Önceki yazımda, Eyalet CIO’sunun 2023 İlk On Politikası ve Teknoloji Önceliğinin eyalet ve yerel yönetimlerin çalışmasına yardımcı olan uygulamaların ve API’lerin geliştirilmesi, sunulması ve güvenliğinin sağlanmasıyla nasıl bağlantılı olduğuna dair bazı düşüncelerimi sunmuştum. Bu yazıda bu önceliklerden üçüne (siber güvenlik ve risk yönetimi, eski modernizasyon ve konsolidasyon/optimizasyon) ve bunların güvenlik politikasını nasıl etkilediğine daha yakından bakmak istiyorum.
Siber Güvenlik ve Risk Yönetimi
Vatandaşların talepleri birçok eyalet ve yerel yönetimin esasen teknoloji şirketi haline gelmesine neden oldu. İnsanlar eyaletlerinin ve yerel yönetimlerinin kendileriyle birlikte çevrimiçi ortama geçiş yapmasını, sanal olarak daha fazla hizmet sunmasını ve bu hizmetleri zamanında sunmasını bekliyor. Bu durum eyalet ve yerel yönetimlerin vatandaşlarına daha duyarlı olabilmek için bazı hizmetleri bulut ortamlarına taşımasını gerektirdi.
Bu büyük miktarda karmaşıklık yarattı. Pek çok eyalet ve yerel yönetim artık eski şirket içi ortamlarının yanı sıra birden fazla bulut ortamını da yönetiyor. Bu hibrit, çoklu bulut ortamı, siber güvenlik ve risk yönetimi açısından bir dizi zorluğu beraberinde getiriyor.
Hibrit ve çoklu bulut ortamlarının artan karmaşıklığı, güvenlik açıklarının ortaya çıkması potansiyelini yaratıyor. Daha fazla karmaşıklık, daha fazla gözetim ve insan hatası potansiyeli anlamına gelir. Bu aynı zamanda güvenlik açığı yönetimi çabalarının genişletilmesi ve tüm uygulamaların ve API’lerin dahil edilmesini sağlamak için özenle yürütülmesi gerektiği anlamına da geliyor.
Bu, varlık yönetimi ve keşifle ilgili başka bir zorluğun altını çiziyor. Eyalet ve yerel yönetimler yalnızca farkında oldukları API’lerin güvenliğini sağlayabilir ve koruyabilir. API’ler sıklıkla çevrimiçi hale gelir veya güvenlik ekibinin haberi olmadan (bir dizi farklı nedenden dolayı) değiştirilir. Aslında bilinmeyen ve envanteri yapılmamış API’lerin sayısı, bilinen ve envanteri yapılmamış API’lerin sayısını büyük ölçüde aşabilir. Bu, genel siber güvenlik ve risk yönetimi çabalarının bir parçası olarak API güvenliğinin önemini vurgulamaktadır.
Güvenlik izleme ve uyumluluk amaçlarına yönelik görünürlük, hibrit ve çoklu bulut ortamlarının eyalet ve yerel yönetimler için sunduğu başka bir zorluktur. Bulut ortamlarındaki görünürlüğün, şirket içi ortamdaki kadar yaygın ve kolayca erişilebilir olacağı garanti edilmez. Bu, eyalet ve yerel yönetimlerin görünürlüğün mevcut olduğundan emin olmak için bilinçli bir çaba göstermesini ve aynı zamanda uyumluluk sorunları, güvenlik olayları ve diğer sorunlar açısından tüm ortamları uygun şekilde izlemek için bu görünürlükten yararlanmasını gerektirir.
Eski Modernizasyon
Eski modernizasyon, birçok eyalet ve yerel yönetimin üzerinde çalıştığı bir konudur. Pek çok kuruluş gibi eyalet ve yerel yönetimler de bazı uygulamaları buluta veya birden fazla bulut ortamına taşımış veya taşıma sürecindedir. Ancak uygulamaların tümü taşınmıyor; bazıları kasıtlı olarak şirket içinde bırakılıyor, hatta bazıları buluttan şirket içine geri gönderiliyor.
Tüm bu faktörler bir araya gelerek birçok eyalet ve yerel yönetim için karmaşık hibrit ve çoklu bulut ortamları yaratıyor. Bu karmaşık ortamlar, uygun bir bulut stratejisinin ele alınmasını gerektiren birçok zorluk yaratır. Eyalet ve yerel yönetimlerin, güvenlik uygulamalarının ve API’lerin geliştirilmesini, sunulmasını ve sürdürülmesini daha az karmaşık ve daha ulaşılabilir hale getiren bir ortamın nasıl yaratılacağını anlamaya odaklanmaya devam etmeleri gerekiyor. Bu, yukarıda tartışıldığı gibi, konsolidasyon/optimizasyon çabalarının yanı sıra uygun siber güvenlik ve risk yönetimini gerektirir.
Konsolidasyon/Optimizasyon
Artan karmaşıklık, saldırganlardan başka kimsenin çıkarına hizmet etmez. Hibrit ve çoklu bulut ortamlarının yönetimini, operasyonlarını, bakımını ve güvenliğini basitleştirmek ve optimize etmek bir zorunluluktur. Neden?
Eskiden ortamlar tamamen şirket içi veya özel veri merkezlerindeyken, eyalet ve yerel yönetimler bu ortamların nasıl yönetileceğini, çalıştırılacağını, bakımının ve güvenliğinin nasıl sağlanacağını anlıyordu. Bu işlevlerin her biri için tasarlanmış teknoloji yığınları ve bu teknoloji yığınlarını çalıştırmak ve bunlardan yararlanmakla görevli özel ekipler vardı. Bu “ütopya” ne yazık ki kısa sürdü.
Pek çok eyalet ve yerel yönetim kendilerini karmaşık hibrit ve çoklu bulut ortamlarıyla karşı karşıya bulduklarından, bu teknoloji yığınlarının her birini her ortamda kopyalamak zorundalar. Algoritmalardan hoşlananlar bunun bir N-kare problemi olduğunu fark edeceklerdir. Bu, eyalet ve yerel yönetimlerin, bu teknoloji yığınlarını gerektiği gibi kullanmayı bir kenara bırakın, yalnızca çalışır durumda tutmaya adanmış birden fazla ekibe ihtiyaç duymasıyla sonuçlandı. Bu basitçe ölçeklenmiyor ve daha iyi bir yaklaşım için yalvarıyor.
Bu altyapı zorluklarına ek olarak karmaşıklık da güvenliğin düşmanıdır. Karmaşıklık, güvenlik politikasının evrensel ve tutarlı bir şekilde uygulanmasına engel olur. Bu, eyalet ve yerel yönetim ortamlarının yeterince güvence altına alınmasının önünde önemli bir engeldir. Ayrıca karmaşıklık, insan hatası ve gözetim olasılığını da beraberinde getirir. Güvenlik ekibi üyelerinin daha sonra güvenlik ve/veya uyumluluk sorunlarına yol açabilecek bir şeyi gözden kaçırması çok kolaydır.
Altyapı ve güvenlik sorunları, hibrit ve çoklu bulut ortamlarının yönetimini birleştirme ve merkezileştirme ihtiyacına işaret ediyor. Böyle merkezi bir kontrol merkezinin oluşturulması, karmaşık altyapının verimli ve etkili yönetimini kolaylaştıracaktır. Aynı zamanda bu karmaşık altyapının uygun şekilde güvence altına alınmasını da sağlayacaktır. Her iki sonuç da eyalet ve yerel yönetimler için önemlidir.
Eyalet ve yerel yönetimler zaman içinde vatandaşların gelişen beklentilerini engelleyebilecek adalar değildir. Bu beklentiler, yönetim ve güvenlik zorlukları sunan hibrit ve çoklu bulut ortamlarından oluşan karmaşık bir altyapıyı zorunlu kılmaktadır. Bu zorlukların üstesinden gelmek için doğru strateji ile eyalet ve yerel yönetimler, güvenlikten ödün vermeden vatandaşlarının ihtiyaçlarını karşılayabilir.