Guidewire’ın CISO’su James Dolph, bu Help Net Security röportajında, özellikle SaaS olmak üzere bulut ortamlarındaki güvenlik sorumlulukları hakkındaki yaygın yanlış anlamaları ve bu yanlış anlamaların nasıl güvenlik risklerine yol açabileceğini ele alıyor.
Bulut ortamında sorumlulukların dağıtımı konusunda hangi yaygın yanılgılarla karşılaşıyorsunuz ve bu yanlış anlamalar güvenlik risklerini nasıl artırıyor?
SaaS sağlayıcıları ve müşterileri, güvenliğe, uyumluluğa ve küresel düzenlemelere uymaya büyük önem veriyor. Ancak SaaS, şirket içi sistemlerin güvenliğini yönetmeye alışkın birçok kuruluş için hâlâ nispeten yenidir. Bu, SaaS sağlayıcısının her şeyi hallettiğini varsaymak veya çabaları çoğaltarak aşırı telafi etmek gibi yanlış anlamalara yol açabilir.
Her iki senaryo da riskleri beraberinde getirir. Sorumluluktaki boşluklar tespit edilmezse kritik güvenlik önlemleri gözden kaçırılabilir. Öte yandan, yinelenen yeteneklere yapılan gereksiz yatırımlar sınırlı güvenlik kaynaklarını boşa harcar.
Bu sorunları çözmek için varsayımların ötesine geçmek önemlidir. SaaS hizmetleri farklılık gösterdiğinden kuruluşların, paylaşılan sorumluluk modelini ve sonuçlarını anlamak için her çözümü bağımsız olarak değerlendirmesi gerekir. Bilgi Teknolojisi – Bilgi Paylaşımı ve Analiz Merkezi (IT-ISAC) Kritik SaaS SIG (CSaaS SIG) teknik incelemesi “Sorumluluğu Paylaşıyor musunuz?” gibi kaynaklar, kuruluşların çabalarını doğru alanlara odaklamalarına yardımcı olabilecek pratik rehberlik sunar. hem güvenliği güçlendirir hem de yatırımlarını maksimuma çıkarır.
Kimlik tabanlı saldırıların artmasıyla birlikte müşterilerin, özellikle de paylaşılan sorumluluk çerçevelerini kullanırken kimlik güvenliğini artırmak için hangi en iyi uygulamaları izlemesi gerekiyor?
Kimlik güvenliği günümüzün sıfır güven stratejilerinin merkezinde yer alır ve SaaS ortamlarının doğası da bunun önemini artırmaktadır. Geçtiğimiz yıl (Kimlik Tanımlı Güvenlik İttifakı’na göre) şirketlerin %90’ının kimlik tabanlı olaylar yaşadığı gibi istatistiklerle, Kimlik ve Erişim Yönetiminin (IAM) hem kuruluşlar hem de SaaS şirketleri için güvenlik sonuçları açısından kritik öneme sahip olduğu açıktır.
Müşteriler, SaaS sağlayıcılarının sunduğu kimlik sağlayıcı entegrasyonu, çok faktörlü kimlik doğrulama ve rol yönetimi gibi kimlik yeteneklerini anlayarak başlamalıdır. Kurumsal politikaları bu yeteneklerle uyumlu hale getirmek, sıfır güven yaklaşımı için güçlü bir temel oluşturur.
Kuruluşlar, teknik incelemedeki gibi düşünceli sorular sorarak ve stratejik planlama yaparak kullanıcı deneyimlerini iyileştirirken kimlik korumalarını da güçlendirebilirler. Bu proaktif zihniyet, güvenliğin yalnızca uyumluluk kutularını işaretlemekle kalmayıp aynı zamanda iş kolaylaştırıcı haline gelmesini sağlar.
Bir olay müdahale senaryosunda, SaaS sağlayıcısı ile müşteri arasında roller ve sorumluluklar nasıl paylaştırılmalıdır? Bir güvenlik olayı sırasında net iletişim için en iyi uygulamalardan bazıları nelerdir?
Olaya müdahale sırasında net roller ve iletişim yolları kritik öneme sahiptir. Dayanıklılık oluşturmak için kuruluşların öncelikle hem kendileri hem de SaaS sağlayıcıları için tespit, müdahale ve kurtarma sorumluluklarını haritalandırması gerekir.
Proaktif adımlar, hem SaaS sağlayıcısı hem de kuruluş için olay koordinasyonu için açık iletişim noktalarının oluşturulmasını ve üst kademeye iletme yollarının anlaşılmasını içerir. Bu, bir etkinlik sırasında sorunsuz iletişim sağlayarak gecikmeleri ve karışıklığı azaltır. Hizmet düzeyi anlaşmalarının (SLA’lar) gözden geçirilmesi, yanıt süreleri ve sorumluluklarla ilgili beklentileri de netleştirebilir.
Hazırlık çok önemlidir. SaaS senaryolarına göre uyarlanmış olay müdahale taktik kitapları oluşturun ve bunları test etmek için masaüstü alıştırmaları çalıştırın. Hatta bazı SaaS sağlayıcıları ortak tatbikatlara katılarak değerli bilgiler sağlar ve işbirliğini geliştirir. Bu adımlar, her iki tarafın da uyumlu olmasını ve zorluklar ortaya çıktığında harekete geçmeye hazır olmasını sağlar.
Paylaşılan bir SaaS hizmetini kullanırken uyumluluk gerekliliklerini (örneğin, GDPR, HIPAA) karşılama konusundaki sorumlulukları konusunda müşterilerinize ne gibi tavsiyelerde bulunursunuz?
Uyumluluk söz konusu olduğunda sorumlulukların paylaşımı SaaS sağlayıcısına ve söz konusu düzenleyici çerçeveye bağlıdır. Örneğin, bazı platformlar ilk andan itibaren HIPAA uyumludur, diğerleri ise müşterilerin uyumluluk ayarlarını yapılandırmasını veya APRA’nın sertifikalandırma gereklilikleri gibi kullanım durumlarını düzenleyici kurumlarla belgelendirmesini gerektirebilir.
Bunu başarmak için kuruluşların uyumluluk yükümlülüklerinin sağlayıcının paylaşılan sorumluluk modeliyle nasıl kesiştiğini değerlendirmesi gerekir. Sağlayıcının neleri kapsadığını ve kuruluşun yönetmesi gerekenleri açıkça belirleyerek müşteriler uyumluluk stratejilerinin hem etkili hem de verimli olmasını sağlayabilirler.
Müşteriler, bulut sağlayıcıları tarafından uygulanan güvenlik kontrollerini proaktif bir şekilde yönetmek ve doğrulamak için hangi adımları atabilir?
Güven, herhangi bir SaaS ilişkisinin temeli olsa da, güvenin ancak doğrulamak güvenliğin anahtarıdır. Kuruluşlar, bulut sağlayıcıları tarafından uygulanan kontrolleri düzenli olarak incelemelidir. Sertifikalar, üçüncü taraf doğrulamaları ve sızma testi raporları gibi kaynaklar, sağlayıcı tarafından yönetilen kontrollere ilişkin öngörüler sağlayabilir.
Bazı SaaS sağlayıcıları, incelemelerin ötesinde, müşterilerin kendi güvenlik değerlendirmelerini veya sızma testlerini yürütmelerine izin vererek, kendi özel uygulamalarının güvenliğini daha da doğrular. Sağlayıcılar genellikle bu süreçlere rehberlik edecek, işbirliğini teşvik edecek ve ortak güvenlik duruşuna güven oluşturacak ekiplere sahiptir.
Kuruluşlar proaktif doğrulamaya katılarak yalnızca güvenliği güçlendirmekle kalmaz, aynı zamanda SaaS sağlayıcılarıyla ortaklıklarını derinleştirerek ortak başarı ve güven sağlar.