Bilgi Güvenliğini Buluta Taşımak
11/10/2023Kuruluşlar, maliyetleri azaltmak ve esneklik ile çevikliği artırmak amacıyla bulut teknolojilerine yönelmektedir. Bulut depolama teknolojilerine geçişin en büyük zorluğunun bulut yeteneklerinin benimsenmesi ve mevcut bilgi teknolojisi ortamlarıyla entegrasyonunun zorluğu olduğu bildirilmektedir. Bulut güvenliğinin tahsisi artık düzenli işlemlerin bir parçası olarak kabul edilmektedir. 2020'den bu yana siber saldırıların sayısı sürekli olarak artmaktadır ve özellikle dolandırıcılık saldırıları en yaygın olaylar arasındadır. Kuruluşlar, siber güvenlik bütçelerinin daha büyük bir kısmını bulut güvenliğine tahsis etmektedir, bu durumun ana nedeni veri ihlalleri ve saldırıların güvenlik açıklarını gidermek için planlanmamış masraflar nedeniyle daha maliyetli hale gelmesidir.
Araştırma, bulut benimseme için ilk iki hedefin maliyetleri azaltmak ve güvenliği artırmak olduğunu bulmuştur. Uzaktan çalışanları destekleme üçüncü sıradadır, bu da pandeminin bulut benimsemeyi hızlandırmış olabileceğini ancak maliyet etkinliği ve güvenliğin en önemli itici faktörler olduğunu göstermektedir. Ortalama olarak, kuruluşlar iş yüklerinin %41'inin zaten bulutta olduğunu bildirmektedir ve bu payın 2023 sonuna kadar %54'e çıkmasını beklemektedirler.
Dijital Dönüşüm Ofisi Bulut Depolama Teknolojisi ve Düzenlemeler Raporu'na Göre;
57 kurum içerisindeki 43 kurumun yanıtlarına dayanarak, Dijital Dönüşüm Ofisi Bulut Depolama Teknolojisi ve Düzenlemeler Raporu, birkaç önemli bulguyu vurgulamaktadır:
Seçilen stratejik uygulamalar için buluta geçiş seçeneklerini değerlendirirken:
Tavsiyelerden:
2022 Yılında ISC2 Tarafından Yayınlanan Bulut Güvenliği Raporuna Göre;
2022'de ISC2 tarafından yayınlanan Bulut Güvenliği raporuna göre, dünya genelinde bulut teknolojileri ve benimseme konusunda bazı küresel istatistikler şunlardır:
Raporda, ISC2 tarafından yapılan araştırmaya katılan şirketlerin IT yöneticilerinin %93'ünün nitelikli siber güvenlik uzmanlarının önemli bir yetenek eksikliğinden endişe duyduğu gözlemlenmektedir.
Ayrıca:
Barikat Güvenli Bilişim Teknolojisi Birimi'nin Sağlayabileceği Katkılar düşünüldüğünde ise;
1. **Eğitim Yoluyla Farkındalık Oluşturma:** *Gartner'ın bir çalışması, küresel iş operasyonlarının %70'inin genel bulut teknolojilerini benimsediğini ve işletmelerin %50'sinin 2025 yılına kadar çoklu bulut teknolojilerini benimsemeyi planladığını göstermektedir. Bu nedenle, web seminerleri, etkili ürün kullanımı eğitimi ve danışmanlık hizmetleri gibi eğitim programlarıyla farkındalık oluşturmak son derece önemlidir.
Güvenli Bilgi Teknolojisi Birimi, organizasyon içinde bulut teknolojileri hakkında farkındalık yaratmak için eğitim programları, web seminerleri, ürün kullanımı atölyeleri ve danışmanlık hizmetleri düzenleyebilir.
2. **Bulut Göç/Modernizasyon için İş İhtiyaçlarının Belirlenmesi:** Bulut teknolojilerine geçiş senaryoları ile ilgili belirli iş gereksinimlerini tespit etmek önemlidir. Bu, değişiklik yönetimi, faaliyete geçiş süreçleri, sorun yönetimi, yazılım geliştirme, yedekleme/arşivleme süreçleri ve dijital altyapının bağımlılıklarını belirlemeyi içerir.
Bu, hangi uygulamaların ve süreçlerin buluta taşınacağını netleştirmeye yardımcı olur.
3. **Otomasyon, Modernizasyon ve Yazılım Geliştirme Desteği:** Bulut ortamlarının kod gibi yapılandırılabileceğini kabul ederek, birim otomasyonu teşvik edebilir ve yazılım geliştirme ortamlarının bu yeteneğe sahip olmasını sağlayabilir. Bu, dönüşümü hızlandırır ve analiz ve sorun giderme yoluyla güvenlik açıklarını değerlendirmede önemli bir rol oynar.
4. **Bulut Teknoloji Modelleriyle Uyum:** İstatistikler farklı bir resmi gösterse de, özellikle düşük güvenlik hassasiyetine sahip uygulamalar için bulut hizmet sağlayıcılarına modernize etme ve taşıma eğilimi önemli bir trenddir. Birim, organizasyonların ihtiyaçlarına göre SaaS, PaaS veya diğer bulut teknoloji modelleri ile uyum sağlamalarına yardımcı olabilir.
5. **İşbirliği Çalışma Yöntemlerinin Teşviki:** Yazılım geliştirme süreçlerinde etkili bulut kullanımını uygulamak için tercihin, DevOps, DevSecOps gibi işbirliği yöntemlerinin uygulanması gerektiği açıktır (%86 gibi). Bu, Güvenli Bilgi Teknolojisi Danışmanlığı, Kod Güvenliği ve SAST/DAST SCA Analizi gibi hizmetlerin yazılım geliştirme yaşam döngüsünde etkili bir şekilde konumlandırılmasının gerekliliğini vurgular.
Özetle, Güvenli Bilgi Teknolojisi Birimi, farkındalığı artırma, iş ihtiyaçlarını belirleme, otomasyonu ve yazılım geliştirmeyi destekleme, bulut teknoloji modelleri ile uyum sağlama ve işbirliği çalışma yöntemlerini teşvik ederek başarılı bir bulut teknolojilerine geçişi kolaylaştırmak için katkı sağlayabilir.
Güvenli Bilgi Teknolojisi Birimi, bulut teknolojilerine başarılı ve güvenli bir şekilde geçişte yardımcı olabilir, işletmelerin bu dönüşümü etkili bir şekilde gerçekleştirmelerine yardımcı olabilir.
Bir bakışta bulut ortamlarının gerçekliğine baktığımızda, tıpkı yazılımın kod olduğu gibi, ağ ve sistem altyapısının tümünün bir yapılandırma dosyası gibi şekillenebileceğini görüyoruz. Gerektiğinde manuel müdahale ile hatalar en aza indirilebilir. Ayrıca, bu yeteneğe sahip yazılım geliştirme ortamlarına sahip olmak dönüşümü hızlandırır. Bağımsız ürün yönetimi ve özellikle otomasyon desteği, güvenlik açıklarının değerlendirilmesi ve analiz ile sorun gidermeyi içeren önemli bir rol oynar.
İstatistikler farklı bir resmi gösterse de, uygulamaların %25'inin SaaS modelini benimsemesi ve %12'sinin PaaS modelini tercih etmesi gibi belirgin bir eğilim bulunmaktadır. Ayrıca, uygulamaların yüksek güvenlik hassasiyetine sahip olmadığı ve maliyet etkili çözümler olduğu sürece, %81,5 gibi güçlü bir eğilim, tüm uygulamaları bulut hizmet sağlayıcılarına modernize etme yönündedir.
Hangi bulut teknoloji modelini tercih edecekleri sorulduğunda, çoğunluk, yazılım geliştirme süreçlerinde DevOps ve DevSecOps gibi işbirliği çalışma yöntemlerini uygulama gerekliliğini vurgular biçimde %86 gibi bir oranla işbirliği çalışma yöntemlerini tercih eder. Bu, hizmetlerin yazılım geliştirme yaşam döngüsünde etkili bir şekilde konumlandırılmasının önemini vurgular.
Şirketlerde veri ve bilgi güvenliğini sağlayan veya denetleyen güvenlik ekipleri yaygın bir şekilde bulunur ve bu ekiplerin %93'lük bir önemli bir oranını oluşturur.
Bu nedenle, Güvenli IT'nin tanımı, bu ekiplerle işbirliği yapmayı içermeli ve gereksinimleri aşağıdaki gibi belirlenebilir:
Bulut hizmetlerinin geçiş ve işletme süreçlerinde:
Bu adımlar, bulut hizmetlerinin benimsenmesi ve işletilmesinde güvenliği ve uyumu sürdürmek için önemlidir.
Referanslar:
Yazar
Mehmet Emre ATEŞ
Güvenli Bilişim Teknolojileri Birim Yöneticisi