Ani ticaret kısıtlamaları, yaptırımlar veya politika değişimleri karşısında, kimlik hizmetleri için bölgeniz dışındaki SaaS sağlayıcılarına dayanmak, şirketlerin artık alamayacağı bir kumardır.
Ticaret anlaşmazlıklarının artması için ani bir politika değişikliği, SaaS sağlayıcılarının bölgelerden çekilmesine veya kimlik hizmetlerini erişilemeyen yeni düzenlemelere uymaya zorlanmasına neden olabilir. Yazılım şirketleri henüz artı işaretlerine alınmamış olsa da, bu tür politikalar benzeri görülmemiş değildir.
Çin teknolojisi firmaları üzerine Batı yaptırımları, ABD’nin belirli yabancı kuruluşlar için bulut hizmetleri üzerindeki kısıtlamaları ve Avrupa’nın veri egemenliğine artan vurgusu, dijital altyapının artık jeopolitik gerilimlere karşı bağışık olmadığına dair açık göstergelerdir. Şirketlerin verilerinin nerede saklandığını bilmeleri gerekir, çünkü bu giderek daha fazla düzenleyici sonuçlara sahiptir. Düzenleyiciler veya siyasi gerilimler onları planlanmamış, yüksek riskli bir geçişe zorlamadan önce, şirketlerin SaaS bağımlılıklarına sert bir şekilde bakmaları gerekiyor.
Kimlik için bir “+1 stratejisi” uygulayın
Üreticiler, küresel tedarik zincirleri ticaret savaşları ve pandemi tarafından bozulduğunda zor bir ders öğrendiler: tek bir tedarikçiye aşırı güven bir sorumluluktur. Bu nedenle birçok şirket, sürekliliği sağlamak için Çin dışında ikincil üretim alanları kuran bir “+1 stratejisi” benimsedi. Aynı ilke dijital kimlik için de geçerli olmalıdır.
Bir kuruluş kimlik sistemleri için tek bir bulut tabanlı ana bilgisayara güveniyorsa, tek bir arıza noktasına maruz kalır. Hibrit veya çok kümesli bir kimlik stratejisinin uygulanması bu riski azaltır. Şirket içi bir kimlik sisteminin sürdürülmesi veya ikincil bir sağlayıcının farklı bir yargı alanında dağıtılması operasyonel esnekliği sağlayacaktır. Bu çeşitlendirilmiş kimlik yaklaşımı, büyük bir sağlayıcı bozulsa bile, kimlik doğrulama ve erişim kontrollerinin bozulmadan kaldığını garanti edecektir.
Kimlik altyapısı üzerinde kontrolü yeniden kazan
Dış SaaS sağlayıcılarına bağımlılığı azaltmak için kuruluşlar dijital kimlik altyapılarının kontrolünü geri almayı düşünmelidir. Bu, bulut hizmetlerini tamamen terk etmek anlamına gelmez, daha ziyade sahiplik ve taşınabilirlik sağlayan kimlik yönetimi çözümlerini stratejik olarak dağıtmak anlamına gelir.
Özel bulut veya şirket içi ortamlarda çalışan kendi kendine barındırılan kimlik çözümleri daha fazla kontrol sağlayabilir. İşletmeler ayrıca, kimlik doğrulama ve erişim kontrolünün farklı bulut sağlayıcılarında işlev görmesine izin veren Multi-Cloud kimlik mimarilerini de dikkate almalıdır. Bu hibrit modellerin benimsenmesi, kuruluşların kritik olmayan kimlik hizmetlerini bulutta bırakırken temel kimlik doğrulama hizmetlerini şirket içinde tutmalarını sağlayacaktır.
Burada birkaç farklı yaklaşım olsa da, anahtar, kimlik doğrulama ve erişim yönetim sistemlerinin taşınabilir ve uyarlanabilir kalmasını sağlamak ve satıcı kilitlenmesini önlemektir.
Stres testi dijital savunmalar
Sağlam bir çıkış stratejisi sadece alternatiflerle ilgili değildir; Çalıştıklarını bilmekle ilgili. Tıpkı kuruluşların düzenli olağanüstü durum kurtarma tatbikatları gibi, kimlik altyapılarını da vurgulamaları gerekir.
Örneğin, birincil kimlik sağlayıcısına erişimi geçici olarak keserek aksamaların simüle edilmesi, daha önce düşünülmemiş güvenlik açıklarını ortaya çıkarabilir. Kurtarma süresinin ölçülmesi, kuruluşların ana sağlayıcı aniden kullanılamıyorsa, kimlik doğrulama hizmetlerini geri yüklemenin ne kadar süreceğini anlamalarına yardımcı olacaktır. Başka bir hayati adım, bir kesinti veya düzenleyici kapatma durumunda faaliyetlerin sorunsuz bir şekilde etkinleştirilmesini sağlamak için kimlik doğrulama sistemlerine fazlalık oluşturmaktır.
BT ekiplerinin potansiyel gerçek dünyadaki aksamalar için hazırlandığından emin olmak için periyodik olarak testlerin bir kombinasyonu yapılmalıdır.
Düzenleyici kırbaça karşı geleceğe dayanıklı
Daha önce de belirtildiği gibi, veri egemenliği ve bulut hizmetlerini düzenleyen yasalar sürekli gelişmektedir. Avrupa Birliği, hassas verileri sınırları içinde tutma konusundaki tutumunu güçlendirmeye devam ediyor, Çin katı veri yerelleştirme yasalarını zorluyor ve Hindistan gibi ülkeler artık yabancı teknoloji firmalarına güvenmeyi sınırlayabilecek düzenlemeler sunuyor. Bugün uyumluluk yarın uyumluluğu garanti etmiyor.
Kuruluşlar veri egemenlik yasalarını yakından izlemeli ve altyapılarını buna göre ayarlamalıdır. Kimlik çözümlerinin kayma düzenlemelerine uymasının, yasal ve operasyonel risklerin önlenmesine yardımcı olacağını sağlamak.
Kesinlikle yakalanmamak için, BT ekiplerinin altyapılarını tamamen dış kaynaklardan çıkarmak yerine sahne arkasında neler olduğunu anlamaları önemlidir. En yüksek hazırlık seviyesi için, kuruluşlar kimlik altyapı sistemlerini kendileri yönetebilir ve kritik işlevler için üçüncü taraf SaaS şirketlerine olan güvenini azaltabilirler. Takımlar kimlik yönetiminin iç işleyişini anlarlarsa, ani jeopolitik değişiklikler durumunda, geçiş hizmetlerine önceden tanımlanmış adımlarla acil bir müdahale planı geliştirmek için daha iyi yerleştirilecektir.
Çok geç olana kadar bekleme
Yazı duvarda. Yıllardır, jeopolitik gerilimler teknoloji sektörünü sürekli olarak yeniden şekillendiriyor. Bu eğilim sadece Trump’ın ikinci başkanlığını hızlandırırken, bulut servis sağlayıcılarının daha sonra etkilenmesi gerçek bir olasılık. Bu tür hizmetlere bağımlı olanlar için, risklerin hazırlıksız yakalanamaması. Dayanıklılık, esneklik ve kontrole öncelik veren dijital bir kimlik stratejisi artık isteğe bağlı değildir – bu bir iş zorunluluğudur.
Kuruluşlar, hibrit bir kimlik yaklaşımı veya kendi kendine barındırma kimlik çözümleri, stres testi altyapısı ve düzenleyici vardiyaların önünde kalarak, kimlik doğrulamalarını ve erişim yönetim sistemlerini gelecekteki kanıtlayabilirler. Bugün proaktif adımlar atan şirketler, bir sonraki jeopolitik belirsizlik dalgasında gezinmek için en iyi konumlandırılan şirketler olacaktır.