Bulut güvenliğinde doğru sanılan 5 yanlış

Bulut platformları artık son derece yaygın. Ancak yeni bir hizmeti buluta taşımadan önce yeterli seviyede güvenli olduğu düşünülen bu yapılar için söylenenleri kontrol etmekte fayda var.

Bulut bilişimin modern iş dünyasının ayrılmaz bir parçası haline geldiği bir gerçek. Artık küçükten büyüğe her tür işletme, özel ya da kamu hemen her kurum bulut tabanlı sistemlerden faydalanıyor. Ancak BT altyapısı için yüksek derecede güvenlik isteyen işletmeler konu bulut servisleri olduğunda çoğu zaman platformun sunduklarıyla yetiniyor.

Forcepoint Türkiye Ülke Müdürü Levent Turan, bulutun güvenliğinin ihmal edilmemesi gereken bir konu olduğunu ifade ederken, işletmelerin bu alandaki hatalı bilgilere karşı bilinçli olması gerektiğine dikkat çekiyor. Gartner’ın Nisan 2017 tarihli bir çalışmasına göre bulut güvenliği pazarının 2020’ye kadar %19’luk bir büyüme oranına ulaşacağını açıklıyor.


Yanılgı: Güvenlik sertifikaları yalnızca uyumluluk ekiplerini ilgilendirir

Bulut platformları başta bilgi güvenliği olmak üzere çeşitli sertifikasyonlara tabi olması gerektiğini belirten Forcepoint Türkiye Ülke Müdürü Levent Turan, bu tip sertifikaların yalnızca teknik ekiplerin dikkate alması gereken konular arasında olmadığına dikkat çekiyor. Bulut platformlarına güvenlik hizmeti sunan servis sağlayıcılar dahil olmak üzere her bir çözüm ortağının yetkinliğini kanıtlayan sertifikalara sahip olması gerektiğini kaydeden Turan, herhangi bir eksikliğin ileride telafisi güç sorunlara yol açabileceğini belirtiyor.

Örnek olarak ISO 27018 sertifikasyonunu veren Turan, bu sertifikanın, bulutun servislerini kullanan müşterilerine ait verilerin korunmasına dair standartları içerdiğini ifade ediyor.

Yanılgı: Bulut sağlayıcıların veri merkezleri her zaman kurumsal benzerlerinden daha güvenlidir

Pek çok bulut servis sağlayıcının, kendi çözümlerinin daha iyi koruduğunu göstermek için özel veri merkezlerinin eksikliklerini öne çıkardığını belirten Levent Turan, bu durumun her zaman geçerli olmadığının altını çiziyor. Turan, bulut ortamının gerçekten önemli güvenlik avantajları sunduğu durumda bile müşterilerin bu avantajlardan faydalandığından emin olmaları gerektiğine dikkat çekiyor.

Doğru ve tam sertifikasyonun bile yüksek güvenlik için tek belirleyici unsur olmadığına vurgu yapan Turan, çoğu bulut servis sağlayıcısının paylaşımlı bir güvenlik modeli ile çalıştığını, erişilebilirlik ve kullanım ile ilgili durumlarda sorumluluğun müşteriye ait olduğunu ifade ediyor.


Yanılgı: Daha fazla veri merkezi daha yüksek performans ve esneklik sağlar

Veri merkezi sayısının performansı doğrudan etkileyen bir unsur olduğuna dair kesin bir yargıda bulunmanın mümkün olmadığını kaydeden Levent Turan, daha az sayıda veri merkeziyle müşterilerin daha iyi hizmet aldığı durumların mevcut olduğunu ifade ediyor.

Yanılgı: Siber güvenlik sigortasının maliyetlerini etkileyen faktörler arasında bulut hizmeti sunan şirketler belirleyici değildir.

Bir sigorta şirketinin, prim ücretlerini belirlerken çok sayıda kriteri baz aldığını belirten Forcepoint Türkiye Ülke Müdürü Levent Turan, burada önemli olan konunun alınan güvenlik önlemlerinin sayısı ve çeşitliliği olduğunu ifade ediyor.

Bir sigorta şirketinin, bulut güvenlik sağlayıcısının yeterli çabayı göstermediğine inanması durumunda prim tutarlarını yükseltebildiğini kaydeden Turan hem hizmeti sağlayan kuruluşun hem de müşterilerin optimum siber güvenlik için kararlı olduğunu göstermesi gerektiğine işaret ediyor.

Yanılgı: Yeni GDPR Tüzüğü sadece Avrupalı şirketleri etkiliyor

Mayıs 2018 itibariyle yürürlüğe giren GDPR Tüzüğü’nün, kişisel verilerin güvenliği konusunda standartları yukarıya çektiğini belirten Levent Turan, yanlış kanılar arasında bu uygulamanın da bulunduğunu belirtiyor. GDPR’nin Avrupa Birliği’nde devreye alınması nedeniyle sadece bölgedeki şirketler için geçerli olduğunun sanıldığını sözlerine ekleyen Turan, alınan kararların global geçerliliği olduğunu belirtiyor. Turan, buradaki ana kriterin AB üyesi ülke vatandaşlara ait verilerin işlenmesi olduğuna dikkat çekiyor.

GDPR Tüzüğü ile birlikte çok sayıda sertifikasyon ve düzenlemede değişikliğe gidildiğini ifade eden Turan, ISO/IEC 27001: 2013, ISO/IEC 27002:2013 ve diğer ISO27k standartlarının güncellendiğinin altını çiziyor.


Konunun, Avrupa Birliği’ne ürün ya da çözüm sunan Türkiye merkezli şirketler için de geçerli olduğunu belirten Turan, Forcepoint Türkiye olarak müşterilerine bu konuya uyum konusunda yardımcı olduklarını sözlerine ekliyor.

Neler GDPR kapsamına giriyor?


Editor
Haber Merkezi ▪ İndigo Dergisi, 19 yıldır yayın hayatında olan bağımsız bir medya kuruluşudur. İlkelerinden ödün vermeden tarafsız yayıncılık anlayışı ile çalışmaktadır. Amacı; gidişatı ve tabuları sorgulayarak, kamuoyu oluşturarak farkındalık yaratmaktır. Vizyonu; okuyucularında sosyal sorumluluk bilinci geliştirerek toplumun olumlu yönde değişimine katkıda bulunmaktır. Temel değerleri; dürüst, sağduyulu, barışçıl ve sosyal sorumluluklarının bilincinde olmaktır. İndigo Dergisi, Türkiye’nin saygın İnternet yayınlarından biri olarak; iletişim özgürlüğünü halkın gerçekleri öğrenme hakkı olarak kabul etmekte; Basın Meslek İlkeleri ve Türkiye Gazetecileri Hak ve Sorumluluk Bildirgesi’ne uymayı taahhüt eder. Ayrıca İnsan Hakları Evrensel Beyannamesi’ni benimsemekte ve yayın içeriğinde de bu bildiriyi göz önünde bulundurmaktadır. Buradan hareketle herkesin ırk, renk, cinsiyet, dil, din, siyasi veya diğer herhangi bir milli veya içtimai menşe, servet, doğuş veya herhangi diğer bir fark gözetilmeksizin eşitliğine ve özgürlüğüne inanmaktadır. İndigo Dergisi, Türkiye Cumhuriyeti çıkarlarına ters düşen; milli haysiyetimizi ve değerlerimizi karalayan, küçümseyen ya da bunlara zarar verebilecek nitelikte hiçbir yazıya yer vermez. İndigo Dergisi herhangi bir çıkar grubu, ideolojik veya politik hiçbir oluşumun parçası değildir.