Categories
MAKALELER

Bilgi güvenliği, erişilebilirliğin, gizliliğin ve bütünlüğün kesişim noktasıdır. Gizlilik, bilginin yetkili kişilerle paylaşılmasını, bütünlük, bilgi varlıkları arasındaki tutarlılığı, erişilebilirlik ise bilgiye yetkili kişiler tarafından en hızlı şekilde ulaşılabilmesini ifade eder. Bütün bunları birlikte değerlendirdiğimizde bilgi güvenliğinin başlangıcı ve sonu belli bir süreç olmadığını, bu sürecin devinim ve adaptasyon gerektiğini görürüz.

Bilgi, günümüzde ticari bir varlık haline gelmiştir. Kâğıt üzerindeki geleneksel mevcudiyetine alışılan bilgi, artık ağırlıklı olarak dijital ortamlarda varlığını gösterir. Bilginin doğru teknoloji ve doğru amaçla muhafaza edilmesi, kurumlara rekabet üstünlüğü ve sürdürebilirlik sağlar. Bu sebeple de kurumların, bilgiyi en güvenli, en az maliyetli ve en verimli yerde saklama ihtiyacı hâsıl olmuştur. Bulut bilişim sistemleri bu ihtiyaca cevap vermektedir.

 

Bulut bilişim, kullanıcıların verilerinin teknik yapılandırmalarını, nerelerde, hangi sunucularda depolandığını bilmeksizin verilerini sakladıkları ve diledikleri zaman erişebildikleri modeldir. Bulut bilişimi, verilen hizmetlere göre: Hizmet Olarak Platform, Hizmet Olarak Yazılım, Hizmet Olarak Altyapı olarak üçe ayırabiliriz.

Hizmet Olarak Platform (Platform As A Service): Ağı, sunucuları veya diğer altyapıları yönetmeksizin bulut üzerinde uygulama geliştirilmesine veya özelleştirilmesine imkân veren servistir.

Hizmet Olarak Yazılım (Software As A Service): Burada yazılımın çalışması için kaynaklar size servis sağlayıcı tarafından temin edilir. Herhangi bir kurulum gerekmeksizin web tarayıcısından uygulamaların çalıştırılarak, sunucu, personel, yedekleme, ölçeklendirme, maliyetinden kaçınılır.

Hizmet Olarak Altyapı (Infrastructure As A Service): Temel bir kaynak havuzuna erişilmesini sağlayan otomatik ve ölçeklendirilebilen servistir. Burada kullanıcıların altyapıları konfigüre edebilme şansı vardır.

Bulut bilişim yukarıdaki hangi hizmeti seçerseniz seçin bir altyapının birden fazla paydaş tarafından kullanılması, yazılım ve donanım için yatırım yapılmaması sebebi ile diğer alternatiflere göre çok daha az maliyetlidir. Taleplere göre kolaylıkla şekillenebilir geleneksel yöntemlere göre çok daha hızlı aksiyon alınabilir ve buradaki verilere her yerden erişilebilir.

 

Bulut bilişimin, bütün bu avantajlarına karşın dezavantajları da bulunmaktadır. Bunlardan biri performansa ilişkindir. Hizmet sağlayıcı firmanın doğru seçilmiş, herhangi bir felaket durumunda veri kaybının yaşanmaması için gerekli donanım ve altyapılara sahip olması gerekmektedir.  Üstelik hizmet sağlayıcı, müşteri ilişkileri süreçlerini iyi yönetiyor,  taleplere çabuk dönüyor olmalıdır.

Bir diğer dezavantaj ise özellikle Türk Hukuku bakımından yasal engeller ve belirsizliklerdir. İlk olarak buluttaki verilerin nerelerde saklandığının bilinmemesi veri sahiplerinin tabi olduğu mevzuat bakımından sorun teşkil edebilmektedir. Örneğin 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca yurt dışı aktarımının yapılması Madde 9’daki şartların yerine getirilmesi halinde mümkündür. Bu şartlar: Açık rıza alınması, Kişisel Verileri Koruma Kurulu’nun (“Kurul”) güvenli kabul ettiği ülkelerden birine aktarım yapılması, Yeterli korumaya ilişkin taahhüdün ve buna ilişkin Kurul’un izninin bulunmasıdır. Fakat hayatın olağan akışı gereğince iş faaliyetleri kapsamında bulut sistemlerinde saklanan veriler için geçerli bir açık rıza alabilmek mümkün değildir. Kurum onaylanmak üzere kendisine gönderilen taahhütnameleri henüz onaylamamıştır ve veri aktarımı için güvenli ülkeler de yayımlanmamıştır. Haliyle burada bulutta tutulan veriler bakımından bir belirsizlik söz konusudur.

Bir diğer konu da fikri mülkiyet hukukuna ilişkin belirsizliklerdir. Bunun için hizmet sağlayıcı Dijital Haklar Yönetimi uygulamalarını kullanma gibi önlemlere başvurabilir (Örneğin eserleri kopyalamaya karşı korumalı olarak yayınlamak bu kapsamda bir önlem sayılacaktır).

Ayrıca gizlilik ve güvenlik hususunda da bulut bilişim sistemlerinin dezavantajlı tarafları bulunmaktadır. Bulutta tutulan verilerin kaderi hizmet sağlayıcı firmanın elindedir. Bu sistemleri kullanan paydaşlar arttıkça risk de artmaktadır. Olası risklerin önüne geçebilmek için güvenlik politikaları oluşturulmalı, sisteme yetkili ya da yetkisiz olarak yapılan girişler, gerçekleşen aktivitelere dair bilgiler bu politikalara riayet ederek saklanmalıdır. Farkındalık eğitimleri verilmelidir. Doğru şifreleme yöntemleri tercih edilmeli, iki faktörlü doğrulama yapılmalıdır. Rol temelli yetki kontrolleri gerçekleşmelidir.

Tüm bu yöntemlerle birlikte bilgi güvenliği konusunda yetkili kuruluşlar tarafından önceden oluşturulmuş standartlar da bulunmaktadır. Bu standartlara uyum sağlanması, teknik önlemlerden ibaret değildir, bu uyum yönetsel/idari süreçlerin de iyileştirilmesi anlamına gelmektedir. Ancak bu standartlara uyum her zaman regülatif uyumun da sağlandığı anlamını taşımaz. Standarlarda sürekliliğin sağlanması yalnızca olası felaketlere karşı gerekli tedbirlerin alındığını temin eder.

Uluslararası standardizasyon kuruluşu ISO tarafından bilgi güvenliği odaklı bir yönetim sistemi için gerekliliklerin belirlendiği, sistem bazlı standartlardan olan ISO / IEC 27001, bilgi varlıklarının korunması için bir amaç geliştirerek insan, süreçler ve teknoloji bileşenleri ile gerekli yöntemleri tespit eder. Bulut bilişim özelinde ISO / IEC 27035, ISO/IEC 27017,  ISO/IEC 27002 gibi tamamlayıcı standartlar da bilgi güvenliğinin sağlanabilmesi ve müdahale planlarının geliştirilmesi bakımından referans olacaktır.

Bu standartları birlikte değerlendirdiğimizde bilgi güvenliğini sağlamak, bir yönetim sistemi belirlemek, olası kayıpların önüne geçmek için birkaç basamaklı bir müdahale yeteneği geliştirilebilir .

Hazırlık Aşaması:

  • Olay analiz yazılım ve donanımları kullanılabilir,
  • Olası tehditlere karşı gerekli çözüm ürünlerine abone olunabilir,
  • Gerekli taramalar, takipler, güvenlik açığı ve risk değerlendirmeleri yapılabilir,
  • Ağ trafikleri dokümanlaştırılabilir.

Tespit ve Analiz Aşaması:

  • Uyarılar kullanılabilir,
  • Eylemleri koordine edecek bir Olay Yöneticisi atanabilir,
  • Olay sınırlama ve kurtarma durumunu bildirecek kişi/kişiler belirlenebilir,
  • Yönetime raporlama yapılabilir,
  • Saldırının fazları belirlenerek zaman odaklı bir çizelge oluşturulabilir,
  • Potansiyel veri kaybı belirlenebilir,
  • Sınırlamalar yapılabilir,
  • Saldırı ve kanıtlar dokümante edilebilir.

Post Mortem Süreç:

  • Vuku bulmuş ihlallerden hareketle potansiyel ihlaller için önlemler alınabilir, öz eleştiriler yapılabilir,
  • Müdahale stratejileri revize edilip hızlandırmalar/iyileşmeler sağlanabilir.

Sonuç olarak bilgi en ilkel formunda olsa dahi korunmak durumundadır ve bunun gerçekleşebilmesi de güncel gelişmelere adaptasyonla mümkündür. Bulut bilişiminin dezavantajları olsa da bütün bunlar doğru önlem ve süreç yönetimleri ile dengelenebilmektedir ve kurumlara göz ardı edilemeyecek bir hız, verim sunar. Bununla birlikte doğru yöntemin ve ürünün tercih edilebilmesi için kurumların kendilerini tanımaları gerekir ve burada danışman desteğine ihtiyaç vardır.