Doğru Kararı Vermek İçin Hangi Metodolojiyi Kullanıyorsunuz?
Zsolt Baranya, Bilgi Güvenliği Denetçisi, Black Cell Ltd.
Çok sayıda kuruluş, bulut tabanlı sistemler veya bulut hizmetleri sunmayı düşünüyor. Avantajları ve dezavantajları nedeniyle karar oldukça zor ve karmaşıktır. Genellikle, karar vericilerin ana argümanları, kurum içi bir mimariye kıyasla daha yüksek kullanılabilirlik ve düşük BT operasyon maliyetidir.
Avantaj-dezavantaj analizinin önemini anlatan yasal gereklilikler ve tavsiyeler bulunmaktadır. Bir kriter sistemi veya karar süreci sunan analizi yürütmek için tek tip / resmileştirilmiş bir metodoloji yoktur.
İlk olarak, kuruluşun tam gereksinimleri bilmesi için bulut hizmeti tanıtımındaki tüm yasal kuralları tanımlaması gerekir. Bu yükümlülükler ülkeden ülkeye büyük farklılıklar gösterebilir. Kuruluşun dikkate alması gereken zorunlu ve isteğe bağlı gereklilikler vardır. Bulut uygulamasına ilişkin karar, öncelikle zorunlu gereksinimlere bağlı olacaktır.
Bulut tabanlı hizmetlerin kullanımında ana şirkete bağlı olan birçok kuruluş – yan kuruluş / bağlı kuruluş – vardır. Bu durumda, bir bulut kullanımı uygulama olanakları, ana kuruluşa bağlıdır.
Tüm koşullar göz önüne alındığında, kuruluşların doğru kararı verebilmesi için bir metodolojiye veya bir kritere ihtiyacı vardır. Aşağıdaki liste ve kriterler kuruluşunuza yardımcı olabilir. Her sorunun, sorunun önceliğine dayanan bir puanı vardır. Cevapları vermeyi bitirirseniz, avantaj ve dezavantaj tarafında toplam bir puan alırsınız. Toplanan puanlar karar vericilere yardımcı olabilir.
Puanlar (değerler) sadece tavsiye niteliğindedir. Bunlar, kuruluşun özel ihtiyaçları nedeniyle değiştirilebilir.
| Numara. | Soru | Avantaj | dezavantaj | Puan |
| 1 | Yönetim, bulut hizmetlerini kullanmaya kararlı mı? Aksi takdirde, tüm proje başarısız olabilir. | Evet | Numara | 2 |
| 2 | Kurumsal bulut hizmeti kullanım kuralları kolayca uygulanmalı mı? Kurumun prosedür ve/veya kurallarının aşırı derecede farklı olması durumunda, bulut hizmetinin (sağlayıcı) prosedür ve kuralları uygulamayı uygulanamaz hale getirebilir. | Evet | Numara | 1,9 |
| 3 | Kurumun bilgi güvenliği politikası bulut hizmetlerinin kullanımına izin veriyor mu? İlk soruların yanıtı evet ise, bu politikayı değiştirmek için nispeten kolay bir karardır. | Evet | Numara | 1,5 |
| 4 | Bir sözleşme bulut hizmetinin kullanımını yasaklıyor mu? Cevabınız evet ise, bunu değiştirmek için partnerinizle görüşme imkanınız var mı? Sözleşmenin içeriği değiştirilemiyorsa dezavantajın değeri aşağıdaki gibidir. | Numara | Evet | 1,9 |
| 5 | Bulut hizmeti, iş ihtiyaçlarını karşılamaya uygun mu? Bu önemli bir soru, ancak işletmenin bulut hizmeti sağlayıcısı tarafından sağlanan hizmetin işleyişini ve işlevselliğini anlaması gerekiyor. | Evet | Numara | 1,8 |
| 6 | Bulut hizmeti, organizasyonel maliyet tahsisinin verimli bir şekilde uygulanması için uygun mu? Birçok kuruluşun bir maliyet dağıtım sistemi vardır. Bulut ihtiyaçları karşılayamıyorsa (veya karşılayamıyorsa), cevap hayırdır. | Evet | Numara | 2 |
| 7 | BT uzmanları, bulut hizmetlerini işletmek için özel bilgiye sahip mi? BT personelinin daha fazla eğitime ihtiyacı varsa, birçok bulut eğitimi mevcuttur, bu nedenle tanıtımın bu kısmı yönetilebilir. | Evet | Numara | 1,7 |
| 8 | Bulut hizmetlerinin kullanımını sınırlayabilecek herhangi bir yasal veya başka yasal zorunluluk var mı? Evet ise, kuruluş yasal işlemleri dikkate almıştır. | Numara | Evet | 2 |
| 9 | Veri geçişi nispeten kolay ve güvenli bir şekilde uygulanabilir mi? Değilse, tam bir geri plan veya bazı karışıklıklar ortaya çıkarsa başka planlar oluşturma olanağınız vardır. | Evet | Numara | 1,8 |
| 10 | Bulut çözümü, kurumsal mimari öğelerle uyumlu mu? Değilse, bununla başa çıkmak daha pahalı olacaktır. | Evet | Numara | 1,9 |
| 11 | Bir Çıkış stratejisi oluşturmak mümkün müdür (benzersiz bulut çözümü olması durumunda)? İyi bir Çıkış stratejisinin oluşturulması çok karmaşıktır. Kuruluşun tahmin edemediği birçok olası senaryo vardır. | Evet | Numara | 1,9 |
| 12 | Hizmet uygulama maliyetleri, yerinde çözümün operasyonel maliyetlerinden daha ucuz olabilir mi? Doğru cevap verebilmek için tam miktarlar gereklidir. | Evet | Numara | 2 |
| 13 | Bulut hizmetini daha da geliştirmeniz mi gerekiyor yoksa kompakt bir hizmet olarak mı mevcut? | Kompakt Evet | Hayır Geliştirme | 1,8 |
| 14 | Bulut hizmetinin teknik uygulaması riskli olarak kabul edilebilir mi (arayüzler, şifreleme vb.)? Nitelikli bir risk yönetim ekibinin yardımıyla risk azaltma süreci tüm zorlukları kapsayacaktır. | Numara | Evet | 1,7 |
| 15 | Bulut sağlayıcısı ve hizmetinin ilgili sertifikaları var mı? Sertifikasyon olmadan, denetim yaparak bilgi güvenliği ve veri koruma standartlarınıza uygun olduğundan emin olmalısınız. | Evet | Numara | 1,7 |
| 16 | Bulut hizmetinin kullandığı raporlama işlevi, karar verme sürecini destekliyor mu? Yöneticiler için önemlidir, ancak operatörler için tam olarak ilgili değildir. Cevap hayır ise, sorunu çözmek için geçici bir çözüm bulmanız gerekir. | Evet | Numara | 1,5 |
| 17 | Dağıtmak istediğiniz bulut hizmeti sağlayıcısı yakın zamanda bir olay yayınladı mı? Bulut hizmeti sağlayıcısının olayları yayınlaması iyi bir göstergedir, ancak olayın ne olduğu ve buna ne tür bir arızanın neden olabileceği düşünülmelidir. | Numara | Evet | 1,6 |
| 18 | Bir bulut hizmetinin yönetimi, bir şirket içi sistemi çalıştırmaktan daha fazla zaman alabilir mi? Daha fazla tahmini süre, daha fazla para. | Numara | Evet | 1,8 |
| 19 | Bulut hizmetinin kullanımı bir sözleşmeye mi dayanacak yoksa genel hüküm ve koşullara mı dayandırılacak? Sözleşmeye dayanıyorsa, cevap evet. Bu nedenle, sözleşmeye bireysel ihtiyaçları dahil etme olanağınız vardır. | Evet | Numara | 1,6 |
| Toplu puanlar |
Yukarıda temsil edilen metodoloji, bulut hizmeti uygulamasının avantajlarını ve dezavantajlarını analiz etmek için bir çözüm sağlayarak uygulama öncesi değerlendirme sürecini ilan eder. Uygulamada, evet/hayır yanıtına bölünemeyecek, kuruluşa özgü birçok durum ortaya çıkabilir. Böyle bir durum ortaya çıkarsa, her iki taraftan da argümanların toplanması tavsiye edilir.
Metodolojiyi mümkün olan en iyi şekilde kullanmak için, ankete cevap vermeden önce puanları belirlemek çok önemlidir. Eğer toplu puanlar analizin sonunda eşit olarak çıkarsa, karar vericiler yukarıdaki her sorunun benzersiz sonuçlarına ve tartışmalarına güvenebilirler.
Umarım bu metodoloji doğru kararı vermenize yardımcı olabilir!
yazar hakkında
Zsolt Baranya, Macaristan’daki Black Cell Ltd.’nin Bilgi Güvenliği Denetçisi ve uyumluluk başkanıdır. Daha önce bir yerel hükümet kuruluşunda bilgi güvenliği görevlisi ve veri koruma görevlisi görevlerinde bulunmuştur. Ayrıca, Ulusal Afet Yönetimi Genel Müdürlüğü, Kritik Altyapı Koordinasyon Departmanında kıdemli masa görevlisi olarak çalıştı ve burada Macar kritik altyapılarının bilgi güvenliği uyumluluğundan sorumluydu. Zsolt’a şu adresten ulaşılabilir: [email protected] ve şirketinin web sitesinde https://blackcell.io/
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.