Herhangi bir herkese açık bulut’taki (cloud) bilgi güvenliği sözleşme taahütlerini karşılasa da verilerinizin güvenliğini sağlamayabilir. Bu devamsızlık web’de güvenli altyapının belgeli vakaları ve veri sızmasıyla eş anlama gelen gevşeklik (lax) ilkelerini içeren bir sürü makalenin konusudur.
Depolama, servisler, uygulamalar, altyapı vesaire için bulut sağlayıcıları, pek çok yöneticinin ve son kullanıcının cezbedici bulduğu servis ve fiyatlandırmalar sunarlar. Tıklama başına, işlem başına, iş başına ücretler dikkatimizi çekmektedir. Dahili fazlalık (buit-in redundancy), her yerden ulaşım ve sahipliği engelleyen imkanlar bunun nasıl kötü bir şey olabileceğini düşünmeye sevkediyor.
Son olarak, bazı bulut servisi sağlayıcılarının karşıladığı sıkı güvenlik riayet standarları bize sorun yok düşüncesini verir ama bir tıkla her şey kötüye gidebilir.
Bulut verilerini güvene almak verilerinizi NIST, ISO, PCI ya da diğer sertifikalarla bulut sağlayıcısına taşımaktan fazlasını gerektirir. Sertifikasyon çok iyi bir başlangıç noktası olsa da, veri güvenliği için bir sonuç değildir. Müşteri verilerini korumak halka açık bulutta da olsa yeraltı mahzenine gömülü de olsa sizin sorumluluğunuzdadır. Etkili bir veri koruyucusu olmak için, depoladığınız veri için güvenlik gerekliliklerini anlamalı, nasıl depoladığınızı faal bir şekilde yönetmeli, veri kaybı oluşabilecek durumlardan haberdar olmalı ve veri güvenliğini aktif bir şekilde sağlamalısınız.
Maalesef, bunlar pek çok organizasyon için postmodern göstergelerdir; kayıplar yaşanana ve avukatlar sorular sormaya başlanana kadar iyi anlaşılmazlar. Açıkça, artık, veri güvenik gereksinimlerini anlamak için yanlış zamandır. Ayrıca bulut sağlayıcınızın yapmakla sorumlu olduğu her şeyi yapıp yapıp yapmadığını ve ilkelerinizin, sürecinizin ya da dikkatsizliğinizi bu veri sızıntısı için olanak yarattığını öğrenmek için de geçtir.
Herkese açık bir bulutta, XaaS’ta ya da herhangi bir ortak verileri korumak için hazırlanma yolunda, sorumluluklarınızı ve uyumlu bir organizasyon yaratan kabul edilebilir hareketleri ve korunabilir durumları bilmelisiniz. Ön saf müşteri temsilciler ve üst seviye yönetecilerden pek çoğu güvenli ve uyumlu bir organizasyon yaratmayı bilmemektedir. Maalesef insanlar eğer XYZ sağlayıcı 123 uyumluysa, sağlayıcının bulutunda gerçekleşen tüm verilerin, işlemlerin, bağlantıların ve veri tutmaların da 123 uyumlu olduğunu varsayarlar. Bundan daha yanlış bir düşünce olamaz.
Mesela, sağlayıcı 123’te yer alan asıl veritabanına ait yönetici ID’li ve şifreli bir blog yazısı güvenli ya da herhangi bir standartla uyumlu değildir. Sağlayıcı her şeyi doğru yapmakta ama sizi kendisinden koruyamamaktadır. Müşteri verilerinizi, depolama ve proses lokasyonunuz ne olursa olsun, sadece organizasyon eğitiminiz ve güvenlik eylemleriniz koruyabilir
Ne kadar güvenliğe ihtiyacınız var? Standartlara uyumlu olmak için gerekli adımlar nelerdir? Standartlar ne zaman organizasyonunuz için geçerli olur? Bunlar sorulması gereken sorulardır ve öğrenmeniz gereken şeylerdir, ama bulut sağlayıcınız cevaplara sahip olmayabilir. Günümüzdeki bulut teknolojisine olan aşırı ilgiyle yaratılan mantıksal değişim şu ki bu soruların cevabını bulut sağlayıcınızı seçmeden önce bilmek, iş ihtiyaçlarınızı karşılayabilen ve müşterilerinizin verilerini koruyan doğru iş ortağını bulmanızda yardımcı olacaktır.