Unternehmen sollten knallharte Fragen stellen, bevor sie sich an einen "Cloud"-Anbieter binden, mahnt Gartner in seinem aktuellen Bericht "Assessing the Security Risks of Cloud Computing". Für Gartner bedeutet Cloud Computing "die Bereitstellung massiv skalierbarer, IT-verwandter Fähigkeiten als Service für externe Kunden mittels Internet-Techniken". Als Cloud-Beispiele gelten etwa der Amazon-Service "Elastic Compute Cloud" (EC2), über den Unternehmen Rechenleistung für ihre Web-basierenden Applikationen beziehen können, sowie Googles Google-App-Engine.

Laut Gartner erfordert das Cloud Computing aufgrund seiner spezifischen Merkmale nicht nur ein Risiko-Assessment etwa in den Bereichen Datenschutz sowie Datenintegrität und -wiederherstellung, sondern auch hohe Aufmerksamkeit für legale Belange im Bezug auf E-Discovery, Compliance und Auditing. Organisationen sollten demnach auf Transparenz pochen und Anbieter, die detaillierte Informationen zu Sicherheitskonzepten verweigern, tunlichst meiden.

In diesem Kontext gilt es für Unternehmen, viele Fakten abzuklären - etwa bezüglich der Qualifikationen der Policy-Ersteller, Architekten, Entwickler und der Betreiber sowie im Hinblick auf die Prozesse für die Risikokontrolle und die entsprechenden technischen Mechanismen. Darüber hinaus empfehlen die Gartner-Experten zu eruieren, wie ausführlich die Funktionsfähigkeit der Service- und Kontroll-Prozesse getestet wurde, und ob der Anbieter in der Lage ist, unerwartete Schwachstellen zu identifizieren.