Bulutun benimsenmesi hızlandıkça, kuruluşlar, verilere veya hizmet kullanımına erişmek ve işlemek için kullanılabilirlik, güvenlik ve performans konusundaki beklentileri tanımlamak için hizmet düzeyi anlaşmalarına (SLAS) güvenir. Yine de SLA’lar genellikle inovasyonun gerisinde kalıyor. CTO’lar ve CISO’lar için, bu yanlış hizalama stratejik bir risktir ve altyapı garantileri modern dijital hizmetlerin karmaşıklığını veya kritikliğini yansıtmadığında nasıl güvenli bir şekilde yenilik yapmayı çözmeleri gerekir.
SLA boşluklarını engelleyiciler olarak görmek yerine, teknoloji liderleri onlara yönetişim, mimarlık ve ölçümün gelişmesi gerektiğinin göstergeleri olarak davranmalıdır. SLA’ları iş hedefleri ile hizalamak ve bunları deneyim düzeyi anlaşmaları (XLA), temel risk göstergeleri (KRI’ler) ve hedefler ve temel sonuçlarla (OKR’ler) tamamlayarak kuruluşlar kontrolü alabilir ve etkin bir şekilde yenileyebilir.
İnovasyon SLA olgunluğundan daha hızlı ilerliyor
Modern bulut mimarileri, konteyner düzenlemesine ve sunucusuz hesaplamaya giderek daha fazla güveniyor. Robotik proses otomasyonu, üretken AI ve Edge Computing gibi teknolojiler hizmet sunumunu yeniden şekillendiriyor. Bununla birlikte, büyük bulut sağlayıcılarından (E, G, AWS, Azure, Google Cloud) SLA hükümleri genellikle% 99,9 ila% 99,99 kullanılabilirlik sunarken, gerçek performans yapılandırma ve bağımlılıklara bağlı olarak değişir.
Bu boşluğu kapatmak için kuruluşlar hizmet kalitesini ve kullanıcı deneyimini ölçmek için XLA’ları kullanabilir. OKR’ler iş hedeflerini izlemek için XLA’larla uyumlu olmalı, SLAS ve KRI’ler teslimat ve risk yönetimini destekliyor. Bu model daha sonra teknik çıktıyı iş etkisi ile ilişkilendirir ve liderlerin inovasyonun ölçülebilir sonuçlara dönüşüp dönüşmediğini değerlendirmelerini sağlar.
SLA boşluklarını kapatmak ve gölgede olmak için gelişen yönetişim
Kamu bulut harcamalarının bu yıl 723 milyar dolara ulaşacağı öngörülüyor (Gartner). Bununla birlikte, SLA sınırlamaları, özellikle üretken AI (MIT) gibi hızlı hareket eden alanlarda yetkisiz kullanımı sağlayabilir. Microsoft Copilot aracılığıyla erişilen ChatGPT, XAI (GROK) ve GitHub depolarını içeren son olaylar, verimlilik arayan personel tarafından gönderilen hassas dahili verilerin, depolar özel yapıldıktan sonra bile kamu arama motorları tarafından nasıl endekslendiğini göstermektedir.
Bulut platform riski, kullanıcıları onaylanmış sistemlerle sınırlandırarak yönetilebilirken, bu gölge BT’nin ortaya çıkışını ortadan kaldırmaz ve personel hala resmi kanalları atlayabilir ve özel verileri ortaya çıkarır. Yönetim, açık yönetişim ve teknik kontrollerle desteklenen politika, eğitim ve farkındalık gerektirir.
Bu, statik uyumluluktan dinamik etkinliğe giden sürekli gözetim ve proaktif yönetişim ve izleme ihtiyacının altını çizmektedir. Bu, teknik kontrollerin iş hedefleri ile uyumunu, ekipleri kabul edilebilir kullanım konusunda eğitmeyi ve KRI’leri karar almaya dahil etmeyi gerektirir. Birlikte ele alındığında bu önlemler Gölgenin önlenmesine ve operasyonel bütünlüğü korumaya yardımcı olabilir.
Güvenlik ve Yönetişim: Bulut İnovasyonunun Temel Bekleyenleri
Bulut sağlayıcıları, altyapı güvenliğinin sağlayıcı tarafından yönetildiği paylaşılan sorumluluk modelleri altında çalışırken, veri, yapılandırma ve erişim kontrolleri müşterinin sorumluluğu olmaya devam etmektedir.
Bu, yığın boyunca katmanlı güvenlik ihtiyacını güçlendirir: hipervizör, uygulama, erişim, izleme ve işlemler. Kod olarak güvenlik, sıfır tröst mimarileri ve AWS Security Hub ve Google Cloud Güvenlik Komuta Merkezi gibi bulut doğal araçlar kuruluşların güvenliği artırmasını sağlar. Bunlar ayrıca Dijital Operasyonel Esneklik Yasası (DORA) ve AB Yapay Zeka Yasası gibi düzenlemelere uyum için de kritiktir.
NIST Risk Yönetimi Çerçevesi ve Cobit gibi yönetişim çerçeveleri, Stratejiyle bağlantıya bağlanmasına yardımcı olabilir. OKRS, XLA, SLAS ve KRI’lerle entegre edildiğinde, bu çerçeveler inovasyonu sorumlu bir şekilde yönetmek için yapılandırılmış bir yaklaşım sağlayabilir.
SLA sınırlamalarını ele almak için mimari stratejiler
Hibrit ve çoklu bulut stratejileri esnekliği artırır ve işletmelerin SLA’ları mikrosegemasyon, kısıtlı erişim ve özel kiracılık gibi tasarım seçimleri yoluyla ayarlamalarına olanak tanır. Apache Spark gibi kendi kendine barındıran açık kaynaklı araçlar ticari sağlayıcılara güvenmeyi azaltabilir, ancak bunları yönetmek için iç becerilere ve yönetişime ihtiyaç duyar. Ayrıca, üretken AI platformları veri egemenlik gereksinimlerini karşılamak için hibrid yapılandırmalar gerektirebilir. Bu, mimari kararların, mükemmel bir güvenlik arayışının ideal bir arayışını değil, iş ihtiyaçlarını ve risk toleransını yansıtması gerektiği anlamına gelir.
SLA boşlukları çok önemli olduğunda stratejik geri çekilme
Bazı durumlarda, SLA sınırlamaları, özellikle uyum veya egemenlik etrafında özel bulut veya kendi kendine barındırılan çözümlere geçmeyi gerektirebilir. AWS karakolları gibi teklifler kuruluşa bazı operasyonel sorumluluklar aktararak daha fazla kontrol sağlayan ancak daha fazla yönetişim ve teknik yetenek gerektirir.
Bu, liderlerin yönetilemez risklerden stratejik çekilmenin ne zaman dayanıklılığı ve hazırlığı koruyabileceğini anlamalarını gerektirir. SLA maruziyetinin izlenmesi daha sonra koşullar iyileştiğinde veya riskler hafifletildiğinde kuruluşların yeniden etkileşime girmesine izin vermek için çeviklik ve hazırlık sağlayabilir.
Çözüm
Bu nedenle SLA boşlukları inovasyonun önündeki engeller değil, liderliğin nerede hareket etmesi gerektiğine dair göstergelerdir. CTO’lar ve CISO’ların sadece teknik garantileri karşılamaya değil, aynı zamanda bulutun benimsenmesini sağlamak ölçülebilir iş sonuçlarını desteklemek zorundadır.
Bunu, OKR’leri XLA’larla hizalayarak ve esnek ve duyarlı yönetişim oluşturmak için SLAS ve KRI’lerle destekleyerek yapabilirler. Yüksek düzeyde düzenlenmiş ancak inovasyona dayanan ekonomilerde, teknoloji liderleri hırsları hesap verebilirlik ile dengelemelidir. Bu, riskler çok büyük olduğunda ve hibrid bulut yoluyla, kontrolleri telafi etme veya stratejik satıcı seçimi, inovasyonu güvenli ve sürdürülebilir bir şekilde etkinleştirmeye odaklanan geri adım atmak anlamına gelebilir.
Ashley Barker, Dijital Strateji ve Operasyon Uzmanı ve Irfan Ahmed, Siber Güvenlik Uzmanı, PA Consulting