Bulut, kurumsal mimarinin geleceğidir. Ekonomiktir (bir dereceye kadar), ölçeklenebilirdir, esnektir ve – en iyisi – başkasının sorumluluğundadır. Yine bir noktaya kadar. Bunun nedeni, bulutun kendi güvenlik ve yönetişim güçlükleriyle birlikte gelmesidir.
1. Yayılmayı kontrol etme
Ortalama bir çalışan günde yaklaşık 36 bulut tabanlı hizmet kullanırken, işletmeler verilerinin yaklaşık %60’ını bulutta depolar. Bu ani ve genellikle istenmeyen bulut kullanımı patlamasını kontrol etmek büyük bir zorluk teşkil edebilir. Kontrol edilemeyen kullanım genellikle daha yüksek maliyetlere, azalan verimliliklere ve artan güvenlik sorunlarına neden olur.
Verilerin işlenmesine veya altyapının bakımına üçüncü bir taraf dahil olduğunda, bu her zaman fazladan bir risk katmanı ekleyecektir. Dahası, işletmeler büyüdükçe ve geliştikçe, bu yayılmayı yönetmek, izlemek ve güvence altına almak için yeterince yatırım yapmazlarsa, bu riskler artma eğilimindedir. Eşyaların rastgele atıldığı bir çöp çekmecesi gibi, sonunda işler yönetilemez hale gelir.
2. Kontrolü ve mülkiyeti sürdürmek
Bulutu benimseme yaygınlaştıkça, bulut hizmeti müşterileri için daha büyük güvenlik ve gizlilik zorluklarından biri, verilerinin ve altyapılarının önemli miktarda kontrolünü ve sahipliğini bulut hizmeti sağlayıcılarına (CSP’ler) bırakmak zorunda kalıyor.
Her CSP, güvenliği farklı şekilde uygulayacaktır ve her bulut modeli (hizmet olarak yazılım, hizmet olarak altyapı, hizmet olarak platform vb.) değişen derecelerde güvenlik denetimi sahipliğine sahip olacaktır; bu nedenle tüm güvenlik gereksinimlerini karşılamaları zor olabilir. CSP’ler, işletmelerin gerektirdiği tüm güvenlik kullanım durumları hakkında derinlemesine bir anlayışa sahip olmayabilir ve bu da ek bir engel teşkil edebilir.
3. Güvenlik sorumluluğu konusunda netlik eksikliği
Pek çok kuruluş, hangi güvenlik protokollerinin yürürlükte olduğuna dair kapsamlı bir inceleme yapmadan veya kendi iç kaynaklarının yanı sıra dış kaynaklı sağlayıcı için angajman kuralları oluşturmadan doğrudan SaaS’a atlar. Bulutla uğraşırken, müşterilerin paylaşılan sorumluluk modelinin farkında olması ve bulut platformunun altında ne olduğunu, yani hangi güvenlik kontrollerinin mevcut olduğunu ve oluşturulması için ek korumaların gerekip gerekmediğini anlaması gerekir.
Başka bir deyişle, kuruluşlar artık tüm kontrollerin CSP tarafından yönetildiğini görmezden gelemez, vazgeçemez veya varsayamaz. Kuruluşlar, güvenlik bağlamında netleştikten sonra doğru kontrolleri seçerek kendi özenlerini göstermelidir, aksi takdirde risk profilini doğru şekilde ele alamazlar.
Bir bulut siber güvenlik çerçevesi nasıl yardımcı olur?
Bir bulut siber güvenlik kontrol çerçevesi, güvenlik risklerini belirlemeye, değerlendirmeye ve azaltmaya yönelik sistematik bir yaklaşım sağlar. Bulut tedarik zincirinin tamamında hangi taraflarca hangi güvenlik kontrollerinin uygulanması gerektiğine dair adım adım rehberlik sağlar.
Cloud Security Alliance tarafından önerilen Bulut Kontrolleri Matrisi (CCM), Bilgi Güvenliği Forumu’nun İyi Uygulama Standardı (SOGP), Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Siber Güvenlik dahil olmak üzere bir dizi farklı bulut siber güvenlik kontrol çerçevesi mevcuttur. Çerçeve ve ISO/IEC 27002. Bunlardan birini benimsemenin en bariz avantajlarından bazılarını anlayalım.
1. Sağlam bir kontrol ve yetenek görünümü sağlar
Çerçeveler, bulutta risk yönetimi için en iyi uygulamaları oluşturmaya yardımcı olur. Kuruluşların şirket içi, şirket dışı, özel ve genel bulutta bulut hizmetleri, bunların kullanımı, güvenlik kontrolleri ve yeteneklerine ilişkin bir kayıt tutmasına yardımcı olurlar. Bu da bütünsel bir güvenlik görünümü sağlar ve işletmenin gelişen güvenlik gereksinimlerine ayak uydurmasına yardımcı olur. Çerçeveler, yalnızca iş hedefleri doğrultusunda güvenlik taktiklerinde ince ayar yapılmasına yardımcı olmakla kalmaz, aynı zamanda işletmenin hangi hedeflere öncelik vermesi gerektiğini belirlemeye veya netleştirmeye yardımcı olur.
2. Uyumluluğu kolaylaştırır, tekrarı ve kaosu azaltır
Çoğu işletme, birden çok standarda uymak zorundadır — bu, uyumluluk ekipleri için karmaşık ve kaotik olabilir. Bazı günler bir NIST anketi, bazı günler PCI, diğer günler ISO vb. çalıştırmanız gerekir. Sonunda, iş yüklerini çoğaltarak sistemi gereksiz evrak işlerinden geçireceksiniz. Bu fazlalığın üstesinden gelmek için modern standartlar, diğer önde gelen standartlarla eşleştirme ve çapraz referanslama sunar.
3. Net kurallar ve beklentiler oluşturur
Güvenlik, teknik kontrollerin ötesine geçer. SaaS hizmetlerinin olası maruz kalmasını sınırlamak için birçok sürecin devreye alınması gerekir. Veriler nerede bulunur? CSP diğer tedarikçilere taşeron mu tedarik ediyor? İhlal bildirimleri zamanında bildiriliyor mu? Yönetişim açısından bakıldığında, pek çok uyumluluk gereksinimi vardır ve çerçevenin parladığı yer burasıdır. Çerçeveler, araçları ve süreçleri, temel kuralları ve beklentileri, bu bulut hizmetlerini ve güvenliği sürdürmekten sorumlu kişileri net bir şekilde tanımlamaya yardımcı olur.
4. Güvenlik yatırımlarını daha iyi önceliklendirmeye ve gerekçelendirmeye yardımcı olur
Liderlik ekiplerinin yönetişim ve politika oluşturmada önemli bir rolü vardır. Güvenlik ekibine güvenmeli, güvenlik öncelikleri hakkında net bir fikre sahip olmalı ve bunların iş gidişatıyla nasıl uyumlu hale gelmelidirler. Çerçevelerden yararlanan güvenlik ekipleri, gerekli olmayan güvenlik için fazla harcama yapmaktan kaçınabilir.
Hiçbir çerçeve mükemmel değildir, bu nedenle bulut güvenlik çerçevenizi dikkatli bir şekilde seçin.