Bulut uyumluluğu, sektör yönergelerine ve yerel, ulusal ve uluslararası yasalara uygun olarak bulut kullanımının düzenleyici standartlarına uymasını sağlama sanatı ve bilimidir. Bazı yaygın düzenleyici gereksinimler arasında Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA), Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS) ve Gramm-Leach-Bliley Yasası (GLBA) bulunmaktadır.
Bir işletme bulut ortamına geçmeye karar verdikten sonra, bulut sağlayıcısının Avrupa Genel Veri Koruma Yönetmeliği (GDPR) veya ABD'deki HIPAA gibi yasalara uyumlu kalmasına nasıl yardımcı olacağıyla ilgilenmelidir. Bu, bulut ortamına geçtikten sonra değil en baştan yapılmalıdır.
İşletmeler bazen kendilerini daha planlama yapmadan çok önce bulut ortamında bulurlar ve bu da işleri daha da karmaşık hale getirir. Bulutun temel ilkelerinden biri, müşterinin bulut hizmetlerini kurması, değiştirmesi ve bulut hizmetlerinden çıkmasını kolaylaştırmak için bir self servis arayüzüne sahip olması gerektiğidir.
Ancak net olmayan şey, müşteri açısından bunu kimin yapacağıdır. Görünüşe göre, bugün bu herhangi biri olabilir. Tek gereken kurumsal bir kredi kartıdır ve bir departman, verileri buluta koyarak hemen işe koyulabilir. Bunun için kullanılan terim yeni değildir. Buna gölge BT adı verilmektedir. Bu terim, bulutun özelliklerinden dolayı bugünlerde çokça kullanılıyor.
Bulut yönetişimi
Yönetişim, üst düzey yöneticiler ve yönetim kurulu tarafından bir işletmeye sağlanan gözetimdir. Bulut yönetişimi, bu gözetimin buluta olan bir uzantısıdır. Yönetişim kritik önem taşır. Yönetişim olmadan, bulutu ve güvenliğini yönetmeyi çok zorlaştıran iş hedefleri ve bu hedefler hakkında çok fazla cevaplanmamış soru vardır.
Bir şirket buluta geçmeden önce, amaçlarının ve hedeflerinin ne olduğunu düşünmelidir. Amaçlar ve hedefler, geçerli yasalar, düzenlemeler ve sözleşmeler tarafından yönlendirilmelidir. Yasal yönlerin ötesinde, bulut yönetişimi, çalışanları şirketin amaç ve hedeflerine ulaşmasına yardımcı olmak için doğru yola yönlendirir.
Büyük hatalar, buluttaki işleri karmaşık hale getirerek kullanıcıların işlerini yapmasını engelleyebilir. Yapılan hatalar bir şirketi mahkemeye kadar bile götürebilir. Yönetim kurulu ve üst düzey yönetim, buluta özen ve dikkat göstermelidir.
Yasalar ve Regülasyonlar
Herhangi bir uyumluluk tartışmasında ilk konu yasadır. İşletmeler ve avukatları, hangi yasalara uyulması gerektiğini ele almalıdır. Ayrıca uyumsuzluğun sonuçları konusunda da net olunmalıdır. Yasalar tanımlandıktan sonra, geçerli yasa ve yönetmeliklere uymak için hangi güvenlik kontrollerinin uygulanması gerektiğinin sorulması büyük önem taşır.
GDPR gibi düzenlemeler, kişisel bilgilerle ilgili olarak çok fazla güvenlik gerektiriyor. GDPR yönetmeliğinin ayrıca, düzenleme kapsamındaki verilerin nerede işlenebileceği ve saklanabileceği konusunda çok özel kısıtlamaları bulunuyor. Bu, çalışma şekli nedeniyle bulutla ilgili olası bir sorundur. Ancak, çoğu bulut sağlayıcısında GDPR gereksinimlerini karşılamak için kontroller uygulanabilir.
Sözleşmeler, iki veya daha fazla taraf arasındaki resmi bir anlaşmayı tanımlar. Bir şirket bir sözleşme yaptığında, şartlara uymak zorundadır. Şartlara uyulmaması ciddi mali cezalara neden olabilir.
Kredi kartı bilgilerini işleyen veya depolayan bir kuruluşun, muhtemelen, Ödeme Kartı Sektörü-Veri Güvenliği Standardının (PCI-DSS) belirli öğelerini uygulamasını gerektiren kredi kartı şirketleriyle bir anlaşması vardır.
Kredi kartlarını işlemek için bir işletme, 12 standart güvenlik gereksinimini yerine getirme vaadi ile bir anlaşma imzalar. Gereksinimlerin uygulanması gereken seviye, bir yılda gerçekleştirilen işlem sayısına bağlıdır.
Bir işletme, müşterilerle yapılan herhangi bir sözleşmenin, şirketin bulutla neler yapabileceğini veya yapamayacağını ana hatlarıyla belirtip belirtmediğini de kontrol etmelidir. Genel, özel, topluluk ya da herhangi bir türde bulut kullanılıyorsa, bunun uyumluluk üzerinde herhangi bir etkisi var mı?
Birçok işletme, güvenlik kontrollerini uygulamak için temel olarak ISO 27001 veya NIST SP 800-53 gibi standartları kullanır. Bir işletme standart olarak ISO 27001'i kullanmaya karar verirse, şirketin uygun kontrollerin yapılabilmesi için çalışanları eğitmesi gerekir. Bunlar buluta kadar uzanır. Aslında ISO, buluta özel kontrolleri izole etmiş ve bunları ISO 27017'de ele almıştır.
Yasalara, düzenlemelere ve sözleşmelere uygunluk düzeyini değerlendirmenin bir yolu da denetim yaptırmaktır. Denetimler dahili ya da harici olarak yapılabilir. İşletmenin kendi denetçileri tarafından yapılan bir dahili denetim, uygunluk düzeyini belirlemek için bir öz değerlendirme sağlar. Bir dahili denetimin sonuçları, denetçiler vardıkları sonuçlarda önyargılı olabileceğinden, çarpıtılmış gibi görülebilir.
Daha objektif bir görüş sağlamak için, bir işletme bağımsız bir üçüncü taraf denetim firması tarafından denetlenmeyi tercih edebilir. Burada bulutla ilgili olarak tartıştığımız denetimler, bulut sağlayıcısı tarafından yapılan denetimlerdir.
Çoğu bulut sağlayıcı, kendi denetimlerini yapmaları için müşterileri veri merkezlerine kabul etmez, bu nedenle bağımsız üçüncü taraf denetimlerine güveniriz.
Denetim raporları
Denetimin sonucu denetim raporunda yer alır. Raporlar, Amerikan Yeminli Mali Müşavirler Enstitüsü (AICPA) tarafından standartlaştırılmıştır. Tüm işletmeler SOC 2® denetim raporunu istemelidir. SOC 2® raporu, bulut sağlayıcıları gibi hizmet kuruluşları içindir. Örneğin, ISO 27001 veya NIST Siber Güvenlik Çerçevesinde (CSF) tanımlanan kontrollerle uyum durumlarını gösterir. Kontroller, AICPA'nın aşağıdaki beş güven hizmeti kriterine göre değerlendirilir:
Bu raporlar tip 1 veya tip 2 şeklinde olabilir. Tip 1 raporu, kontrollerin herhangi bir andaki durumunu ve kontrollerin belirli bir uygunluk düzeyinde tasarlandığını ve kurulduğunu gösterir. Tip 2 raporu, kontrollerin operasyonel etkinliğini örneğin altı ay gibi belirli bir süre boyunca gösterir.
Bir bulut müşterisi bu raporları istemelidir. Ancak bulut sağlayıcısı, işleri hakkında hassas bilgiler içerebileceğinden bunları sağlamaya meyilli olmayabilir. Diğer bir seçenek, genel kullanım amaçlı olarak tasarlanan bir SOC 3® raporudur. Bulut sağlayıcısının işiyle ilgili çok az bilgi içerir. Müşteriye, denetçinin bulut sağlayıcıyı onaylayıp onaylamadığını net bir şekiled gösterir.
İlgili Makaleler
İlgili Araştırmalar