Bulut Güvenliğinde Doğru Sanılan 5 Yanlış

Bulut platformları artık son derece yaygın. Ancak yeni bir hizmeti buluta taşımadan önce yeterli seviyede güvenli olduğu düşünülen bu yapılar için söylenenleri kontrol etmekte fayda var.

Bulut bilişimin modern iş dünyasının ayrılmaz bir parçası haline geldiği bir gerçek. Artık küçükten büyüğe her tür işletme, özel ya da kamu hemen her kurum bulut tabanlı sistemlerden faydalanıyor. Ancak BT altyapısı için yüksek derecede güvenlik isteyen işletmeler konu bulut servisleri olduğunda çoğu zaman platformun sunduklarıyla yetiniyor. Forcepoint Türkiye Ülke Müdürü Levent Turan, bulut güvenliğinin ihmal edilmemesi gereken bir konu olduğunu ifade ederken, işletmelerin bu alandaki hatalı bilgilere karşı bilinçli olması gerektiğine dikkat çekiyor. Gartner’ın Nisan 2017 tarihli bir çalışmasına göre bulut güvenliği pazarının 2020’ye kadar yüzde 19’luk bir büyüme oranına ulaşacağını açıklıyor. Turan, bulut güvenliğine dair beş önemli yanılgıyı ise şu şekilde sıralıyor:

Yanılgı: Güvenlik sertifikaları yalnızca uyumluluk ekiplerini ilgilendirir

Bulut platformları başta bilgi güvenliği olmak üzere çeşitli sertifikasyonlara tabi olması gerektiğini belirten Levent Turan, bu tip sertifikaların yalnızca teknik ekiplerin dikkate alması gereken konular arasında olmadığına dikkat çekiyor. Bulut platformlarına güvenlik hizmeti sunan servis sağlayıcılar dahil olmak üzere her bir çözüm ortağının yetkinliğini kanıtlayan sertifikalara sahip olması gerektiğini kaydeden Turan, herhangi bir eksikliğin ileride telafisi güç sorunlara yol açabileceğini belirtiyor. Örnek olarak ISO 27018 sertifikasyonunu veren Turan, bu sertifikanın, bulut servislerini kullanan müşterilerine ait verilerin korunmasına dair standartları içerdiğini ifade ediyor.

Yanılgı: Bulut sağlayıcıların veri merkezleri her zaman kurumsal benzerlerinden daha güvenlidir

Pek çok bulut servis sağlayıcının, kendi çözümlerinin daha iyi koruduğunu göstermek için özel veri merkezlerinin eksikliklerini öne çıkardığını belirten Levent Turan, bu durumun her zaman geçerli olmadığının altını çiziyor. Turan, bulut ortamının gerçekten önemli güvenlik avantajları sunduğu durumda bile müşterilerin bu avantajlardan faydalandığından emin olmaları gerektiğine dikkat çekiyor.

Doğru ve tam sertifikasyonun bile yüksek güvenlik için tek belirleyici unsur olmadığına vurgu yapan Turan, çoğu bulut servis sağlayıcısının paylaşımlı bir güvenlik modeli ile çalıştığını, erişilebilirlik ve kullanım ile ilgili durumlarda sorumluluğun müşteriye ait olduğunu ifade ediyor.

Yanılgı: Daha fazla veri merkezi daha yüksek performans ve esneklik sağlar

Veri merkezi sayısının performansı doğrudan etkileyen bir unsur olduğuna dair kesin bir yargıda bulunmanın mümkün olmadığını kaydeden Levent Turan, daha az sayıda veri merkeziyle müşterilerin daha iyi hizmet aldığı durumların mevcut olduğunu ifade ediyor.

Yanılgı: Siber güvenlik sigortasının maliyetlerini etkileyen faktörler arasında bulut hizmeti sunan şirketler belirleyici değildir.

Bir sigorta şirketinin, prim ücretlerini belirlerken çok sayıda kriteri baz aldığını belirten Levent Turan, burada önemli olan konunun alınan güvenlik önlemlerinin sayısı ve çeşitliliği olduğunu ifade ediyor. Bir sigorta şirketinin, bulut güvenlik sağlayıcısının yeterli çabayı göstermediğine inanması durumunda prim tutarlarını yükseltebildiğini kaydeden Turan hem hizmeti sağlayan kuruluşun hem de müşterilerin optimum siber güvenlik için kararlı olduğunu göstermesi gerektiğine işaret ediyor.

Yanılgı: Yeni GDPR Tüzüğü sadece Avrupalı şirketleri etkiliyor

Mayıs 2018 itibariyle yürürlüğe giren GDPR Tüzüğü’nün, kişisel verilerin güvenliği konusunda standartları yukarıya çektiğini belirten Levent Turan, yanlış kanılar arasında bu uygulamanın da bulunduğunu belirtiyor. GDPR’nin Avrupa Birliği’nde devreye alınması nedeniyle sadece bölgedeki şirketler için geçerli olduğunun sanıldığını sözlerine ekleyen Turan, alınan kararların global geçerliliği olduğunu belirtiyor. Turan, buradaki ana kriterin AB üyesi ülke vatandaşlara ait verilerin işlenmesi olduğuna dikkat çekiyor.

GDPR Tüzüğü ile birlikte çok sayıda sertifikasyon ve düzenlemede değişikliğe gidildiğini ifade eden Turan, ISO/IEC 27001: 2013, ISO/IEC 27002:2013 ve diğer ISO27k standartlarının güncellendiğinin altını çiziyor.

Konunun, Avrupa Birliği’ne ürün ya da çözüm sunan Türkiye merkezli şirketler için de geçerli olduğunu belirten Turan, Forcepoint Türkiye olarak müşterilerine bu konuya uyum konusunda yardımcı olduklarını sözlerine ekliyor.

Sizin de bu konuda söyleyecekleriniz mi var?