Yazan: Ameya Khankar, Kritik Altyapı Siber Güvenlik Danışmanı
Dijital dönüşüm geçiren şirketler, temel ürün tekliflerini modernleştirmeye karar verdi. Bu zorlu bir süreç olabilir ancak kuruluşlara işlerini yeniden tasarlama konusunda benzersiz bir yetenek kazandırır. Modern dijital en iyi uygulamaları hayata geçirebilir ve kendilerini sürekli başarıya hazırlayabilirler.
Bu dönüşüm sürecinin bir kısmı güvenliğin iyileştirilmesini içerir. 2023’te dijital dönüşüme girecek olan şirketler, özellikle bulutta olmak üzere modern güvenlik tehditlerine karşı muhtemelen güvende değil ve bu kontrolleri iyileştirme fırsatına sahipler.
CISO’lar, bulut ortamındaki bulut güvenlik kontrolleri ve erişim yönetimindeki iyileştirmelere öncelik vermelidir. Geçtiğimiz birkaç yılda Fortune 500 kuruluşlarını vuran yüksek profilli veri sızıntısı olaylarının da vurguladığı gibi, gevşek bulut güvenliği ve erişim yönetimi kontrolleri doğrulanabilir sonuçlara sahiptir.
Bu makalede, dijital dönüşüm çabalarının güvenlik odaklı kuruluşlara değişimi etkilemek için nasıl öncülük ettiğini ve neden bu değişiklikleri yönlendirmeleri gerektiğini ana hatlarıyla anlatacağız.
Dijital Dönüşüm Çabaları Kuruluşların Devamlı Başarısı İçin Öncülük Ediyor
Dijital dönüşüm çabaları, bu şekilde konumlandırılmış olsa bile genellikle yalnızca kaldır-ve-kaydır önerilerinden daha fazlasıdır. Bunlar sıklıkla iş modelinin değerlendirilmesini, uygulama mimarisinin yeniden yapılandırılmasını ve kod tabanı öğelerinin bulut ölçeklenebilirliği ve dayanıklılığı açısından optimize edilmesi amacıyla iyileştirilmesini içerir. Bunu yapmak, öngörülemeyen maliyetlerden tasarruf sağlar.
Bu, CISO’ların güvenlik duruşunu yeniden değerlendirmeleri ve güvenlik kontrollerini iyileştirmeleri için bir fırsattır. Bulut hizmetleri genellikle sürdürülebilir güvenlik ortamları için uygun şekilde yapılandırılması ve yönetilmesi gereken sağlam güvenlik önlemlerini ve altyapıyı içerir. Bu bulut güvenlik önlemleri kritik öneme sahiptir.
Varlıkların buluta yerleştirilmesi, ortamların uygun şekilde yapılandırılmaması ve güvenliğinin sağlanmaması durumunda, görünürde yeni ve daha geniş bir erişim potansiyeli yaratıyor. Hassas verilerin riske atılmasına engel olmak önemlidir.
CISO’ların ayrıca bulut barındırmanın iş sürekliliği avantajlarının hayata geçirilmesini sağlaması gerekir. Varlıkları buluta taşımanın temel faydalarından biri, sıcak depolama yedeklemelerine yük devretme, bu kaynakları ölçeklendirme ve ayrıca sık sık soğuk depolama yedeklemelerine erişim sağlama yeteneğidir. Bu işlevsellikten ve faydalarından yararlanmak için bir bulut ortamını yapılandırmamak, potansiyel olumsuzluklarla birlikte kaçırılmış bir fırsat anlamına gelebilir.
Bulut ortamları ayrıca olay günlüğü tutma ve uyumluluk izleme için gelişmiş kapasite sunar. Başlıca bulut hizmetleri her ikisini de sunar ve çok sayıda güvenlik izleme ve uyarı altyapısı yığınına iyi bir şekilde entegre olur. Ayrıca, hassas ve hatta yüksek düzeyde düzenlemeye tabi verilerin gerektiğinde güvence altına alınmasını sağlamak için uyumluluk ayarlarında anında değişiklik yapma olanağı da sunarlar. Bu uyumluluk ayarları aynı zamanda ilgili bilgileri izleme amacıyla dahili ekiplere sunarak kurumsal denetimleri de kolaylaştırır.
CISO’ların varlık güvenliğini iyileştirebildiği ve kaynak yatırımından tasarruf edebildiği durumlarda, sonuç, güvenliğin iyileştirilmesine yönelik kaçınılmaz bir sonuç olacaktır.
Bulut Güvenliği ve Erişim Yönetiminin Önemi
Bulut hizmetleri dijital dönüşüm girişimlerinin önemli bir unsurudur. Bu hizmetler kuruluşların çevik ürün sunumunu, esnekliği, ölçeklenebilirliği ve maliyet verimliliğini geliştirmesine olanak tanır. Bulut ortamları karmaşık ve dinamiktir, bu da onları siber tehditlere karşı korumayı zorlaştırır.
Bulut güvenliği, bulut tabanlı verileri, uygulamaları ve altyapıyı korumak için tasarlanmış uygulama ve teknolojiler kümesini ifade eder. Bulut güvenliğiyle ilişkili riskler arasında veri ihlalleri, yanlış yapılandırmalar ve bilgilerin yetkisiz erişime ve kötüye kullanılmasına yol açabilecek içeriden gelen tehditler yer alır.
Erişim yönetimi, yalnızca yetkili personelin erişme yetkisine sahip olduğu bulut tabanlı kaynaklara, verilere ve uygulamalara erişebilmesini sağlamakla ilgilenen, bulut güvenliğinin önemli bir alt kümesidir. Erişim yönetimi, bulut kaynaklarına erişimi kontrol etmek için kullanıcı kimliklerini, izinleri, kimlik doğrulamayı ve yetkilendirmeyi yöneten süreçleri ve teknolojileri içerir.
Kimlik ve erişim yönetimi (IAM) çözümleri, bulut ortamlarındaki erişim yönetiminin kritik bir bileşenidir. IAM çözümleri, kullanıcı kimliklerinin, kimlik doğrulamanın ve yetkilendirme politikalarının merkezi yönetimini sağlar. Rol tabanlı, öznitelik tabanlı veya ilişki tabanlı erişim kontrolleri için kanonik bir temelin standartlaştırılmasına ve uygulanmasına yardımcı olurlar.
Çok faktörlü kimlik doğrulama (MFA), zayıf parolalar ve yetkisiz erişimle ilişkili risklerin azaltılmasına yardımcı olabilecek erişim yönetiminin bir diğer kritik bileşenidir. Son kullanıcıya özel olması gereken ek bir erişim belirtecinin kullanılmasını zorunlu kılarak kimlik doğrulama risklerini azaltmak için fiili bir standart haline geldi.
Bazı durumlarda, tesis içi veya yan yana teknoloji uygulamaları, bu teknolojileri büyük bir değişiklik olmaksızın barındırabilir. Diğer durumlarda bunu yapamazlar. CISO’ların, yeni ortamları bağlamında taşınacak ve değiştirilecek yazılım teknolojisinin güvenlik kapasitesini değerlendirmesi gerekir. Bu güvenlik önlemleri bulutta uygulanabilir değilse veya uygulanması son derece zorsa CISO’ların güvenlik önlemlerine odaklanmanın kritikliğini vurgulaması gerekir.
CISO’ların Bulut Güvenliğine ve Erişim Kontrolüne Neden Öncelik Vermesi Gerekiyor?
Birçok kuruluş iyileştirilmiş güvenlik önlemlerine öncelik vermiyor. Ayrıca erişim kontrolü şemasını değiştirmeye de odaklanmıyorlar. Güvenliğin dijital dönüşümün ikinci planda kalmasının birçok nedeni var.
Öncelikle bulut güvenliği yeni bir şey. Yoğun şirket içi veya ortak altyapıya sahip kuruluşlar, kendilerine sunulan yeni bulut güvenliği teknolojileri konusunda uzman değildir. Kuruluşların maliyetleri azaltmak için revize edilmiş mimari ve uygulama tasarımı konusunda eğitime yatırım yapmak zorunda oldukları durumlarda, aynı şeyi güvenlik konusunda yapmak zorunda olmadıklarını düşünebilirler. Şaşırtıcı bir şekilde, teknoloji yığınında başka hiçbir şey eski olmadığında eski güvenlik uygulamalarının iyi olduğuna karar verebilirler.
Etkisi somuttur: Güncelliğini yitirmiş veya bulut ortamına uygun olmayan güvenlik uygulamaları, söz konusu ortamın tehlikeye atılmasına neden olabilir. Bu eğitimsel ve politik bir engeldir ve CISO’ların teknoloji meslektaşlarını zayıf bulut güvenliği duruşunun tuzakları konusunda aydınlatarak üstesinden gelmeleri gereken bir engeldir. Ek olarak, bu eğitimin, güvenliğin olaydan sonra “düzeltilmesinin” mimari karmaşıklığını vurgulaması gerekir.
İkincisi, bulut güvenliği bir maliyet işlevi haline gelebilir. Birçok kuruluş, geçiş aşamalarında bulut güvenliği uygulandığında ek maliyetin en aza indirildiğini ve yatırım getirisinin en üst düzeye çıktığını fark etmeden değerlendirmeyi durdurur. Bunun tersine, güvenlik, buluta geçiş çabasında sonradan akla gelen bir düşünce olarak uygulandığında, bu maliyet en üst düzeye çıkar ve yatırım getirisi en aza indirilir. Yukarıda vurgulandığı gibi bulut güvenliği, temel alınan taşınan varlıkların yeniden mimarisinin yapılmasını gerektirebilir. Geçiş sırasında bu sorunun çözülmemesi, maliyetlerin artmasına ve tekrarlanmasına neden olacaktır.
Bazı kuruluşlar ek maliyetin zahmete değmeyeceğine karar verebilir. Bu son derece kuruş akıllıca, aptalca bir yaklaşım. Bu bulut güvenliği uygulamalarının uygulanmaması, ortamı saldırılara açık bırakır; bu da bir saldırıyı düzeltmek ve müşterinin aynı şeyi yapma çabalarını desteklemek için aşırı maliyetlerle sonuçlanabilir. Siber saldırılar, olup olmayacağı değil, ne zaman olacağı meselesidir, dolayısıyla bir siber saldırının gerçekleşeceği kaçınılmaz bir sonuçtur. Sağlam bir savunma hazırlamak, saldırının patlama yarıçapını azaltma konusunda ileride fayda sağlar.
Üçüncüsü, bir güvenlik ekibini eğitmenin en iyi zamanı yeni kaynakların uygulamaya konduğu dönemdir. Büyük ölçekli bir geçiş projesi gibi, kaynak uygulamasından sonra bir güvenlik ekibinin eğitilmesi, güvenlik ekibini çevrenin en iyi şekilde nasıl korunacağı ve altyapının nasıl destekleneceği konusunda karanlıkta bırakır. Bu eğitim başarısızlığı, endüstri standardı güvenlik uygulamalarının uygulanamamasına ve dolayısıyla ortamın makul ölçüde korunmamasına neden olur. Bu, örneğin, davacının avukatının bu makul önlemlerin mevcut olup olmadığını anlamak isteyeceği bir ihlal sonrası toplu dava davasında kritik öneme sahiptir.
Geçiş çabasından önce güvenlik eğitimi kredilerinin veya kurslarının dahil edilmesi CISO’ların ilk akla gelen fikri olmalıdır. Bir tür eğitim olmadan ve buna bulut güvenlik altyapısı eğitiminin de dahil edilmesi gerekmeden bir geçişin gerçekleştirilmesi pek olası değildir. Başlangıçta güvenlik eğitiminin dahil edilmesi, bunun için öngörülebilir fiyatlandırmanın sağlanmasına da yardımcı olur.
CISO’ların, bir dijital dönüşüm projesinin başlangıcında kurumsal liderliği sağlam güvenlik ve erişim kontrolleri ihtiyacı etrafında toplaması ve odaklaması gerekiyor. Bu hususlar diğer dönüşüm girişimleriyle paralel olarak geliştirilmeli ve uygulanmalıdır. Dijital dönüşüm projesi tamamlandıktan sonra yeterli bulut güvenliğinin sağlanması zor bir hedef haline gelebilir.
Bir dijital dönüşüm projesinin başlangıcında yeterli bulut güvenliği mevcut değilse, bu durum kurumsal varlıkları önemli bir risk altına sokar. Organizasyonel liderliğin, genel olarak halka açık bir bulut ortamındaki risklerin, şirket içi veya ortak konumlandırılmış altyapı ve kolayca tanımlanabilen giriş ve çıkış noktalarına sahip varlıklara ilişkin risklerden daha önemli olduğunu anlaması gerekir. Uygun olmayan güvenlik ve erişim yapılandırması, erişim noktalarını çoğaltabilir ve görev açısından kritik operasyonları veya bilgileri tehlikeye atabilir.
Çözüm
CISO’ların, bir dijital dönüşüm projesinin başlangıcında iyileştirilmiş ve değiştirilmiş güvenlik ve erişim kontrolü hususları için sağlam bir gerekçe sunması gerekir. Bulut ortamındaki güvenlik ve erişim, şirket içi veya ortak konumlu ortamdan niteliksel olarak farklıdır. Geniş müşteri erişimini kolaylaştırmak için tasarlanan bulut ortamında riskler de daha önemlidir.
Dijital dönüşüm projeleri, iyileştirilmiş güvenlik önlemlerini uygulamak için mükemmel bir zamandır. Şirket içi veya bir araya getirilmiş varlıkların diğer yönleri, bulut barındırmanın yeni gerçeklerini hesaba katacak şekilde değiştirilecektir. Bu çabalara güvenlik ve erişim kontrollerinin dahil edilmemesi için hiçbir neden yoktur. CISO’ların bu değişiklikleri savunması ve bunların uygulanmasını sağlaması gerekir. Bu değişiklikler dijital dönüşüm girişimlerini başlatabilir veya bozabilir.
yazar hakkında
Ameya Khankar, iş teknolojisi ve siber güvenlik erişim yönetimi alanlarında küresel bir uzmandır. Teknoloji riski, bulut erişim yönetimi, kurumsal dönüşümler ve dijital yönetişim alanındaki derin uzmanlığı, çok sayıda küresel işletmenin siber güvenlik duruşlarını güçlendirmesine ve risk yönetimi uygulamalarını geliştirmesine yardımcı oldu. Ameya geçmişte birçok F500 kuruluşuna iş dönüşümlerini ve kurumsal güvenlik stratejilerini tanımlama konusunda danışmanlık yaptı. Hindistan Hükümeti tarafından tanınan prestijli Hindistan Siber Güvenlik Ödülü’ne ve ABD Ticaret Bakanlığı’nın Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından tanınan Siber Güvenlik Mükemmellik Ödülü’ne layık görüldü.