Dijital çağda müşteri beklentilerinin üstünde kalabilmek, yeni yazılımları baş döndürücü bir hızla benimsemek anlamına geliyor. Uzaktan bir iş gücünün etkinleştirilmesi aynı zamanda düzinelerce SaaS uygulamasının ve çevrimiçi üretkenlik hizmetinin sağlanmasını da gerektirir. Verileri güvende tutarken bu iş zorunluluklarını dengelemek, hızla bir CISO’nun en kötü kabusu haline gelebilir. Gölge BT kontrolden çıkma riski taşıyor ve bulut yayılması sınır tanımıyor. Ancak rekabetçi kalmak istiyorsanız gelişmeyi reddetmek bir seçenek değil.
Peki, yönetişim veya risk yönetiminden ödün vermeden yeni, bulut tabanlı BT kaynaklarının güvenli bir şekilde kullanılmasına nasıl izin verirsiniz? Hala hızlı hareket ederken saldırı yüzeyinizin katlanarak büyümesine izin vermekten nasıl kaçınırsınız?
Verileri ve tüm ortamlarda erişimi güvence altına alan politikalar ve araçlar aracılığıyla esnek korkuluklar inşa etmeyi gerektirir. İyi haber şu ki, dijital dönüşümün kaosunda bile çeviklik ile gözetim arasında bir denge bulmak mümkün. Önemli olan, üretkenliğe izin verirken çalışanları eğiten yönetişim temelli bir yaklaşım benimsemektir.
Shadow IT Nedir ve Neden Önemlidir?
Çözümleri incelemeden önce sorunun özünü anlamanız gerekir; gölge BT tam olarak nedir ve neden bu kadar çok iş riski yaratır? Temel düzeyde, gölge BT, çalışanların BT’nin onayı veya gözetimi olmadan kullandığı veya iş için eriştiği her türlü donanım, yazılım, sunucu, hizmet veya veriyi ifade eder.
Bazen gölge kaynaklar genel bulut kapsayıcıları olarak barındırılır veya sunucusuz işlevler olarak dağıtılır. Diğer zamanlarda, çalışanların güvenliği dikkate almadan bir ihtiyacı karşılamak için kaydolduğu bir SaaS uygulaması, analiz panosu veya üretkenlik aracıdırlar.
BT gölgesinin biçimi ne olursa olsun, tehlikeler iki yönlüdür:
1.Görünürlük Boşlukları: BT ve güvenlik ekiplerinin, hangi verilerin onaylı sistemler dışında işlendiği ve saklandığı konusunda daha fazla bilgiye ihtiyacı var. Veri yönetimi politikalarını uygulama veya mevzuata uygunluğu sağlama şansı yoktur.
2.Genişletilmiş Saldırı Yüzeyi: Her gölge BT çözümü muhtemelen bir internet bağlantısına dayanır ve bilgisayar korsanlarının kurumsal ağlara arka kapı olarak yararlanarak hassas sistemleri ihlal etmek için daha fazla yol sunabileceği bazı güvenlik açıklarına sahiptir.
Kimlik ve erişim yönetimi şirketi Okta da dahil olmak üzere çok sayıda yüksek profilli saldırı gölge BT’den kaynaklandı. Bu, yalnızca bu risklerin gerçek olduğunu göstermekle kalmıyor, aynı zamanda dijital dönüşümün hızlanması ve bulutun benimsenmesinin her yerde olması nedeniyle, gölge BT’yi tamamen ortadan kaldırmanın artık gerçekçi olmadığını gösteriyor. Önemli olan, güvenliği çalışan üretkenliğiyle dengelemek için esnek korkuluklar uygulamaktır.
Pragmatik ve Etkili Güvenlik Korkulukları Oluşturmak
Peki, kuruluşunuz iyi veri hijyeni ve erişim kontrollerini uygularken aynı zamanda gölge BT kaynaklarının bir kısmının güvenli kullanımına nasıl izin verebilir? Çok yönlü bir yaklaşım gerektirir:
Yönetişim ve Gözetim ile Liderlik Edin
BT departmanları, her potansiyel gölge riskin peşine düşmeden önce, ilk olarak yaptırım uygulanan uygulamaların ve kaynakların yönetimini iyileştirmeye odaklanmalıdır. Aşağıdakilere sahip olduğunuzdan emin olun:
Kapsamlı politikalar: Bulut çözümleri için gereken belirli güvenlik protokolleriyle cihazların, ağların, hizmetlerin ve verilerin kabul edilebilir kullanımına yönelik kurumsal politikalar belirleyin. Çalışanların yeni araçlar için resmi onay talebinde bulunmasını kolaylaştırın.
Varlık envanterleri: İşletme genelinde kullanılan donanım, cihaz, yazılım sistemleri ve bulut hizmetlerinin mevcut envanterlerini koruyun. Tüm bağımlılıkları ve veri akışlarını tanımlayın. Denetimler için bu temeli kullanın.
Görünürlük araçları: Onaylanmamış uygulama ve hizmetlerin kullanımını tespit etmek için ağ trafiği izleme, uç nokta aracıları veya kullanıcı davranışı analiz yazılımı yükleyin. Birçok çözüm, gölgede barındırılan konteynerleri veya kontrolden çıkan sunucusuz iş yüklerini tanımlama konusunda uzmanlaşmıştır ve bazıları konteyner güvenlik yapılandırmalarını değerlendirmeye yönelik özellikler sunar. Bulut Erişimi Güvenlik Aracıları (CASB’ler) ayrıca onaylı ve onaysız SaaS uygulamalarına ilişkin görünürlük sağlar.
Risk değerlendirmeleri: Zayıf noktalarınızı anlamak için derinlemesine siber risk değerlendirmeleri yapın ve yeni gölge BT kaynakları ortaya çıktıkça düzenli olarak yenileyin. Konteynerlerin yanlış yapılandırılması durumunda olası veri ihlali maliyetlerini veya IP kayıplarını ölçün.
Personeli En İyi Güvenlik Uygulamaları Konusunda Eğitin
Çalışanlarınız yeni araçları benimserken muhtemelen şirket verilerini riske atmaktan kaçınmayı amaçlıyor. Sadece daha üretken olmak istiyorlar. Aşağıdaki gibi konuları kapsayan güvenlik farkındalığı eğitimini tüm personel için zorunlu hale getirin:
- Bulut tabanlı veya konteyner iş yükleri için uygun erişim kontrolleri ve kimlik doğrulama protokolleri
- Aşırı maruz kalan konteyner hizmetleri veya sunucularının tehlikeleri
- İhlal maliyetleri doğrudan kârlılığa ve ikramiyelere nasıl zarar veriyor?
- BT’den yeni uygulamaları veya araçları incelemesini ve onaylamasını istemek için kolay prosedürler
Gölge BT kullanımına ilişkin güvenlik ipuçlarına ilişkin dostane hatırlatmalar, e-postalardan Slack mesajlarına ve dinlenme odası posterlerine kadar dahili iletişimlerde kalıcı olmalıdır.
Verinin Güvenliğini Sağlamaya Odaklanın
Ne olursa olsun gölge BT kullanımının bir kısmının gözden kaçacağını kabul edin. Yönetişim ve eğitimi tamamlamak amacıyla, son savunma hattı olarak hassas verilerin güvenliğini sağlamaya yönelik teknik önlemler gereklidir. Bu veri merkezli yaklaşım, korumaları doğrudan şirketin en önemli değerlerine yerleştirir.
Güçlü veri sınıflandırmaları uygulayın: Tüm kurumsal verileri hassasiyet düzeyine göre (genel, dahili, gizli, kısıtlı) sınıflandırın ve BT güvenlik ekipleri tarafından kontrol edilen anahtarlarla uygun şekilde şifreleyin. Bu, çalışanların konteynerleri yanlış yapılandırması ve verilerin açığa çıkması durumunda hasarı sınırlar. Gizli veriler, müşteri kişisel bilgileri, mali kayıtlar, ürün IP’si vb. gibi daha ayrıntılı sınıflandırmaları garanti eder.
Hak yönetimini zorunlu kılın: Kimlik ve erişim yönetimi politikaları ve ayrıcalıklı erişim araçları aracılığıyla gizli verilerin kullanım yetkilerini kontrol edin. Sınıflandırmaları bulut erişim politikalarıyla entegre edin. Bu, gölge BT kaynaklarına erişseler bile kötü niyetli iç tehditleri engelleyecektir.
Veri kaybını önleme yazılımını yükleyin: Veritabanlarının veya kod depolarının kişisel sürücülere veya onaylanmamış bulut depolama hizmetlerine kopyalanması gibi riskli veri sızdırma davranışlarını tespit etmek için DLP yazılımını çalışanların uç noktalarına dağıtın. DLP ayrıca kısıtlanmış verilerin yüklenmesini de engelleyebilir; bu izlemeyi, sorumlu veri işleme konusunda kullanıcı eğitimiyle birleştirin.
Bulut iş yüklerini segmentlere ayırın: Farklı bulut iş yüklerini sınıflandırma düzeylerine göre diğer üretim altyapılarından ayırmak için mikro segmentasyonu, VLAN’ları ve güvenlik gruplarını kullanın. Kirlenmiş konteynerler veya yetkisiz erişim sağlayan sunucusuz işlevler gibi gölge kaynaklardan kaynaklanan ihlallerin patlama yarıçapını sınırlayın. Bu teknik sıfır güven mimarisini tamamlar.
En az ayrıcalıklı erişimi uygulayın: Çalışanlara ve uygulamalara, rollerine ve kullanım amaçlarına göre veri depolarına minimum düzeyde erişim sağlayın. Gölge BT bileşenleri tehlikeye girerse genel erişimi suçlamak gereksizdir. Bunu geniş ölçekte sağlamak için eski sistemleri bulut erişim aracıları ve kimlik sağlayıcılarla entegre edin.
Temel içgörü, yönetişim ve eğitimin ön uçtaki gölge BT risklerini azaltmayı amaçlamasına rağmen, hassas verilerin güvenliğinin sağlanmasının, her şey başarısız olursa son savunma hattı olarak hareket etmesidir. Dayanıklı veri merkezli bir yaklaşım, kaçınılmaz gölge BT kullanımının etkisini sınırlarken şirketinizin bulutun üretkenlik avantajlarından faydalanmasına da olanak tanır.
Bulut Çağında Güvenliği Sürdürmek Dengeyle İlgilidir
İşte, gölge BT’yi güvence altına almak için pragmatik korkuluklar oluşturmak, gözetim, eğitim ve veri merkezli korumaları birleştirerek mümkündür. Elbette bu aynı zamanda çalışanlara bulut hizmetleri, veri analitiği ve konteyner platformları gibi rekabet avantajı sağlayan yeni teknolojilerden güvenli bir şekilde yararlanma özgürlüğünü de veriyor. Doğru esneklik ve yönetişim dengesiyle kuruluşunuz, dijital yeniliği kısıtlamak yerine güvenli bir şekilde benimseyebilir.
Reklam