Heiser表示：“與小企業相比，金融機構對云計算更加保守。”另外，他認為，使用基礎設施即服務要比軟件即服務更容易建立安全基線，因為有更多靈活性，更少依賴于服務供應商。但總體而言，云服務供應商對于其業務連續性和災難恢復做法并不是很明確，這使他們很難贏得客戶的信任。

　　Gartner的客戶對于云計算合同的不完整性普遍感到失望，他們并沒有在合同中看到他們期望的與安全相關的條例。

　　界定云計算和客戶之間的技術和法律義務很困難，不僅美國聯邦政府在其FedRAMP計劃（尋找為政府提供服務的云服務供應商）提到了這個問題，云安全聯盟（CSA）也在關注這個問題，他們建立了幾個工作組來定義行業標準。

　　雖然很多組織都在努力改善云計算安全，并且所有這些云計算安全努力也是值得的，但這些標準都需要一年到五年時間才能成熟。

　　在此期間，企業和政府明確其需求，并盡可能地評估潛在的云服務及其安全選項。首先應該檢查進入其云服務的數據的機密性。

　　目前云計算領域最成熟且可用的安全控制都涉及身份和訪問管理機制以及基于服務器的加密，但云服務客戶應該詢問供應商，加密密鑰是如何管理和存儲的，并確定這種風險是否可接受。取證調查目前還不可行，并且，從整體安全控制來看，可能需要5到10年才能看到針對云計算的“強大的技術”。

　　云計算的經濟吸引力很強大，有時候經濟利益似乎大約潛在風險。Gartner建議客戶考慮將低敏感度數據放到云服務中，而對于“中等”敏感度的數據，企業必須進行風險評估。對于高敏感度數據，則不應該考慮放到云服務中。

　　云服務供應商很少提供針對攻擊的任何賠償。并且，考慮到云供應商可能會離開云計算領域，客戶需要確保該供應商可以歸還數據或者有一個備份應急計劃。Heiser指出，當兩年前Mumboe SaaS關閉時，他們給客戶兩個星期時間來取回數據。這給客戶敲響了警鐘，即云服務可能會突然“消失”，客戶應該對這種情況做好準備。

　　即使是一些家喻戶曉的云服務供應商（亞馬遜、谷歌和微軟等），也可能出現數據消失的情況，至少在一段時間內消失，或者永久消失。Heiser稱：“恢復并不是簡單的過程，將服務損失和可用性放在你的列表首位。”此外，他還指出，實時服務升級可能導致廣泛的數據損壞。

　　IT管理人員習慣地認為，對于應用程序、服務、服務器、存儲和網絡，他們對自己能做什么擁有控制權，但他們需要充分認識到，根據云計算的性質來看，這種習慣的靈活性在云計算中并不存在。