Finansal hizmetlerin güvenli bir şekilde buluta taşınması söz konusu olduğunda dikkate alınması gereken birkaç önemli husus vardır. Güvenli bulut kullanımı ilk olarak, güvenli yapılandırmalar, esneklik ve geliştiriciler, altyapı ekipleri ve güvenlik ekipleri için tutarlı korumalar sağlayan işlem hatlarının kullanılması da dahil olmak üzere finansal hizmetler sektörünün bulutu güvenli bir şekilde kullanması ile başlar. Bu, bulut hizmeti sağlayıcılarının sağladığı güvenli bir temelin üzerine yerleştirilmiştir. Ek olarak, uygulanan güvenlik önlemlerinin etkililiğini göstermek için karşılanması gereken uyumluluk ve düzenleme gereksinimleri de vardır.
Dikkate alınması gereken temel alanlar:
- İş hedefleri ve risk iştahı
- Bulut programının gözetimi ve yönetimi
- Tehdit ve uyumluluk odaklı güvenlik kontrolleri
- Sürekli izleme ve sapma tespiti
- Yetenek
- Kültür
Buluta geçiş yaparken her kuruluşun süreci nasıl yöneteceğini düşünmesi gerekir. Bu, uygun politikaların ve gözetimin uygulanmasının yanı sıra teknik kontrollerin uygulanmasını da içerir. Güvenlik uygulamalarını ve politikalarını tehlikeye atmaya çalışabilecek çeşitli tehdit aktörlerini göz önünde bulundurarak bu konuya tehdit odaklı bir bakış açısıyla yaklaşmak çok önemlidir.
Bulut Yönetişimi Önemlidir
Finansal hizmetler için bulut yönetişimi esastır. Bulut yönetişimi, kuruluşların bulut bilişim kaynaklarını etkili bir şekilde yönetmelerine yardımcı olan bir dizi politika ve prosedürdür. Bulut kaynaklarının güvenli ve verimli bir şekilde kullanılmasının sağlanmasına yardımcı olduğundan, buluta geçmeden önce net bir bulut yönetişim yapısı oluşturmak önemlidir. Bu, finansal hizmetlerin buluttan yararlanmasına yardımcı olacak organizasyonel, operasyonel ve teknolojik bir yaklaşım gerektirir.
Bulut yönetişimi için önemli olan üç yönetişim hattı vardır:
- İlk yönetim hattı: Bu, bulut kaynaklarının günlük yönetiminden sorumludur. Genellikle BT ekiplerini, geliştirme ekiplerini, siber güvenliği ve DevOps ekiplerini içerir.
- İkinci yönetim hattı: Bu, ilk yönetim hattını denetlemekten ve bulut kaynaklarının kurumsal politika ve prosedürlere uygun olarak yönetilmesini sağlamaktan sorumludur. Genellikle denetim ve risk ekiplerini içerir.
- Üçüncü yönetim hattı: Bu, bulut yönetişiminin etkili olduğuna dair bağımsız güvence sağlamaktan sorumludur. Genellikle yönetim kurulunun denetim komitesine rapor veren bir denetimi içerir.
Bulut yönetişimine organizasyonel, operasyonel ve teknolojik bir yaklaşım uygularken aşağıdakileri göz önünde bulundurmalısınız:
- Altyapı boru hatları: Bunlar, bulut altyapısını terraform aracılığıyla dağıtmak ve yönetmek için kullanılabilecek otomatik işlem hatlarıdır.
- Uygulama hatları: Bunlar, yerleşik güvenlik kontrolleri ve kontrolleri ile bulut uygulamalarını dağıtmak ve yönetmek için kullanılabilen otomatik işlem hatlarıdır.
- Veri hatları: Bunlar, veri sınıflandırma, veri tokenizasyonu/şifreleme ve veri kaybı önleme araçları gibi araçları kullanarak verileri bulutta taşımak ve yönetmek için kullanılabilen otomatik işlem hatlarıdır.
- Değişim yönetimi: Bulut kaynaklarındaki değişiklikleri yönetmeye yönelik, değişim konusunda iyi yönetişimi zorunlu kılan entegre bir süreç.
- Politika revizyonları: Bu, bulut yönetişim politikalarını ve prosedürlerini paydaşlarla birlikte gözden geçirme ve güncelleme sürecidir.
- İzleme: Bu, bulut kaynaklarındaki değişikliklerin günlüğe kaydedilmesi ve izlenmesinin yanı sıra güvenlik açısından ortamın izlenmesi sürecidir. Buna hem uygulama, hem altyapı hem de güvenlik izleme dahildir.
- Varlık envanterleri: Bu, bulut kaynaklarını ve herhangi bir zamanda neyin çalıştığını belirlemeye ve izlemeye yönelik bir süreçtir.
Bulut Benimsemesinde Dikkat Edilmesi Gerekenler
Yukarıdakileri benimsemeye başladığınızda, operasyonları ölçeklendirmek ve uygulamaların dağıtımında, kurtarılmasında ve kontrollerin etkili bir şekilde çalıştığından emin olunmasında tekrarlanabilirliği sağlamak için “her şey kod olarak” yaklaşımını benimsemek önemlidir.
Finansal hizmetler oldukça düzenlemeye tabi bir sektördür ve bulutun benimsenmesi, düzenleme ve uyumluluk ortaklarının daha fazla incelemesini beraberinde getirir. Bu sorunu çözmek için, riski azaltmak ve endişeleri hafifletmek amacıyla bulutta yerel bir yaklaşım benimsenmelidir. Bu, ön saflar, teknoloji, iş, güvenlik, teknoloji kontrolleri, operasyonel risk yönetimi ve denetim ekipleri dahil olmak üzere farklı ekipler arasında işbirliği yapılmasını gerektirir. Birlikte çalışarak güvenli ve uyumlu bir çerçeve oluşturulabilir.
Güvenilir üçüncü taraflar da uygulama sürecine dahil olabilir. Çalışmalarının nasıl doğrulanacağını ve uzmanlıklarının projeyi nasıl destekleyebileceğini düşünmek önemlidir. Bu, denetim ve uyumluluk çözümlerinin test edilmesini ve doğrulanmasını içerebilir.
Yönetici açısından bakıldığında, bulut stratejisini ve faydalarını işletmeye iletmek çok önemlidir. Bu, güvenlik ve uyumluluk kontrollerinin nasıl sürekli olarak izlendiğini ve sürdürüldüğünü göstermeyi içerir. Bulut, veri analizi yoluyla uyumluluğu ve riski gösterme fırsatları sunar. Hızlı öğrenme ve adaptasyon kültürünü teşvik ederek kontrol ortamında zaman içinde kademeli iyileştirmeler yapılmalıdır.
Özetle, buluta taşınan finansal hizmetlerin güvenlik, uyumluluk ve yönetişim hususlarını ele alması gerekir. Güvenilir üçüncü tarafların katılımı kadar çeşitli ekipler arasındaki işbirliği de önemlidir. Yöneticiler bulut stratejisini etkili bir şekilde iletmeli ve sürekli uyumluluk ve risk izlemeyi sağlamalıdır. Tüm organizasyonel değişim yönetiminde olduğu gibi, kültür de ekibi motive etmenin ve hızlı başarısız olabilmenin önemli bir unsurudur. Bu kültürün, misyona ulaşmak için liderlik ve işbirliği içinde çalışan tüm ekipler tarafından sergilenmesi gerekir.
Devamını oku Google Cloud’dan İş Ortağı Perspektifleri