,以及在空间有限的领域工作的挑战。
他说:"这需要对合规性和安全性进行大量的工作测量,以确保在环境中所有工作人员面临最小的风险。"
风险管理方法
这些风险并不都是平等的。其中,有些风险会比其他风险更有威胁,而有些风险可能会有更大的潜在影响。因此,人们需要从预算视角来了解哪些优先事项是这个进程的重要组成部分。
Ferron建议数据中心管理人员使用传统风险管理矩阵最新版本来评估同时存在风险的概率以及潜在的业务影响。"这将是一个三维图形,"他补充说,三维图形可以表明减轻相关风险的预计支出。
读取操作也具有类似的方法,旨在识别和量化风险及其潜在的缓解成本。值得注意的是,他的风险管理系统被设计成一个随时间推移而不断变化的文件。
他说:"在凯捷公司,我们制定了一个月度风险管理系统,将所有风险和问题记录在遏制和行动计划中。但这需要更改投资预算".
虽然数据中心面临着自己独特的风险,但用于管理数据中心的方法并不只是针对这种环境。更通用的风险管理方法适合描述和处理数据中心的风险,因为风险在其他领域也是如此。
Lovell说,这个通用的风险管理标准是ISO 31000:2009.该标准规定了风险管理的一般原则和准则,旨在根据每个用户认为合适的风险类型进行调整。它更符合风险管理框架,但Lovell表示,它也可用于审计数据中心内的审计风险防范。
他说:"审计程序必须设法确定正确的响应程序是否到位,这些都是由员工排练和理解的,这将随时间而改变,因此必须不断更新。".
数据中心不能单独发挥作用。它们存在于一个更广泛的连续的技术与商业目标。风险管理技术将成为一个更广泛风险管理的一部分。特别是大公司将会探索各种风险,从财务到监管和组织。
数据中心的风险在多大程度上与公司不同。在凯捷公司的案例中,数据中心管理人员负责该设施的安全,并将管理每月的风险和问题流程。数据中心管理人员连同其英国数据中心主管一起,每月都会与首席财务官团队进行会议沟通,以预测任何重大风险支出。
Pulsant公司的Lovell说,数据中心合规团队通常会以某种形式向董事会汇告。"这个团队有向董事会成员提交管理和报告的责任和义务。这可能与其他可能通过各种项目或组织结构报告的IT治理计划不同。"他说。
Lovell补充说,在理想情况下,在管理风险和报告结果时应该分担责任。"建议始终是适当地管理风险,这应该涉及监控和提供数据中心服务的运营团队之外的独立管理和验证水平。这可以是独立的内部或外部治理团队。"
选择审计方法
这里的关键词是验证。量化,优先排序和降低风险是风险管理挑战的一部分,但衡量数据中心在这些领域的业绩是该过程的重要组成部分。对风险进行审计将有助于内部员工和潜在客户(如有必要)了解如何在数据中心的运营中控制各种风险来源。
在选择审计以弥补数据中心的风险之前,管理人员必须了解自己想要实现的目标。风险审计是否以客户为导向?如果是,客户正在寻找什么具体的标准?是否有客户希望获得特定的数据中心打击的风险管理指标?
数据中心的风险缓解服务供应商也可能会进行审计。Read说,例如,凯捷公司的数据中心由其本集团和政府客户以及凯捷公司的保险公司定期进行审核。
审计标准
风险审计面临的最大挑战之一是所涉风险类别的多样性。很难在一个标准下对所有这些风险进行审核,这意味着数据中心管理人员在进行审核时可能需要采用各种标准。
在考虑安全性时,ISO 27002标准涵盖了信息安全管理的实践守则。它对各种不同的方面进行规范,包括人力资源安全,物理和环境安全以及访问控制。
支付卡行业数据安全标准(PCI-DSS)也涵盖了信息安全,这是一个高度规范的标准,重点是数据中心信用卡数据的组织和保留。它涵盖了安全网络的建设和维护,漏洞的管理以及网络和系统监控等。
对于处理政府部门信息的商业运营商而言,可能需要进行其他审核。在英国,List X是承包商处理政府数据的通常理解的安全许可系统,而在美国,Facility Clearance Levels是备选方案。
"从健康和安全的角度来看,许多数据中心运营商正在努力做到符合OHSAS18001的标准,OHSAS18001是国际公认的卫生和安全管理及相关系统标准。"Lovell补充说。
环境保护审核往往低于ISO14001标准。数据中心不妨考虑这种审计标准和环境风险,在现场储存大量柴油来处理发电机的要求可采用这种标准。
利益相关者
Tenable网络安全公司的技术总监Gavin Millard表示,在定义和降低风险方面,通常有多个利益相关者参与其中,该公司销售旨在扫描网络以进行安全威胁的软件。他将利益相关者分为三个主要组织:安全团队,运营团队和业务部门。
问题是,并不是所有人都有相同的议程,他警告说:"正如许多组织发现的那样,每个组织的目标和需求往往是相互冲突的,这就是为了减少每个特定组织的风险定义所需要的行动。"他说。
这些冲突看起来像什么?一个例子涉及软件补丁。这是减少组织安全风险的最有效方法之一。2013年7月,澳大利亚安全部门发布了一系列减轻网络入侵的策略。补丁操作系统是这些措施之一,补丁应用程序是另一个措施。该机构表示,与此同时,应用白名单和最小化管理权限将会消除85%的黑客攻击。
问题在于,IT安全小组的重点是集中在消除攻击者可能侵入的系统中的漏洞,从而可以减少数据泄露的风险。这需要它快速修补关键漏洞。相反,IT运营团队需要尽量减少停机的风险,这意味着系统的任何更改必须进行结构化,计划和控制。这可能会导致运营团队要求不太频繁的修补计划来降低可用性风险。
企业的业务经理有自己独立的议程:维持底线并达到其业绩目标。所以他们只想要补丁部署,如果底线的利益超过完成工作的成本的话。
"相互冲突的目标可能难以解决,但这样做的最有效的方法之一是有一个高效的过程,不断识别风险所在,"Millard说,"用户还需要一种可预测的,可靠的更新系统的方法,而不影响组织的总体业务目标。
那么有效管理风险就不仅仅是对数据中心的威胁进行评估,而且还包括团队成员之间合作的意愿,以便所有的议程都能被愉快地容纳。在某些情况下,这可能为新的工作实践创造机会。
引入DevOps(开发/运营)学科来简化开发,测试和部署之间的工作流程,可能有助于缓解诸如Millard所描述的紧张关系。
与IT中的大多数事情一样,有效的风险管理和以技术为重点的流程一样,也是以人为本的流程。使用标准化方法和审计可以帮助量化数据中心面临的风险,并可能影响未来的预算。它总是有助于衡量数据中心必须管理的内容。
CIO之家 www.ciozj.com 公众号:imciow