YORUM
Güvenlik alanındaki kariyerime başladığımda her şey bir maceraydı; yeni teknolojiler, yeni fırsatlar ve öğrenilecek yeni dersler. Bu derslerden bazıları yıllar boyunca benimle kaldı. Görünüşte basit olan bu derslerin önemli bir etkisi oldu ve zamanla değerli oldukları kanıtlandı. Ancak daha geniş sektöre baktığımda, çoğu zaman kendimi mevcut durumdan rahatsız buluyorum.
Bej Masaüstü Her Yerde
Bu tedirginlik hissinin en iyi örneği, bej renkli masaüstünün yaygın doğasıdır. Hepimiz bu sektördeki seyahatlerimizde onları gördük; bugün güvendiğimiz teknolojilerin çoğundan önce gelen makineler. Bir veri merkezinin yükseltilmiş zeminindeki karanlık girintilerden yararlanan donanım.
Bunun nereye varacağını hepiniz görüyorsunuz. Bu sistem, uzun zaman önce bir yaz öğrencisi tarafından yazılan ve artık kritik bir görev haline gelen kodu her zaman çalıştırıyor. Düzgün şekilde yorumlanmayan veya belgelenmeyen kod. Bir şekilde işin vazgeçilmezi haline gelmiş bir uygulama.
Bu nasıl oluyor? Bu soruyu sık sık düşündüm. Ne zaman bir konferansta konuşma yaparken bu konuyu gündeme getirsem, her zaman anlayışla başını sallayan kafalar oluyor. Bir veri merkezinin gölgesinde gizlenen sistemler.
Gölgelerden Kurtulmak Zor
‘Gölge BT’ terimini sıklıkla duyuyoruz. Genellikle bir alay duygusuyla konuşmanın yolunu bulur. Birkaç ay önce bir konferansta konuşma yaparken izleyicilere çevrelerinde bej renkli masaüstüyle karşılaşıp karşılaşmadıklarını sordum. Seyirci güldü, yüzünü buruşturdu ve başlarını eğdi; bu da düşüncelerimi doğruladı. Duraklattım ve kaç şirketin kendi ortamlarında gölge BT için kontrollere sahip olduğunu sordum. Her el havaya kalktı.
Bir süre sorunun havada kalmasına izin verdim. Ardından izleyicilere bir takip sorusu sordum: “Burada kaçınızın ortamınızda gölge BT var?” Biraz tereddüt yaşandı. Gözler tedirginlikle etrafı taradı. Yavaş ama emin adımlarla bütün ibreler tekrar havaya kalktı.
İlginç bir sohbet anı yaşadık. Bu şirketlerin hepsinde gölge BT’ye karşı koruma sağlamak için kontroller vardı, ancak yine de mevcuttu. Schrödinger’in BT güvenliği sorununu keşfetmiştik. Aynı anda var ve yok.
Risk Kimin Sahibi? Bu şu soruyu akla getiriyor: Gölge BT riskinin gerçek sahibi kim? Aniden verilecek tepki, bu görevi bilgi güvenliği şefine atamak olsa da, bunun adil olup olmadığını merak ediyorum. CISO güvenlik kontrollerini uygulamaya koyar. CISO, gölge BT’nin sunduğu risklerin ele alınmasına ilişkin politika ve prosedürlerin olmasını sağlar ancak bu devam eder. Bu noktada CISO’nun sorumlu olduğunu söylemek doğru olur mu? Sadece sesli düşünüyorum. Potansiyel bir maddi kurumsal risk teşkil ettiğinden ve dolayısıyla CFO’nun sorumluluğu altına girdiğinden, bu risk Mali İşlerden Sorumlu Genel Müdür’e daha uygun bir şekilde atanabilir mi? Bunun daha geniş bir tartışmaya dönüşmesini çok isterim çünkü açıkçası cevaptan emin değilim ve CISO topluluğundan gelecek katkıları çok isterim.
Burada Nasıl Yaralandık
Shadow BT nadiren kötü niyetli bir yerden kaynaklanır. Bu projeler çoğunlukla yenilik ihtiyacını karşılamak için inşa edilir. Bunun neden gerçekleştiğine dair diğer örnekler arasında, kuruluştaki gelişimi destekleyen konuşlandırılmış sistemlerin algılanan yetersizliği veya sadece hız ve rahatlık ihtiyacından dolayı yapılması yer alabilir.
Af dilemek genellikle izin istemekten daha kolaydır. Bej renkli masaüstü alaycı bir hikaye olsa da, dünya genelindeki ortamlarda olup bitenlere bir örnek teşkil ediyor.
Üst Ölü Merkez
Güvenli ve emniyette kalırken yeniliği destekleyen bir kuruluş veya KOBİ ortamına nasıl doğru ilerleyebiliriz? BT ve Güvenlik ekipleri tarafından incelenmemiş veya onaylanmamış araç ve projelerle başa çıkmak için görünürlük ve güvenlik sağlamaya ihtiyaç vardır.
Bej renkli masaüstü bilgisayarlardan uzaklaşıp işletmelerin inovasyonu güvenli ve emniyetli bir şekilde sürdürmesine olanak tanıyan teknolojik bir motora geçmenin zamanı geldi.