Bir şirketin BT’sini buluta taşımak, maliyet, yer tasarrufu, azaltılmış personel sayısı ve performans bonusları gibi pek çok ilgi çekici özelliği olduğundan, birçok şirket için yapılacak makul bir şey olarak görülüyor. Denenmiş ve test edilmiş güvenlik paradigmaları, artık bulut tabanlı operasyonların söz konusu olduğu yerlerde amaca tam olarak uygun görülmemektedir. Ama durum bu mu? İyileştirilmiş güvenlik yönetimi ve dolayısıyla güvenlik duruşunda iyileştirmeler sunabilecek herhangi bir eğilim var mı?
Hem fiziksel hem de sanal BT dünyası için iyi bir izleme ve yönetim araçları seçeneği mevcut olsa da, bu araçların çoğu son müşterinin değil, bulut operatörünün veya yüklenicilerinin yetki alanında olacaktır.
Öyleyse, bir müşteri makul bir şekilde BT güvenliğinin hangi yönlerini kontrol etmeyi bekleyebilir ve bu kontrol nasıl uygulanabilir?
Güvenlik grubunun başlangıç noktası, şirketin BT’sinin kilit alanlarını, nerede ve hangi amaçla (AAA, e-posta, güvenlik duvarı vb.) hangi teknolojiyi kullanarak ve kimin neye sahip olduğunu ve neyi yönettiğini belirlemesidir.
Bu BT haritalama çalışmasının ardından, tüm verilerin nerede bulunduğunu, verilerin kime ait olduğunu, verilerin hangi değere sahip olduğunu, verilere kimin (veya neyin) erişebileceğini ve hangi amaçla olduğunu tanımlayan kapsamlı ve eksiksiz bir veri varlığı kaydının geliştirilmesi gelmelidir.
Bu iki görev daha sonra kapsamlı bir risk analizine ve çeşitli parçalar üzerinde kimin hangi kontrole sahip olduğunu belirleyen bir haritaya dönüşecektir. Bir şirketin nerede doğrudan kontrole sahip olduğunu, nerede dolaylı kontrole sahip olduğunu ve nerede kontrol sahibi olmadığını tespit ediyoruz.
Direkt kontrol
Bu, bir şirketin bir cihaza sahip olduğu (veya kiraladığı) ve cihazın bakımı ve yönetimi için doğrudan operasyonel sorumluluğa sahip olduğu yerdir. Burada şirketin kapsamlı güncel politikalara ve prosedürlere ve uygun şekilde eğitilmiş personele ihtiyacı vardır.
dolaylı kontrol
Bu, şirketin bulut tabanlı BT için genel durumda olacağı gibi üçüncü bir tarafın sahip olduğu ve işlettiği bir cihaz veya hizmeti kullandığı yerdir. Burada şirketin, şirketin güvenlik gereksinimlerini kapsamlı bir şekilde karşılayacak hizmet sözleşmesine ihtiyacı vardır ve muhtemelen en iyi şekilde, ana sözleşmenin yeniden müzakere edilmesini gerektirmeden güncellenebilecek bir ek ile gerçekleştirilir. Bu güvenlik gereksinimi, olay raporlama mekanizmalarını ve prosedürlerini içermelidir.
Bir bulut hizmeti sağlayıcısının genellikle diğer üçüncü taraflardan kiraladığı veya kiraladığı bir dizi işlev ve hizmete sahip olacağı ve sözleşmenin bu hizmetlerin veya tesislerin yüksek sesli sağlayıcı tarafından nasıl yönetildiğini tanımlaması gerektiği unutulmamalıdır. Ayrıca çok büyük bulut şirketlerinin dünyanın farklı yerlerinde çok sayıda operasyon merkezleri olacak ve “güneşi takip et” yönetim şemasını kullanacaklar. Personel incelemesi her ülkede aynı standartta olmayabilir ve genellikle yükleniciler kullanılıyor olabilir ve yine inceleme prosedürlerinin ana sözleşmede (veya sözleşme ekinde) ele alınması gerekir.
Kontrol yok
Bu, şirketin kontrolünün olmadığı yerlerde güvenliği sağlamak için adımlar atması gereken yerdir. Verilerin internet veya diğer üçüncü taraf ağlar üzerinden taşındığı uçtan uca şifrelemenin kullanılması iyi bir örnektir.
Sonuç olarak, şirketiniz tarafından tutulan ve/veya işlenen verilerin değerini, verilerin nerede olduğunu ve kimlerin veya nelerin verilere hangi amaçla erişmesine izin verilmesi gerektiğini bilmeden. BT’nizin etkili bir risk ve tehdit analizini gerçekçi bir şekilde üstlenemezsiniz ve söz konusu risk ve tehdit analizi ve BT haritanız ile tedarik zincirlerinize ilişkin kapsamlı bir anlayış olmadan ve dolayısıyla doğrudan ve dolaylı kontrolünüz (BT haritası) altında olan şeyleri etkili bir şekilde yapamazsınız. şirketinizi ve verilerini güvenceye alın.