作者： Evelyn de Souza

云技术安全从业者及审计人员

尽管人们在重要工作中越来越多地使用云技术，但却很少听闻有数据泄露的事件发生。随着云技术逐渐成为移动设备、 物联网（IoT）和其他日常功能的支撑，我们能够准确预测黑客们把目光转向了哪些加密的个人数据。

今年的数据泄露事件最大的特点就是大量暴露了个人信息。由于物联网设备引入的信息流较当前的数字经济而言更为私人化，而这些信息流提供了多种通向云端的途径 ，于是使得云端逐渐成为盗取数据的最佳目标。

我们是否过于信任云技术了？

尽管云技术被看作是与内部部署截然不同的模式，但有很多通用的安全标准和框架。与企业审计相比，云端的审计工作与工具仍不成熟，而且，缺乏对整个堆栈的可视性仍然是大多数云技术使用企业的挑战。此外，很多云技术供应商只顾加固“堡垒”，却忽视了在云端上交易和转移的不同类型的数据，因此对他们来说，“空中楼阁”的症状依然存在。

合规性并不等同于可信度

当今云技术供应商和使用云技术的企业需要遵守很多标准与法规，但这些标准与法规却过多地关注处理和储存信息的能力——它们不能保证数据在云端的安全性和可信度。信任才是关键因素。只贴上警示标签并不能提高安全性——就算车里写着请系好安全带，您仍然有可能受伤——合规证书是不能保护数据的。合规与证书只能说明这个供应商，消费者，或者二者都有一个掌控良好的环境。而关注点更应放在数据本身、以及数据的访问和使用上。

抓主要矛盾，树立消费者信任度

云技术供应商和使用云技术的企业可以采取更强硬的数据保护措施，以适应当今的企业和个人使用环境。安全审计人员要用简明的语言来解释数据保护事项，让开发人员和企业领导知道哪些数据需要着重保护。是靠这一点，而不是靠建立安全和合规的基础架构来维持长久的客户信任，以及消除未来可能的数据泄露。

考虑到个人和企业的未来将呈现高度的数字化，数据分类方案则应基于各种相关措施，以及不同级别的个人数据及敏感信息。普遍使用的方案是不存在的，要确保制定可靠的战略还需要整个行业的努力。如果现在不关注这个方向，那么在不久的将来，我们将面临更多恶劣的数据泄露事件。