Bu podcast’te, Vigitrust CEO’su Mathieu Gorge ile bulut depolamaya ve bunun kontrolünün nasıl elde tutulacağına uyumluluk açısından bakıyoruz.
Bulut depolama örneklerini kolayca başlatabilmenin bir sonucu olarak ortaya çıkan zorluklardan bahsediyoruz. Müşterilerin verilerin nerede olduğunu, kimin sahibi olduğunu, bunlara kimin erişimi olduğunu, nasıl korunduğunu ve uyumlu olup olmadığını takip edememe olasılığı vardır. Bu risk, Rusya’nın Ukrayna’yı işgali ve bunun sonucunda yaptırımlar ve tepkiler gibi güncel jeopolitik olaylarla daha da artıyor.
Gorge, veri sınıflandırması ve yardımcı endüstri çerçevelerinin kullanımı gibi yollarla bulut depolamadaki verilerinizin kontrolünü nasıl alacağınızdan bahsediyor.
Antony Adshead: Verileri bulutta depolamak yasal ve mevzuat uyumluluğuna yönelik hangi tehditleri oluşturur?
Matt Boğazı: Bence buradaki ilk sorun, bulutta giderek daha fazla veriye sahip olmamız ve kurum içinde gittikçe daha az veriye sahip olmamız ve bu, operasyonel ve finansal açıdan mantıklı.
Ancak sözleşmeye dayalı, yasal ve uygunluk açısından bakıldığında, bir dizi zorluğu beraberinde getirir. Veriler nerede? Verilerin sahibi kim? Nasıl yedeklenir? Aslında yedekleniyor mu? Yasal ve uygun bir şekilde saklanıyor mu? Doğru yerde saklanıyor mu?
Şu anda tüm jeopolitik risklerle birlikte biliyoruz ki, Rusya’da verileriniz varsa, batı varlıkları hükümet tarafından ele geçirilirse, bu verileri gerçekten kaybedersiniz – bir yedeğiniz olsa bile, Rus hükümeti bunun bir kopyasına sahip olur. Bu nedenle, verilerin nerede olduğunu ve bir ülkeden çıkmaları gerektiğinde ne yapacaklarını anlamaya çalışan masa başı alıştırmalar yapan daha fazla şirket görüyoruz.
Asıl zorluk, kaç tane bulut sağlayıcınız olduğunu anlamamız gerektiğidir, onlara güvenebilir misiniz, onlarla doğru sözleşmeleriniz var mı? Ve aslında verilerinizin nerede olduğunu biliyor musunuz?
Ne yazık ki, çoğu şirket bununla mücadele ediyor. Ekosistemlerini mutlaka anlamıyorlar. Başka bir yerde yeni bir bulut sistemi başlatmak çok kolay ve bu yüzden çok popüler. Ancak bundan kaynaklanan sorun, buluttaki veriler üzerinde mutlaka kontrol sahibi olmamanız, doğru şekilde yedeklenip yedeklenmediğini bilmemeniz ve veri koruma ve uyumluluk açısından bakıldığında, bu biraz zorlaşıyor. bir kabustan.
Adshead: Bu tehditlerin özellikle yedekleme ve veri korumaya etkileri nelerdir?
Geçit: Sonuç olarak, bazı verileri kaybedebilirsiniz, bazı verileri geri alamayabilirsiniz veya bazı verilere erişemeyebilirsiniz ve/veya yetkili olmayan üçüncü şahıslar sizin yerinize verilere erişip kopyalayabilir.
Bu nedenle, nerede ikamet ettiğinize ve aldığınız verilerin türüne bağlı olarak, ister kredi kartı verileri, ister korumalı sağlık bilgileri veya herhangi bir tür PII olsun, aklınızda bulundurmanız gereken şey, yasa ve çeşitli düzenlemeler kapsamında gerekliliklerinizin olduğudur. bu verileri koruyun. Örneğin, PCI, HIPAA veya GDPR ile uyumlu olduğunuzu söyleyebilmeniz gerekir.
Bununla ilgili zorluk, bunu yalnızca verilerinizin nerede olduğunu biliyorsanız ve verileri sınıflandırdıysanız, haritasını çıkardıysanız ve hangi koşullar altında ona kimin erişebileceğini belirlediyseniz yapabilirsiniz.
Bulutla ilgili iyi şeylerden biri, düzenleyiciler ve çeşitli dernekler tarafından oldukça iyi izleniyor olmasıdır. Örneğin, bulut koruma yönergeleri sağlama konusunda gerçekten aktif olan Avrupa Ağ ve Bilgi Güvenliği Ajansı ENISA’ya sahipsiniz; bulut güvenlik ölçütlerinde çok iyi olan ve buluttaki verilerinizi korumaya başlamak için iyi bir çerçeve olan Cloud Security Alliance’a sahipsiniz. Her yıl RSA’da Bulut Güvenliği Zirvesi adı verilen bir etkinlik düzenliyorlar.
Ayrıca, devlet adına bulutta verilerle uğraşan herkes için ABD hükümetinden CNMC’niz var. Veri depolama alanınızın haritasını çıkarmanıza, verileri sınıflandırmanıza ve doğru güvenlik ve uyumluluk düzeylerine sahip olduğunuzu göstermenize olanak tanıyan iyi bir çerçevedir.
Dengede, buluttaki verileri ve uyumluluğu yönetmek için yardım eksikliği yoktur. Asıl zorluk, verilerin haritasını çıkarmaya çalışmaktır, çünkü hangi çerçeveyi kullandığınız veya hangi teknik çözümü kullandığınız önemli değildir. Verilerin nerede olduğunu bilmeniz gerekir. Bulutta ve bulutta farkında olmadığınız çok fazla veri var ve bu, güvenlik analizinizde bir boşluk yaratıyor.
Tavsiye, tüm sağlayıcılarınızın, üçüncü tarafların ve dördüncü tarafların haritasını çıkarmak ve verilerinizin nerede bulunduğunu kontrol ettiğinizden emin olmak olacaktır. Bu gerçekten anahtar.