Kuruluşlar, inovasyon ve operasyonel verimliliği artırmak için giderek daha fazla güvenmektedir ve daha yapay zeka (AI) iş yükleri kamu bulut tabanlı AI hızlanmasını kullandıkça, kuruluşların AI stratejileri bu hizmetlerin güvenliği ve kullanılabilirliği ile bağlantılıdır.
Bununla birlikte, Quorum Cyber’daki Baş Bilgi Güvenlik Görevlisi (CISO) John Bruce’un belirttiği gibi, Cisos, bir bulut sağlayıcının hizmet seviyesi sözleşmesini (SLA) nasıl eşleştireceğini anlamanın sürekli zorluğuyla karşı karşıya, işletmenin güvenlik ve kullanılabilirlik gereksinimleriyle uyumlu olmayan (SLA)Bkz. Kutu: SLA GAP Yönetimi için Stratejik Bir Çerçeve).
Aryaka Güvenlik Mühendisliği ve AI stratejisi başkan yardımcısı Aditya Sood, SLA’ların tipik olarak çalışma süresi, destekleme süreleri ve hizmet performansı gibi metrikleri kapsasa da, genellikle veri koruma, ihlal yanıtı ve düzenleyici uyum gibi kritik unsurları göz ardı ettiklerini söylüyor.
Bu, kimin hesap verebilir olduğuna dair varsayımların ciddi kör noktalara yol açabileceği bir sorumluluk boşluğu yarattığını söylüyor. Örneğin, bir müşteri, bulut sağlayıcısının SLA’sının veri korumasını garanti ettiğini varsayabilir, sadece kendi yanlış yapılandırmalarının veya zayıf kimlik yönetimi uygulamalarının bir veri ihlaline yol açtığını fark etmek için.
“Kuruluşlar yanlışlıkla sağlayıcılarının kendisinden daha fazla işlediğine inanabilir ve uyumsuzluk, güvenlik olayları ve operasyonel aksamalar riskini artırabilir” diyor.
Sood, BT karar vericilerinin SLA taahhütleri ile paylaşılan güvenlik sorumlulukları arasındaki nüansları dikkate almalarını önermelerini önerir. Bunun, kuruluşların esneklik veya düzenleyici yükümlülükleri baltalamadan bulut hizmetlerinden en iyi şekilde yararlanmaları için hayati önem taşıdığına inanıyor.
Bruce’un deneyiminde, bir SLA’nın kurumsal BT gereksinimleri ile yanlış hizalanması, birçok liderin fark ettiğinden daha yaygındır. “İster bir başlangıçtan en yeni AI platformu, ister sınırlı güvenlik garantilerine sahip bir hizmet olarak (SAAS) özel bir yazılım (hatta standart SLAS’ların düzenleyici gereksinimlerin altında kalan yerleşik bulut sağlayıcıları, hangi sağlayıcıların sunduğunu ve işletmelerin ihtiyaç duyulması arasındaki boşluk önemli olabilir” diyor.
Bruce’a göre, modern bulut ekosistemi karmaşık bir manzara sunuyor. Diyor ki: “AWS gibi büyük bulut sağlayıcılar [Amazon Web Services]- [Microsoft] Azure ve Google Cloud, güvenlik tekliflerini ve SLA’ları önemli ölçüde olgunlaştırdılar, daha geniş ekosistem binlerce özel sağlayıcı içeriyor. ”
Bruce, birçoğunun önemli rekabet avantajları sağlayabilecek yenilikçi yetenekler sunmasına rağmen, SLA’larının genellikle kurumsal güvenlik gereksinimlerinden ziyade boyutlarını, olgunluklarını veya odak alanlarını yansıttığını belirtiyor.
Örneğin, BT karar vericileri bir inovasyon paradoksuyla karşılaşabilirler. Bruce, umut verici bir yapay zeka veya makine öğrenimi (ML) platformu atılım özellikleri sunuyorsa, ancak kuruluş% 99,99 kullanılabilirlik gerektirdiğinde yalnızca temel güvenlik garantileri ve% 99,5 çalışma süresi taahhütleri sunuyor.
Bir SLA, bulut sağlayıcısının “bulutun güvenliği” konusundaki taahhüdünü garanti ederek, temel altyapının çalışma süresinin, esnekliğinin ve çekirdek güvenliğinin, Sood’un deneyiminde, müşterinin buluttaki güvenlik sorumluluklarını açıkça karşılamıyor.
Bir sağlayıcının SLA’sının altyapısı için% 99,99 çalışma süresi vaat etse bile, bir müşterinin yanlış yapılandırmaları, zayıf kimlik yönetimi veya eşleştirilmemiş uygulamalar, veri ihlallerine veya hizmet kesintilerine yol açabileceğini ve sağlayıcının SLA’sının algılanan güvenlik ve çalışma zamanı avantajlarını etkili bir şekilde geçersiz kılabileceğini söylüyor.
Bir sağlayıcının SLA’sı altyapısı için% 99,99 çalışma süresi vaat etse bile, bir müşterinin yanlış yapılandırmaları, zayıf kimlik yönetimi veya açılmamış uygulamalar hala veri ihlallerine veya hizmet kesintilerine yol açabilir
Dikkate alınması gereken bir diğer faktör de Bruce’un “uyum boşluğu” olarak adlandırdığı şeydir. Bu, SaaS sağlayıcısı temel işlevsellik sunduğunda, ancak veri ikametgahı, şifreleme veya denetim günlüğü özellikleri kuruluşun düzenleyici gereksinimlerini karşılamıyor.
Daha sonra, bir servis sağlayıcısının işletme BT tarafından ihtiyaç duyulan belirli gereksinimleri karşılamak için ölçeklendirememesinin durumu vardır. Bu “ölçek uyuşmazlığı”, Bruce’un dediği gibi, uzmanlaşmış yazılım evinin benzersiz benzersiz araçlar sağladığı bir durumda ortaya çıkar, ancak olay müdahale prosedürleri ve güvenlik izlemesi kurumsal standartları karşılamamaktadır.
Sood, güvenlik ve operasyonel görevlerin bulut sağlayıcıları ve müşterileri arasında nasıl bölündüğünü tanımlamada merkezi bir rol oynayan ortak bir sorumluluk modelinin (SRM) kullanılmasını önerir. SRM, işletmenin yaşadığı yeterli güvenlik ve kullanılabilirliği doğrudan etkiler, bu da herhangi bir bulut SLA’nın tam değerini gerçekleştirmek için gayretli müşteri tarafı güvenlik uygulamalarını çok önemli hale getirir.
Genel Bulut Lock-In
BT güvenliğinin sorumluluğunun nasıl koordine edildiğini yönetmenin ötesinde, BT liderleri de bir genel bulut platformunda sağlanan katma değerli hizmetleri kullandıkları konusunda da dikkatli olmalıdır.
2009-2012 yılları arasında Kabine Ofisi ve Hükümet CIO’sunda BT Stratejisi ve Politikası Eski Müdürü Bill McCluggage, müşterilerin% 1’inden daha azının bulut sağlayıcılarını değiştirdiğini söylüyor, çünkü sistem hileli.
Örneğin, bir kamu sağlayıcının veri merkezinden veri aktarmak için çıkış ücretleri opaktır. McCluggage, tescilli uygulama programlama arayüzleri (API’lar) ve bağlayıcı kurumsal anlaşmalarla birlikte çıkış ücretlerinin genellikle genel bulut sağlayıcılarını değiştirme maliyetini çok yüksek hale getirdiğini söylüyor.
“Sadece rekabeti boğmanın ötesinde, bu kilitleme aynı zamanda İngiltere hükümetinin bir AI güç merkezi olma arzusunu da zayıflatıyor. AI iş yükleriyle, yüksek performanslı bulut altyapısına giderek daha fazla bağlı olarak, sadece iki baskın hiperskalere dayanmaya devam ediyor.
McCluggage’a göre, belirli kamu bulut hizmetlerini kullanan müşteriler “ekonomik tuzak” ile karşılaşabilirler. Örnek olarak, Microsoft’un son Office 365 Kişisel ve Aile Abonelikleri İngiltere’deki fiyat artışı-59,99 £ ‘dan 84.99 £-AI ile çalışan Copilot özelliklerinin eklenmesiyle haklı çıkarıldı.
“Müşteriler, ‘klasik’ aboneliği seçerek zammı önleyebilirler” diyor McCluggage, Microsoft’un bu aboneliği insanların bulması çok daha zorlaştırdığını belirtiyor. “Çoğu birey – ve kuruluşlar – çok geç olana kadar bir seçeneği olduğunu bilmiyor. Bu değer yaratma değil” diye ekliyor.
Sözleşme şartları konusunda gerçekçi olmak
Bulut ekosistemi gelişmeye devam edecek ve yeni sağlayıcılar değişen güvenlik garantilerinin yanı sıra zorlayıcı yetenekler sunuyor. Quorum Cyber’den Bruce, tüm SLA boşluklarını ortadan kaldırmaya çalışmanın potansiyel olarak dönüştürücü teknolojiler anlamına geleceği konusunda uyarıyor. Bunun yerine, başarılı CISO’ların uygun kontrolleri sürdürürken inovasyonu mümkün kılan bilinçli risk kararları vermek için çerçeveler geliştirmesi gerektiğini söylüyor.
“Kuruluşlar, SLA GAP yönetimine yapılandırılmış bir yaklaşım benimseyerek, güçlü güvenlik duruşlarını ve düzenleyici uyumluluğu sürdürürken yenilikçi bulut hizmetlerine erişebilirler” diyor Bruce, anahtarın basit kabul/reddetme kararlarının ötesine geçtiği ve orijinal tehditlere karşı koruma sağlarken iş hedeflerine sağlayan sofistike risk yönetimine geçiyor.
SLA GAP yönetimine olgun yaklaşımlar geliştiren kuruluşlar, uygun risk yönetimi standartlarını korurken bu yeniliklerden yararlanmak için en iyi konumlandırılacaktır.
Her teknoloji kararı risk değiş tokuşlarını içerir. Yeni bulut ve AI inovasyonundan en iyi şekilde yararlanırsa, kurumsal BT standartlarını tam olarak karşılamasa bile veya kilitlenme ve McCluggge’ın ifade ettiği opak çıkış ücretleriyle karşılaşma potansiyelinin bulunduğu yerleşik kamu bulut sağlayıcılarıyla birlikte gidin.
Aryaka’nın Sood, karar vericileri, yeni bulut hizmetini ve özel risk profilini hesaba katmak için kuruluşun iç güvenlik politikalarını ve prosedürlerini güncelleyerek proaktif yönetişim, risk ve uyumluluk (GRC) benimsemeye çağırıyor. “Sağlayıcının güvenlik kontrollerini ve telafi eden kontrollerinizi doğrudan ilgili düzenleyici gereksinimlerle eşleyin” diyor.
Sood ayrıca BT liderlerinin kuruluşun risk değerlendirmelerinin belgelenmesini, hafifletme stratejilerinin ve resmi risk kabul kararlarının titizlikle yönetilmesini sağlamalıdır.
Bu stratejileri benimseyerek, BT ve güvenlik liderleri yenilikçi bulut teknolojilerini güvenle benimseyebilir, doğal riskleri en aza indirebilir ve başlangıçta istenen tüm kriterleri karşılamayan SLA’larla karşılaşsa bile güçlü bir uyumluluk duruşu sağlayabilirler.
Bu tür önlemler ve politikalar mevcutken, BT karar vericileri, kuruluşları için en iyi AI ve bulut yeniliklerini seçmek için daha iyi bir yere koymaları gereken risk ve azaltma stratejilerini anlarlar. Bruce, “Soru riski kabul edip etmeyeceği değil, iş hedefleri arayışında akıllıca nasıl yönetileceği” diyor.