Bir Bulut Güvenliği Stratejisi Oluştururken Sorulacak En Önemli 5 Soru

Şirketler bilgi işlem operasyonlarını ve veri depolamayı buluta taşımaya başladığında, bu dijital varlıkların güvenliği bir öncelik haline geldi. Güçlü bir bulut güvenlik stratejisi uygulamak, her kuruluş için çok önemlidir. Özellikle SaaS sağlayıcıları, çok büyük miktarda hassas veri taşır. Bu senaryo, bir şirketin gizliliği ve fikri varlıkları için oldukça büyük bir riski temsil eder; bu nedenle, bir bulut güvenlik stratejisi oluşturmaya başladığınızda, bu beş hayati soruyu en başından sormalı ve yanıtlayabilmelisiniz.

S #1: Hizmet Olarak Sunulan Yazılım kuruluşumuzun yasal, müşteri veya son kullanıcı bakış açılarından hangi gereksinimlere uyması gerekir?

Hizmet verdiğiniz sektör veya son kullanıcının türüne bağlı olarak, ilgili uyumluluk ve veri gizliliği gereklilikleri söz konusu olduğunda, hem yasal hem de müşteri standartları odak noktası olmalıdır.

ISO 27001

Bu, bir bilgi güvenliği yönetim sistemi uygulamak isteyen şirketler için küresel bir sertifikadır. Operasyonel bir güvenlik yönetim sistemini dahil etmek için SOC 2 bilgi güvenliği işlevinin ötesine geçer. Uluslararası müşteriler, şirketinizin ISO 27001 sertifikasına sahip olmasını isteyebilir örn. İyi haber şu ki, SOC 2'ye uyuyorsanız, yolun yarısını çoktan geçmiş olabilirsiniz.

Yasal yükümlülükler

Yasal açıdan, hedef pazarınız için geçerli olan gizlilik düzenlemelerini uygulamanız gerekecektir. KVKK, GDPR/CCPA ve HIPAA'nın tümü belirli sektörlere hizmet eder. Örneğin, şirketiniz AB'de ürün veya hizmet satıyorsa, AB veri gizliliği yasalarının önemli bir unsuru olan Genel Veri Koruma Yönetmeliği'ne (GDPR) ,Türkiye’de ise Kişisel Verileri Koruma Kanunu (KVKK) uymanız gerekir.

Sağlık hizmetinin herhangi bir alanında faaliyet gösteren ABD şirketleri için HIPAA uyumluluğu, bunu gösterecek bir sertifika almasanız da sıkı bir gizlilik gereksinimidir. 

Sektöre Özel Düzenlemeler

Ödeme kartı endüstrisinin Veri Güvenliği Standardı (PCI-DSS) gibi çeşitli diğer endüstrilerin kendi yasal talepleri vardır. Genellikle PCI olarak anılan bu standart, kredi kartı ödeme bilgilerini işleyen ve saklayan programlar için bir dizi güvenlik gereksinimidir.

#2: Müşterilerimiz için siber güvenliğe ne kadar bütçe ayırdık? 

Güvenli yazılım oluşturmayla ilişkili maliyetler konusunda dikkatli olmak önemlidir. Siber güvenlik maliyetlidir ve gerekli güvenlik kontrollerini uygulamak ucuz değildir. Bununla birlikte, SaaS kuruluşunuzun, müşterilerinizin bilgilerini güvende tutmakla ilgili çeşitli maliyetleri nasıl tahsis edeceğini dikkatli bir şekilde değerlendirmesi gerekir. Çoğu SaaS sağlayıcısı, müşteri verilerini dış tehditlerden korumak için en az üç farklı güvenlik katmanına ihtiyaç duyduğundan, katmanlı güvenlik uygulama konusunda fiyat almanız gerekir. Bunlar, bulut veri depolama platformları, barındırma şirketleri ve dahili sunuculardan oluşan temel altyapı katmanlarıdır.

Yapmanız gerekenler:

• Sağlam veri şifreleme yazılımı kurun
• Her erişim düzeyinde virüs ve kötü amaçlı yazılımdan koruma programları dağıtın
• Ekibinize ve müşterilerinize verileri güvenli bir şekilde işleme konusunda eğitim verin
• Müşteri verilerinizi yedekleyin ve yedekleri birden fazla konum ve formatta saklayın
• Sistemlerinizi düzenli olarak test etmek için üçüncü taraf bir siber güvenlik firmasına danışın
• Harici taraf denetçileri için ödeme yapın

Sunduğunuz SaaS ürününe katkıda bulunan her şirket, zincir boyunca en azından aynı düzeyde güvenlik ve uyumluluğa ihtiyaç duyacaktır. Zincir şirketinizle başladığından, güvenliğinizin su geçirmez olmasını sağlama masraflarını bütçelemelisiniz.

S #3: Güvenlik ve uyumluluk ihtiyaçlarını karşılamak için yeterli insan kaynağımız var mı?

Hepimiz yapay zekanın her şeyin üstesinden gelebileceği günü bekliyoruz ama bu yine de oldukça uzak. Şu anda, SaaS kuruluşunuzun kritik güvenlik işlevlerini yerine getirmek için yeterli insan kaynağına sahip olması gerekecek. Bunlar şunları içerir:

• Cihazlarda güvenlik kontrollerinin uygulanması.
Yöneticiler, veri şifreleme programları kurmalı, güvenlik duvarlarını ve antivirüs korumasını yapılandırmalı ve izinsiz giriş tespit sistemlerini izlemelidir. Verizon'un 2022 Veri İhlalleri Soruşturma Raporuna göre , tüm veri ihlallerinin % 82'si bir insan unsuru içerir, bu nedenle sağlam güvenlik kontrollerinin uygulanması bu tür olayların riskini azaltır.

• Güvenlik açıklarını yönetme.
Bu kontroller, tehditlerin olasılığını ve etkisini belirlemek için risk değerlendirmelerini ve zayıflıkları ortaya çıkarmak ve bu güvenlik açıklarının oluşturduğu tehlikeyi azaltmak için ek önlemleri belirlemek için güvenlik açığı değerlendirmelerini içerir. Teşhis araçları ve yapay zeka bunun çoğuna yardımcı olabilir, ancak nihai kararları vermek ve süreçleri uygulamak için insan kaynaklarına hala ihtiyaç vardır.

• Çalışanlarınızın geçmişini kontrol etmek.
Çoğu durumda çalışanlar, örneğin veri tabanlarını yanlış yapılandırarak veya siber suçluların kuruluşun sistemlerine erişmesine izin vererek bilgileri kasıtlı olarak açığa çıkarabilir. Geçmiş kontrolleri yapılmadan, şirketler kendilerini kötü aktörleri çalıştırmaya karşı savunmasız bırakır.

• Çalışanların işe alınması ve işten çıkarılması.
Siber güvenlik risklerinizin artmasını önlemek için çalışanları işe alma ve işten çıkarmayla ilgili en iyi uygulamaları izleyin. Yeni çalışanlar, giriş seviyelerine, anlayışlarına ve deneyimlerine göre uyarlanmış siber güvenlik konusunda eğitilmeli ve başlangıçta yalnızca temel erişim sağlanmalıdır. Ayrılan çalışanlar, çıkış görüşmelerinden geçmeli ve siber güvenlik ekibi bir işten çıkarma programı oluşturmalıdır. Bu program, çalışan ayrılır ayrılmaz tüm oturum açma erişiminin iptal edilmesini, tüm çalışma arkadaşlarına ve hissedarlara ayrılış hakkında bilgi verilmesini ve çalışanın ayrıldıktan sonra bir süre erişim sağladığı sistemlerin izlenmesini içermelidir.

Güçlü bir bulut güvenlik stratejisi için yeterli kişiye sahip olmanız, yüksek maliyetli, kalıcı çalışanlar atamanız gerektiği anlamına gelmez. Yönetilen bilgi güvenliği hizmetleri, ihtiyacınız olan desteği günün her saati ve tam zamanlı bir güvenlik uzmanı fiyatının çok altında sağlayarak operasyonunuzu genişletebilir.

S #4: Kuruluşumuzda benimsenmesi gereken bazı en iyi güvenlik uygulamaları nelerdir?

Bazı kuruluşlar güvenlik konusunda çok esnek olmayı seçer ve yalnızca farklı çerçevelere uymak için gereken minimum şeyi yapar. Daha fazla güvenlik bilincine sahip kuruluşlar genellikle daha fazlasını yapar ve gelişmiş güvenlik kontrolleri uygular.

Örneğin, herhangi bir şirket kaynağına erişebilmeleri için tüm çalışanların telefonlarını ve bilgisayarlarını MDM'ye kaydetmeye zorlayan bir firma şunu bilmelidir ki; bu bir uyumluluk gereksinimi değil, kuruluşun güvenlik duruşunu iyileştirmek için yaptığı bir seçimdir.

Her işletmenin benimsemesi gereken temel en iyi uygulama seçenekleri şunları içerir:

• Tüm sistemlerde düzenli risk değerlendirmeleri yapın.
İşler değişir. Yazılım güncellenir, kötü niyetli kişiler kuruluşları hedeflemek için yeni yollar bulur ve verilerinizin bilgisayar korsanları için değeri daha değerli ve erişimi kolay hale gelir. Şirketler, daha sık olmasa da en azından yılda bir kez ve kendilerini savunmasız bırakabilecek herhangi bir önemli sistem veya iş değişikliği yaptıklarında risk düzeylerini değerlendirmelidir. Bunlar, buluta geçiş veya sistemlere erişimi olan yeni bir tedarikçi atamayı içerir.

• Riski azaltmak için önlemler uygulayın.
SaaS kuruluşunuzu hangi faktörlerin tehdit ettiğini öğrendikten sonra, bu riskleri azaltmak için makul güvenlik kontrolleri uygulayabilirsiniz. Personelinizi güvenlik bilinci konusunda eğitin. Güvenlik kurallarının ihlali için cezalar uygulayın. Yeni işe alınanları tarayın ve yalnızca temel hizmetlere erişime izin vermek için kullanıcı hakları sağlayın.

• Parola denetimleri ve virüs korumaları uygulayın.
Kapsamlı parola politikaları geliştirin ve çok faktörlü kimlik doğrulama kullanımını zorunlu kılın. Güvenlik duvarınızın doğru yapılandırıldığından emin olun ve verilerinizi bir VPN kullanarak şifreleyin. Güçlü virüs ve kötü amaçlı yazılım koruması kurun ve eski ve atılmış ekipmanı güvenli bir şekilde atın.

• Tüm verilerin, ekipmanın ve süreçlerin envanterini çıkarın.
Verilerinizi korumak, neye sahip olduğunuzu ve nerede olduğunu bilmenize bağlıdır. Çoğu veri ihlali, yanlışlıkla e-postada, kayıp dizüstü bilgisayarlarda veya yedekleme bantlarında saklanan gizli bilgilerin ipuçlarını içerir. Tüm müşteri ve çalışan kayıtlarınızı tanımlayın ve kataloglayın, ödeme bilgilerini ayrı ve güvenli bir şekilde saklayın ve tüm ekipman korumalarınızın güncel ve iyi çalıştığından emin olun.

• Siber güvenliği operasyonel süreçlerinize dahil edin.
BT sistemleri, uygun şekilde korunmazlarsa savunmasız olabilir. Varsayılan kimlik bilgilerini (örneğin, 1234567 gibi parolalar ve "admin" veya "info" gibi kullanıcı adları) kaldırarak veya değiştirerek ağınızı güçlendirin. Kritik güvenlik yamalarını derhal uygulayın ve sistemleri beklenen normlardan sapmalara karşı izleyin.

Olayları tespit etmek ve bunlara yanıt vermek için yollar ve araçlar oluşturun ve sağlam iş sürekliliği ve felaket kurtarma planları geliştirin. Güvenlik önlemlerini denetleyerek veya sizinle yaptıkları sözleşmelere standartlar ekleyerek belirli üçüncü taraf sağlayıcıların da güvende olmasını sağlayın.

S #5: Uygulamamıza karşı bir sızma testi yaptık mı?

Çoğu güvenlik açığı, harici bir taraf sızma testi yapana kadar tanımlanmaz. Sızma testi, bir uygulamayla ilgili önemli güvenlik sorunlarını belirlemenin en iyi yollarından biridir. Sızma testleri, belirlenen zayıflıklardan yararlanmaya çalışarak bir risk değerlendirmesinden bir adım daha ileri gider.

Örneğin, bir güvenlik açığı değerlendirmesi, yamaların düzenli olarak güncellenmediğini keşfederek bir şirketi saldırılara karşı savunmasız bırakabilir. Bir penetrasyon testi, şirket sistemlerine yama yapılmamış güvenlik açıkları aracılığıyla erişmeye çalışacak ve siber güvenlik ekibinin herhangi bir potansiyel risk alanını önceden desteklemesini sağlayacaktır.

Hazırlıklı Olmak

Bir bulut güvenlik stratejisi oluşturan herhangi bir şirketin kendi sektörünün gereksinimlerine uyması gerekir, ancak olası siber güvenlik olaylarına önceden hazırlıklı olarak gerekli uyumluluğun ötesine geçmek de bir o kadar önemlidir. Anormallikleri ve ihlal girişimlerini tespit etmek için süreçleri uygulamaya koyun. Sorunları tahmin etmek için makul güvenlik önlemlerini uygulayın. Yeterli yedekleme ve geri yükleme prosedürlerine sahip olduğunuzdan emin olun. İlerlemek konusunda emin değilseniz, sistemlerinizin güvenliğini sağlamak ve müşterilerinizi ve personelinizi korumak için uzman yardımı alın.