[ This article was originally published here ]
Bu yazının içeriği tamamen yazarın sorumluluğundadır. AT&T, yazar tarafından bu makalede sağlanan görüşlerin, konumların veya bilgilerin hiçbirini benimsemez veya desteklemez.
Direnç tam olarak nedir? ABD Ulusal Standartlar ve Teknoloji Enstitüsü’ne göre, siber dayanıklılığın amacı, “siber kaynaklara bağlı görev veya iş hedeflerinin çekişmeli bir siber ortamda gerçekleştirilmesini sağlamaktır.” Diğer bir deyişle, siber suçlular ve ulus-devlet aktörleri ile aranız açıkken, yine de işinizi halledebilir misiniz? Değilse, ne kadar çabuk tekrar çalışmaya başlayabilirsiniz? Bu makalede, bulut ağlarınız arızalanırsa işletmenizin de onlarla birlikte batmamasını sağlayacak adımları özetliyoruz.
Onsuz yaşayamayacağınız (ve yaşayamayacağınız) şeylerin stokunu alın
Siber saldırı sırasında ve sonrasında dirençli olmak, ticari operasyonlara sorunsuz bir şekilde devam edebilmek veya kısa bir süre sonra tam gaz geri dönebilmek anlamına gelir. Bir olaya yanıt vermek ve olayı kurtarmak için kaynaklar bir havuzda toplanırken, hangi veriler korunmalı ve hangi işlemler devam etmelidir?
Korunması gereken veriler, düzenleme tarafından tanımlananları (örneğin, kişisel olarak tanımlanabilir bilgiler), fikri mülkiyeti ve finansal verileri içerir. Verilerin kendisi birden çok biçimde korunmalıdır: beklemede, aktarımda ve kullanımda. İçinde bulunduğunuz işin türü, neyin gerekli olduğunu zaten belirlemiş olabilir; temel operasyonlara sahip kritik altyapı sektörleri arasında telekomünikasyon, sağlık, gıda ve enerji yer alır. İşletmenizin hayatta kalması ve devam etmesi için güvendiği her şey, güvenlik açısından en yüksek öncelik olarak ele alınmalıdır.
Bulut sağlayıcınızdan gerekli kullanılabilirliği sağlayın
Esnekliğin önemli bir parçası, olanlara rağmen çevrimiçi kalabilme yeteneğidir. Bulut sağlayıcının sorumluluğunun bir kısmı, kaynakları kararlaştırılan hizmet düzeyinde çalıştırarak çevrimiçi tutmaktır. İşletmenizin ihtiyaçlarına bağlı olarak, operasyonları sürdürmek için belirli hizmet seviyelerine ihtiyaç duyacaksınız.
Bulut sağlayıcınız, iki taraf arasında yasal bir belge olan hizmet düzeyi sözleşmesinde (SLA) kaynakların kullanılabilirliğini taahhüt eder. Kullanılabilirliğin ölçüsü olan çalışma süresi, Amazon ve Microsoft’un halka açık bulutlarının en üst katmanlarında %99,9 ile %99 arasında değişiyor. %0,9’luk bir fark çok fazla görünmeyebilir, ancak bu, kabaca 9 saatlik kapalı kalma süresinden yılda 3,5 günden fazla anlamına gelir; bu, bazı işletme türleri için kabul edilemez olabilir.
Yedeklemeleri saklayın – daha da iyisi, otomatikleştirin
Fidye yazılımları hızla çoğaldıkça, kuruluşların kritik verilere erişimi engelleyen veya bu verileri dünyaya ifşa etmekle tehdit eden saldırganlara karşı kendilerini korumaları gerekir. Böyle bir olay sırasında iş operasyonlarına devam etmenin en temel yollarından biri, kritik verilerin yedeklerine güvenmektir. Ticari operasyonlar ve yasal uyumluluk için hangi verilerin gerekli olduğunu belirledikten sonra, bir yedekleme planına sahip olmanın zamanı geldi.
Bulut hizmeti sağlayıcınız yedekleme için seçenekler sunarken, işlevi birden fazla sağlayıcıya yaymak, aynı zamanda güvenli oldukları varsayıldığında riskinizi azaltacaktır. Spectra Logic’in Kurumsal Pazarlamadan Sorumlu Başkan Yardımcısı Betsy Doughty’nin dediği gibi, “3-2-1-1 kuralına bağlı kalmak akıllıcadır: Verilerin iki farklı ortamda, biri tesis dışı ve çevrimiçi, diğeri tesis dışı olmak üzere üç kopyası oluşturun. ve çevrimdışı.” Otomatik anlık görüntüler ve veri yedekleme arka planda çalışarak sizi en kötü durum senaryosuna hazırlar.
Kör noktalarınızı açığa çıkarın ve emniyete alın
ABD Menkul Kıymetler ve Borsa Komisyonu’nun yakın tarihli bir raporu, dayanıklılık stratejilerinin “kuruluşun doğrudan kontrol sahibi olmayabilecekleri de dahil olmak üzere ticari hizmetleri destekleyen sistemlerin ve süreçlerin haritasını çıkarmayı” içerdiğini gözlemliyor. Bulut ağları kesinlikle burada geçerlidir, herhangi bir dış kaynaklı hizmette olduğu gibi, bazı kontrollerden vazgeçersiniz.
Kontrolden vazgeçmek, görüş eksikliği anlamına gelmek zorunda değildir. Hangi verilerin aktarıldığına ve insanların bulut uygulamalarını nasıl kullandığına ilişkin görünürlük elde etmek için, bir bulut kullanıcısı ile bulut sağlayıcısı arasında yer alan bulut erişim hizmeti aracılarının (CASB’ler) hizmetlerini değerlendirin. CASB’ler, bir olay durumunda hem saldırının önlenmesi hem de iş operasyonları üzerindeki etki için değerlendirme sağlayarak bulut ağ trafiğinize ayrıntılar sağlayarak dayanıklılığınızı artırabilir. Ayrıca kimlik doğrulama ve şifreleme gibi güvenlik politikalarını da uygularlar.
Hazırlığınızı periyodik olarak test edin
Bileşenleri ve planları devreye sokmak için yapılan onca zorlu işten sonra, bir şeyleri test etme zamanı. Olay müdahale testleri, teorikten simüle edilmiş gerçek dünya saldırısına kadar değişebilir. Süreçler ve insanlar değiştikçe, bu testleri düzenli olarak yapmak, güncel bir hazırlık değerlendirmesine sahip olmanızı sağlayacaktır. Belirgin boşlukları yakalamak ve daha uzun aralıklarla gerçekçi simülasyonlara yatırım yapmak için daha uygun maliyetli kağıt testlerini daha sık çalıştırabilirsiniz. Altyapınızı doğrulamak ve test etmek için kaynak harcamak, bir saldırı olduğunda ve tüm gözler üzerinizde olduğunda karşılığını verir.
Esnek bir buluta doğru
Bir siber saldırıya dayanabilmek veya operasyonları hızla tekrar çevrimiçi hale getirebilmek, bir işletmenin başarısının anahtarı olabilir. SLA’ya göre artıklık ve beklenmedik durum planlarını yürütme sorumluluğunun bir kısmı bulut sağlayıcısına ait olsa da, bir kısmı da size aittir. Neyin önemli olduğunu bilerek, güvenlik açıklarınızı güvence altına alarak ve test edilmiş bir süreci uygulayarak, güvenli ve esnek bir bulut ağına giden yolda ilerliyorsunuz.
reklam