广义的风险问题

    然而，很多提出这些问题的人过于担忧了；在我看来，提出的问题过于宽泛了。让我解释一下。

    首先，云计算供应商明白自己面临的很多法律和监管风险。它们认识到，自己需要解决掉这些风险，那样才能吸引主流的企业用户。然而，为了开始上路、积累经验和发展势头，它们并没有把精力放在非常有挑战性的功能和流程上；相反，亚马逊等供应商一直主要针对新兴公司和非关键的公司应用程序。

    在我看来，这是明智的策略。你只要看一下SAP公司拖延了提供一项特性类似于软件包的按需服务的行动，就明白试图一开始就满足要求很高的功能会如何严重阻碍任何进展。然而，云计算供应商会继续扩展功能，以便消除掉这些方面的风险，对此我有信心。

    此外，讨论这种风险的很多人认为只有内部数据中心才能解决该风险；也就是说，恰恰正是云计算的性质使得它无力应对风险特性。我与同事John Weathington作了交谈，他的公司Excellent Management Systems实施管理风险的合规系统。他对云计算天生不适用于合规架构这个观念提出了质疑。他提到，合规结合了政策、流程和技术。在他看来，坚持声称风险管理与云计算无法统一表明对合规管理的了解很有限。

    过于宽泛地认为云计算风险过大的第二个因素就是，对当前的风险管理方法持过于乐观的看法。与John讨论这个话题时，他举了一些例子，表明公司在内部IT系统中没有适当（其实根本没有）管理合规工作。正人先正己这句老话似乎仍适用于此。从某个方面来看，这种态度体现了一种普遍的人性：低估与当前情形有关的风险，而高估了新情形的风险。然而，抨击云计算无力支持风险管理、同时忽视当前风险管理的缺点其实毫无帮助，抨击人士可能让人觉得缺乏成熟的想法。

    与这第二个因素有关、但不同的第三个因素就是，很容易把所有风险当成最糟糕的场景，这种态度要不得。换句话说，以为一些数据要求就意味着明确需要有严格控制的现场存储，并得出一般性的结论：云计算对每个系统来说风险过高。指出云计算满足不了一些情况或数据管理需求带来了这种危险：所有系统或场景都拒绝利用云计算。你可能不相信这种过于宽泛的评价会持续下去，但我听到过有人在谈话时随口说出“HIPAA怎么办”的话，然后心满意足地转到其他话题，信心十足地认为问题已得到了解决。

    不过，出于本能反应声称存在这样的风险是可以理解的。很多IT部门在接受外部云方面因假定存在的风险而缺乏热情，这可能归因于他们面临的风险不对称。也就是说，如果数据出现了什么问题，他们会碰到大麻烦；但是实施风险评估流程、通过利用外部云计算资源来降低风险并没有太多的利好。有人可能会说，IT部门在数据安全方面老是担心，这会影响他们对风险的看法，可能会促使他们在这个问题上显得非常保守。

    然而，考虑到由于云计算能提高IT灵活性、IT部门面临剖析云计算的重大压力，坚持这种空洞的观点：“云计算风险过高；毕竟，XX怎么办？”，其中的XX是公司经营所要遵循的某个法律或法规，由此抵制云计算，这恐怕不是什么好办法。