Bu podcast’te, Vigitrust CEO’su Mathieu Gorge ile bulut depolama uyumluluğuna ve güvenliğine, veri yerleşimi ve verilerinizin denetlenmesine özel bir gözle bakıyoruz.
Bulutun yükselişinden ve özellikle kurum genelindeki departmanların bir kredi kartıyla bulut hizmetlerini harekete geçirebilme becerisiyle, bulut depolamada veri tutma eğiliminin çoğalmasından bahsediyoruz.
Gorge ayrıca, artan jeopolitik riskin yükselişinden ve özellikle veri sınıflandırması ve bulut denetimi aracılığıyla, her zaman var olan bu riski azaltma ihtiyacından bahsediyor.
Antony Adshead: Bulut ve onun benimsenmesinde uyumluluğu etkileyen değişen ne var?
Matthew Boğazı: Bulut yaklaşık 20 ila 25 yıldır var ve genel, özel ve hibrit bulut arasındaki fark hakkında konuşmak için çok zaman harcadık, ancak son birkaç yılda bazı yeni güvenlik çerçevelerinin yardıma geldiğini gördük. bulutu yönetin.
Cloud Security Alliance, orada çok iyi çalışmalar ve kullanabileceğiniz bazı çerçeveler yayınlıyor. CMMC de var [Cybersecurity Maturity Model Certification] ABD’de ve Avrupa’da ENISA’nın rehberliğinde.
Gördüğümüz en önemli değişikliklerden biri, bulut sağlayıcınızla sözleşmeleri yönetmek ve sözleşmelerin ne hakkında olması gerektiğidir. Sorun, aslen veri tedarik zincirini ve verilerin yaşam döngüsünü yönetme fikrinden kaynaklanmaktadır.
Böylece, bazı veriler yaratırsınız ve bu veriler bulutta son bulur. Bu bulut nerede bulunuyor? Hangi yargı yetkisi altındadır? GDPR olsun, ne tür bir düzenleme geçerlidir? [General Data Protection Regulation]CCPA [California Consumer Privacy Act] veya belki PCI gibi bir endüstri standardı veya her neyse?
Gördüğümüz şey şu ki, kuruluşların şu anda ana sorunu var, oysa geçmişte bulutta veri ayarlamak için BT’den geçmeniz gerekiyordu, şimdi ise bu az çok self servis. Dolayısıyla, kuruluşunuzdaki herhangi bir departman bir kredi kartı kullanabilir ve tabiri caizse bir tür yeni bulut alıcısı başlatabilir.
Bu, güvenliği ve uyumluluğu atlar ve kesinlikle uyumluluk, depolama, yedekleme ve genel güvenlik için bir kabus yaratır.
Şu anda gördüğümüz şeylerden biri de bu. Bulut sağlayıcılar temel olarak ‘Bütün bu düzenlemelere uyum sağlayabilmeniz için bize emanet ettiğiniz verileri yönetmenize yardımcı olacağız’ diyor.
Bu nedenle, bulut sağlayıcıların biraz daha proaktif olduğunu görüyoruz, MSP’ler görüyoruz [managed service providers] ve MSSP’ler [managed security service providers] kuruluşların verileri yönetmesini kolaylaştırmak için bulut sağlayıcılarla çalışmak ve güvenliği bulutla entegre etmek.
Adshead: Bu değişiklikler, depolama ve özellikle yedekleme üzerinde ne gibi etkiler yaratıyor?
Geçit: Bir kez daha, verilere sahip olduğunuzu bilmiyorsanız ve bu verilerin nerede olduğunu veya bunlara kimin erişimi olduğunu bilmiyorsanız, verileri koruyamayacağınız temellerine geri dönmemiz gerekiyor.
Verilerle ilgili operasyonel risklerin bir kısmını bir bulut sağlayıcıya aktarmak iyidir, çünkü onlar bunu yapmak için daha donanımlıdır, ancak nihayetinde risk size aittir.
Yapmanız gereken, SLA’yı anladığınızdan emin olmak için sözleşmelere bakmaktır. [service-level agreement] Verilerinizi geri almak için, ancak şu anda jeopolitik risklere de bakmanız gerekiyor.
Belki de artık istikrarlı olmayan bir ülkede bazı verileriniz vardır. Rusya ve Ukrayna ile sorunu gördük. Rusya’da veri ve bilgi kaybeden birçok batılı kuruluş gördük. Bir yedeğiniz olsa bile sorun şu ki, Rus hükümeti verilerinize bakabilir.
Herkesin, bulut perspektifinden ülkeden nasıl çıkılacağına dair masa başı bir alıştırmaya ihtiyaç duyup duymadıklarını anlamak ve ardından verileri aktarmak ve silmek için dünya çapında sahip oldukları tüm farklı bulut sağlayıcılarının haritasını çıkarması tavsiye edilir. çıkmakta olduğunuz ülkelerden yasal olarak mümkündür.
Sözleşmeler, hangi tür verilerin hangi buluta gitmesi gerektiğini anlamak için anahtardır. Ayrıca, güvenlik gereksinimlerinin yanı sıra her veri türü için bulut sağlayıcısından gelen güvenlik özelliklerini de anlamak. Pek çok haritalama ve veri sınıflandırması ve tabii ki güvenlik bir varış noktası değil, bir yolculuktur, dolayısıyla bunların hepsinin sürekli olarak yapılması gerekir.