Bu Makalenin
- İlk bölümünü burayı tıklayarak
- İkinci bölümünü burayı tıklayarak
okuyabilirsiniz.
II –GELİŞME
1-Bulut Bilişimde Taraflar
Yukarıda belirtilen donanıma sahip firmalar, birden fazla kurumsal ya da bireysel müşteriye hizmet vermektedirler. Bu müşterilerin büyük ölçekli şirketler olduğunu düşünecek olursak, burada bilgi güvenliği yönünden bazı endişelerin yaşanabileceği de aşikardır.
Örneğin A bankası ile B sigorta şirketi ve C elektronik haberleşme İşletmecisi aynı bulutun müşterisi olarak saysak, burada hizmet alan şirketler ve bulut şirketinin yükümlülükleri neler olmalıdır ? Kısaca ticari sırlar, kişisel bilgilerin gizliliği gibi bilgi güvenliği çatısı altında yer alan unsurların korunması nasıl olacaktır ?
Bulut hizmeti alan ve verenin farklı ülkelerde bulunması halinde ve hukuka veya sözleşmeye aykırılık meydana geldiğinde hangi ülkenin hukukun geçerli olacağı gibi bazı sorunlar kafaları karıştırabilmektedir. Bu açıdan, Bulut bilişim aslında doğru uygulanmadığı ve yapılandırılmadığı zaman, tam bir gaz ve toz bulutundan ibarettir diyebiliriz. Zira, hukuki ve teknik açıdan konu netliğe ulaşmadıkça tartışmalar da sonlanmayacaktır.
Şimdi bahsettiğimiz sorunları aşağıda başlıklar halinde incelemeye başlayabiliriz.
1-Bilgi Güvenliğinin Sağlanması
Bulut bilişimde en fazla dikkat edilmesi gereken konu, bilgi güvenliğidir. Zira gerçek kişilerden ziyade, tüzel kişilere ait gayri maddi varlıkların günümüzde ulaştığı değer seviyesi kuşkusuz çok yüksektir. İşte bu değer bütünlüğünün korunması, neredeyse o işletmenin varlığını koruması ile eş değer sayılabilir. İşletmelere ait bilgilerin, bulut hizmeti sağlayan üçüncü bir kişiye teslim edilmesi beraberinde bilgi güvenliğinin ihlal edilebileceği şüphelerini de kendiliğinden gündeme getirmektedir.
Bilgi güvenliğine ilişkin endişeleri gidermek amacıyla hizmeti alacak firmaların ilk incelemeleri gereken nokta, hizmet sağlayıcının geçmişini ve tecrübelerini taramak olacaktır. Hizmet sağlayıcının ne kadar süredir sektörde faaliyet gösterdiği, yaşanan ihlaller, sahip olduğu standart, sertifikasyonlar (CISS, CISA, GIAC vb) ve politikalar ile uygulanan metodolojilerin (ITIL, COBIT) elden geldiği kadar incelenmesi hizmeti alacak firma için belirli bir fikir oluşturacaktır.
Bilgi güvenliği içerisinde işletmelere ait iştigal konusu ile ilgili bir çok bilgi mevcut olabilir. Bunlar personel özlükleri, fikri ve sınai haklara ilişkin bilgiler, lisanslar, ticari sırlar, ürünlere ait formül bileşenleri, kalkınma plan ve stratejileri, müşteri bilgileri (kişisel veriler) gibi bilgiler olabilir. İşte bu bilgilerin bulut hizmeti sağlayan bir üçüncü kişide depolanması bir çok riski beraberinde getirebilir. Tam bu noktada veri koruma (data protection) ve bilgi güvenliği konuları devreye girecektir. Bilgi güvenliğinin sağlanması için bulut hizmeti veren kuruluşların mutlaka uluslararası bilgi güvenliği standartlarına sahip olması ve bu sahipliğin ötesinde, bilgi güvenliği döngü ve süreçlerini sürekli takip etmesi gerekmektedir.
Hizmet alımı sırasında erişim protokollerinin gözden geçirilmesi de ayrı bir konudur.
Erişim kontrolü;
- Kimlik doğrulama (Authentication) : Şifreleme, anahtarlama, sinya bazlı kontrollerden oluşur.
- Yetkilendirme (Authorization) : Yetkilendirilmiş uzman erişiminin sağlanması
- Hesap Verilebilirlik (Accountability) : Kayıtlama (loglama) ve delillendirme prosesi.Bu adım için özel loglama yazılımlarının kalitesinin de sorgulanması gerekir.
Katmanlarından oluşmalıdır.
Bulut hizmeti sağlayıcıları tarafından bilgi güvenliği tamamen canlı bir organizma olmalı ve sürekli iyi şartlar altında yaşaması sağlanmalıdır. Penetrasyon testleri çeşitleriyle birlikte (Black box, white box, grey box) periyodik olarak mutlaka yapılmalı, DLP (Data Loss Prevention) politikaları hazırlanmalı, tüm ITIL gerekliliklerini sağlamalıdır. Burada devreye ayrıca iş sürekliliği- BCM (Bussines Continuity Management) ve disaster recovery (felaket kurtarma) dahi girmekte ve ayrı bir boyut kazanmaktadır.
Kritik iş süreçlerinin, acil durumlarda, olağan üstü hallerde, kriz durumlarında kesintiye uğramaması, bilgilerin korunması ve hizmetin devamlılığının sağlanması aynı zamanda iş sürekliliği konusunda bulut servis sağlayıcıların proaktif olarak gerekli önlemleri almaları ve hatta önlemlerin ötesinde bu konuda ISO veya BSI gibi uluslararası standartlara sahip olmasını mutlaka gerektirmektedir. Aksi halde dünya devi sayılabilecek şirketleri müşteri olarak kaybetmeye mahkum olacaklar ve ciddi tazmin yükümlülükleri altında kalabileceklerdir. (Coca Cola’nın bulut hizmeti aldığı şirketleri düşünmeniz yeterlidir.)
Yukarıdaki standartlar ve korunma döngülerinin sağlanması halinde, hizmeti sağlayan bulut şirketleri pazarda gerekli güveni ve prestiji sağlayabileceklerdir. Hizmetten yararlanma ise sadece yukarıdaki önlemlerin alınması ile yeterli kalmayacaktır. Hizmeti veren ve alan arasında ayrıntılı bir sözleşme yapılması da gerekmektedir ki yukarda I.bölümde bu konuya kısaca değinmiştim.
Belirtilen meseleler dışında burada ölçüm çok önemlidir, Ölçüm ve denetleme hem hukuki hem de IT yönünden yapılmalıdır. IT ölçümlemesi hem yazılım ve hem donanımı kapsamalıdır. Kaldı ki, bu denetim ve ölçümlemede hizmeti alan şirketin tam yetkili olması veya kendi ad ve hesabına bu denetleme ve ölçümlemeyi başka bir üçüncü partiye yapma hakkına sahip olmalıdır. Ölçümlemenin önemi ise hem bulutta yer alan bilgiler ve sürekli buluta eklenen bilgi ve içeriklerin doğruluğunu ve güvenliğini sağlamaya yönelik olmanın dışında, yukarıda da bahsedildiği gibi çoğu zaman ücretlendirmeye yaramasıdır.
Bilgi güvenliği standartları ve veri gizliliği yönlerinden ise, AB ülkelerine hizmet verecek olan bulut bilişim şirketleri Avrupa Birliği direktiflerini aşmak zorundadır. Bilindiği gibi AB/2002/58, AB/95/46 gibi veri koruma direktifleri mutlaka asgari güvenlik seviye ve şartları aramakta ve bulut hizmeti veren şirketlerin bu şartlara uymasını beklemektedir. Dolayısıyla AB’nin bu yasal sınırlamaları, neredeyse bulut hizmeti verecek şirketler için global bir standartı zorluyor denebilir.
Makalenin 4.bölümünü burayı tıklayarak okuyabilirsiniz.
Kaynak : 