Sıfır gün hakkında toplu olarak her konuşmamızda – en son güvenlik açığının tehlikeli doğasını her tartıştığımızda – keşke bir dolarım olsaydı. Bu noktada sincap gibi güzel ve düzenli bir meblağ elde etmiş olurdum.
Güvenlik pratisyenleri olarak, saçlarımız alevler içinde daireler çizerek koşma konusunda çok iyi bilenmiş bir yetenek geliştirdik. Bu, yönetmemiz veya bir sonuca varmamıza yardım etmemiz gereken olayları düşündüğümüzde bazılarımızın kıkırdamasına neden olabilir, ancak yine de geçmişte işlerin nasıl yönetildiğini hatırlamak biraz acı verir.
Çoğu zaman güvenlik derslerimizi zor yoldan öğreniyoruz. Reaktif güvenlik, kelimenin tam anlamıyla, yıllarca endüstri için varsayılan ayardı. Şu anda bile, korkunç derecede ters giden olaylara müdahale faaliyetleriyle ilgili hikayeler paylaşan CISO’larla sohbetlerim var. Kendinden geçmiş bir dikkatle dinliyoruz ama yine de apaçık ortada olan dersleri hiçbir zaman öğrenmiş gibi görünmüyoruz.
Güvenliğe reaktif bir bakış açısıyla yaklaşmak yerine, her zaman şu soruyu sorarak geleceği planlamalıyız: ne ters gidebilir?
Felaket Kurtarma Planınızda Neler Var?
Yıllardır şirketler ve ülkeler – daha doğrusu hükümetler – operasyonları buluta taşımak için çok çalışıyorlar. Bu çok mantıklı … ta ki olmayana kadar. Son birkaç yılda bu kuruluşlar için olağanüstü durum kurtarma ve iş sürekliliği belgelerini okuduğumda bazı yaygın temalar fark ettim.
Örneğin, ağ arızası durumunda herkes yerel elektronik mağazasına gidip yedek dizüstü bilgisayar satın alırdı.
Bunun sorunsuz bir şekilde ölçekleneceğinden eminim. Hay aksi, alaycı kadran 11’e ayarlandı.
Bu belgelerde sıklıkla listelenen başka bir senaryo, binaya çarpan bir meteordu. Planlayıcılardan hiçbiri, söz konusu felaket gerçekleşmiş olsaydı, yerel manzaranın herhangi bir yönde göz alabildiğine ıssız olacağı gerçeğini hiçbir noktada hesaba katmadı.
Planlarken Şunu Sorun: Ya Olsaydı?
Peki ya bir ülke sizinkini işgal ederse? Ya tamamen sebepsiz bir saldırı olsaydı? Bulut örneğiniz saldırganın ülkesinde barındırılıyor olsaydı nasıl çalışırdınız? Sisteminizin böyle bir senaryoda hayatta kalacak güvenlik direncine sahip olacağından nasıl emin olabilirsiniz? Bu sorular felaket kurtarma ve iş sürekliliği planlarınıza dahil mi?
Ukrayna’daki savaş, bugün dünyadaki herhangi bir ülke için gerçekten en kötü durum senaryolarının bir örneği olarak hizmet etti. Ruslar sınırı Ukrayna’ya geçmeden çok önce, çeşitli savaş zamanı durumları için çok sayıda “eğer” planlaması vardı. Dünyanın not alması ve bu soruları cevaplamaya başlaması gerekiyor.
Belki de küreselleşmeye yaklaşımımızdan bir geri çekilmenin zamanı gelmiştir. Dünyanın geri kalanıyla bağlantılarımızı koparmak zorunda kalırsak sistemlerimizi nasıl güvenilir bir şekilde çalıştırabileceğimize bakmalıyız.
Bu düşünce tarzı aşırı görünebilir, ancak diğer yüzlerce şirketle birlikte yerel elektronik mağazasında dizüstü bilgisayar satın almak için sıraya girmek şöyle dursun, bir meteor çarpmasına hazırlanmaktan çok daha gerçekçi.
Herhangi bir nedenle bir bulut sağlayıcısının İnternet bağlantısı kesilirse, fırtınayı savuşturmak için acil durum planınız ne olur? Elektrik hatlarına çarpan kamyonetlerden, sürekli değişen siyasi sorunlar nedeniyle başka ülkelere taşınmak zorunda kalan çip fabrikalarına kadar çeşitli tehditler karşısında uyanık olmalıyız.
Riski azaltmak ve güvenlik direncimizi artırmak için stratejilerimizi oluşturmak, bu modern çağda karşı karşıya olduğumuz açık ve mevcut tehlikelerin ele alınmasına yardımcı olacak uzun bir yol kat edecektir.