为了将云计算作为一种低成本工具来提供，云服务供应商必须掌握一些管理方面的问题以形成规模经济。诸如虚拟化这类技术可以用来获取一切可能的CPU周期和空余磁盘空间。此外还设计了一些新的管理工具来实现客户供应和资源分配的自动化。为了创建高效的规模经济，将不可避免地导致许多客户的数据和其他资产在共享的硬件平台上相互混杂，而这些数据和资产只是用一些新的，往往未经验证的逻辑控制方法进行区分。另一个主要的，可能也是最为深远的影响是，实现这种经济效益的新技术架构本身就是一种新的应用开发平台。在计算中很少出现重大的平台转换。软件在云中得到革新，而新的软件则革新了商业运作方式。

　　尽管很难反驳这种云计算的趋势，我们仍有理由对移植云计算的时机选择提出质疑，尤其是针对一些非常敏感的信息和关键任务过程。这往往意味着某个机构在风险管理实践的指导下，按照一套独特的标准在一段时期内作出一系列的决策。然而还有一种情况是，外部因素促使一个机构作出这类决策。比如某个生意伙伴要求云计算。毫无疑问的是，某些时候一些软件公司会促使或者强烈建议他们的客户支持云服务这一更为经济的平台。新的创新应用将只存在于云中。

　　基于以上原因，首席信息安全官们应当努力了解这些问题以及这些问题同他们工作之间的联系。首席信息安全官们不仅能够制订确保云应用的策略，更重要的是，他们能够真正地影响到云计算产业的走向和云服务供应商所提供的各种功能。仅仅坐等云技术的成熟是远远不够的。同我们交流过的许多首席信息安全官都在花时间让云服务供应商熟悉他们的企业级要求，如服务水平协议(SLAs)，法规遵守问题，特定地区的监管问题等。云服务供应商们现在就把企业功能集成到服务中，比到企业完成转变以后再去修改这些服务要容易的多。