Yayınlanan son iki rapor en büyük güvenlik tehdidinin organizasyonunuzun dışında sizi hedef alan korsanlardan çok kullanıcılarınız olduğunu doğruluyor.
Bulut ortamındaki depolama davranışları konusunda yapılan son araştırmalar bulut depolama konusunda her zaman tamamıyla göz ardı edilmiş ve edilmeye devam eden bir gerçeği ortaya koyuyor: Depoladığınız verilere yönelik tehditler organizasyonunuzun dışındaki korsanlar değil; çalışanlarınızdır.
Araştırma kapsamında yapılan anketlerden ilki güvenli dosya transferi ve veri izleme yazılımları geliştiren Ipswitch File Transfer tarafından gerçekleştirildi. Dosya paylaşım alışkanlıkları üzerine yapılan ve 555 IT profesyonelinin katıldığı anket sonuçlarına göre dosya transferinin güvenli bir şekilde gerçekleştirilmesinin önemli olduğunu belirtiyor. Ancak dosya transferinin güvenli bir şekilde gerçekleştirilmesi gerektiği yönündeki görüşe karşın IT profesyonellerinin yüzde 61‘i güvenli olmayan bulut dosya paylaşım hesapları kullandığını dile getiriyor.
Ankete katılan IT profesyonellerin yüzde 32’sinin çalıştıkları şirkette dosya transferi konusunda herhangi bir politikasının olmaması, yüzde 25’inin bir politika oluşturmuş olması ve diğer yüzde 25’inin kurumsal dosya transfer politikasına tabi olması ancak politikanın her zaman uygulanmıyor olması dikkat çeken detaylardan bir diğeri olarak ön plana çıkıyor.
Katılımcıların yüzde 21’i geçmişte veri ihlali yaşadıklarını fakat ihlal konusundaki detaylardan tam olarak emin olmadığını; yüzde 38’i proseslerinin risk tanımlama ve riski ortadan kaldırma konusunda olduğunu ifade ediyor.
Bulut depolama konusunda araştırma yapan ikinci şirket ise belge yönetimi ve dijital görüntü oluşturma konularında faaliyet gösteren ve araştırma sonuçlarını Cleanser Out Your Computer Day üzerinden yayınlayan Crown Records Management and Censuswide. Yapılan ikinci araştırma şirketlerde IT ile ilgili yönetim kademesinde yer alan 200’den fazla çalışanın katılımıyla gerçekleştirildi. Yapılan araştırmaya ait anket sonuçları yüzde 55’inin e-posta veri kullanımı konusunda herhangi bir politikaya sahip olmadığını, yüzde 58’inin basılmış verileri takip etmediğini, yüzde 60’ının bulut veya dış kaynakta depolanan verileri düzenli olarak kontrol etme uygulamasının bulunmadığını ve yüzde 64’ünün bulut ortamına aktarılan veriler konusunda filtreleme yapmadığını ortaya koyuyor.
Tüm bu detayların ötesinde ankete katılanların yüzde 76’sının depolanmaması gereken verilerin fark edilmesine yardımcı olacak herhangi bir sisteme sahip olmaması kritik detaylar arasında yer alıyor.
Hurwitz & Associates şirketinin başkan yardımcısı ve önemli analisti Jean Bozman, ortaya çıkan sonuçların uzun zamandır üzerinde tartışılan ve bulut ortamının bakılması gereken son nokta olduğu yönündeki görüşleri destekler nitelikte olduğuna dikkat çekiyor. Bozman’a göre yoğun bulut kullanımına rağmen çalışanların kullanım alışkanlıklarının belirli bir politikaya uygun olmaması problemlerin başında geliyor.
Anı yaşarken elden gelenin en iyisinin yapılmaya çalışıldığını vurgulayan Bozman, felaket kurtarma ve yüksek erişebilirlik durumlarının göz önünde bulundurularak belirli bir zaman diliminde düzenleme yapılacak şekilde planlama yapılması gerektiğini belirtiyor.
Ipswitch ürün pazarlama yöneticilerinden Paul Castiglione, her geçen gün daha önemli hale gelen bulut depolama davranışları konusunda pek çok bulut sağlayıcısının yeni güvenlik özelliklerini servislerine eklediğine dikkat çekiyor.
Castiglione bulut depolama güvenliği konusunda şunları söylüyor: “Eğer mükemmel olsaydık hiç sorun yaşamazdık. Fakat istatistikler yaşanılan veri ihlallerinin üçte birinin insan hatası, üçte birinin proses ve ağ hataları ve diğer üçte birinin kötü amaçlı yazılımlar nedeniyle yaşanıldığını ortaya koyuyor. Söz konusu verilere göre veri ihlallerini önlemede alınabilecek önlemlerin üçte ikisi organizasyon içerisinde yer aldığını söylemek mümkün. Kullanıcı hatalarını önlemek için çalışanların eğitilmesi önemli bir konu olarak ön plana çıkmasının yanında çalışanların hata yapmasını önleyecek teknolojik gelişmelere yönelmek önemli bir konu.”
Eğitimin bulut depolama konularına uyumda önemli bir konu olduğuna dikkat çeken Castiglione, bulut ortamında dosya transferi ve değişimi esnasında ortaya çıkabilecek yanlışların önüne geçilmesi adına otomasyonun da önemli olduğunu belirtiyor. Şu anda hizmet verdiği müşterilerin hiçbirisinin el ile dosya transferine izin vermediğini ifade ediyor.
Güvenli veriye yönelmek pek çok kullanıcıyı etkileyen bir olay olmanın yanında kurumsal süreç tarafından desteklenen bir süreç olma niteliği taşıyor. Castiglione, bu sürecin otomasyonla desteklenmesi sayesinde kullanıcı hatalarının en aza indirileceğini, verimliliğin artacağını, çalışanlara etkin bir şekilde destek olunacağını ve dosyaların yanlış lokasyonlara gönderilmesinin önleneceğini söylüyor.
Politika ve dikkat hataları
Bulut depolama sağlayıcılarıyla ürün geliştirme konusunda hizmet veren StoAmigo şirketinin başkan yardımcısı Richard Stiles, sağlayıcılar tarafından yapılan hataların politikaların sorgulanmasını daha mümkün hale getirdiğini ifade ediyor. Pek çok durumda bir temsilcinin sağlayıcıyı veya bulut sağlayıcısını korumak üzere bir politika yazdığını söyleyen Stiles, ortaya çıkan sağlayıcı koruma yaklaşımı neticesinde mağdur olan tarafın kullanıcılar olduğunun altını çiziyor. Oluşturulan politikalarda sağlayıcıların kesinti süreleri ve veri kaybı durumundaki sorumlulukları gibi kritik başlıkları içermiyor olması sağlayıcı ve kullanıcı ilişkileri bakımından önemli bir ayrıntı olarak ön plana çıkıyor.
Pek çok bulut depolama şirketinin depolama söz konusu olduğunda “eller yukarı” yaklaşımını ortaya koyduğunu dile getiren Stiles, bu durumu şu şekilde ifade ediyor: “Bulut alanınıza herhangi bir dosya yüklediğimi düşündüğünüzde, depolama alanını satan sağlayıcının sunucuya yüklediğim dosyaya ait detaylarla ilgisi hiç bulunmuyor. Bulut depolama hizmetini sunan sağlayıcı için önemli olan tek nokta yaptığım depolamanın ne kadar alan kullandığı. İndirme ve yükleme kalitesi, gönderici ve alıcı arasında kesinti yaşanması gibi konular sağlayıcılar tarafından takip edilen detaylar arasında yer bulunmuyor.”
Özellikle depoladığınız eski verileri silmeniz söz konusu olduğunda bu işlemle sizin uğraşmak istememenizin yanında sağlayıcıların talebinizi yerine getiremeyeceği gerçeğini göz ardı etmeyin. Kullanıcıların bulut hizmeti aldıkları üçüncü parti sağlayıcılardan depoladıkları dijital içerik konusunda memnun olduğunu söylemek oldukça zor. Nitekim bulut alanında dosyalarını depolayan her kullanıcının içerikleri konusunda gizlilik endişesi yaşadığını söyleyebiliriz.
Veri yönetimi veri havuzu oluşturan ve veri toplayan bulut depolama sağlayıcılarının dahil olmadığı bir diğer konu olarak dikkat çekiyor. Bulut altyapısında kullanılan yazılımlar bulut sağlayıcılarının veri konusunda faaliyet göstermemesinden dolayı veri yönetim özellikleri sunmamaktadır. Bu nedenle önceki verilerin silinmesi, birden fazla aynı dosyanın depolama alanı içerisindeki kontrolü sağlayıcının değil kullanıcının sorumluluğunda olan veri yönetim konularıdır.
Stiles, bulut depolama politikaları konusunda her şeyin organizasyondaki yaklaşımla başladığını söyleyerek şirketler için önemli olan noktanın verinin değerini belirlemek olduğuna dikkat çekiyor. Verinin üst düzey öneme sahip olmadığı şirketlerle verinin can damarı olarak görüldüğü şirketlerin bulut politikalarına bakış açılarında önemli farklılıklar bulunuyor. Tıpkı sıradan kullanıcı ile fotoğraf sanatçısının Facebook üzerinde kullandığı fotoğraflara verdiği önem konusunda farklılıklar gibi.
Doğru cevap otomasyon mu?
Castiglione, otomasyonun insan hatalarını azaltacağını ve otomasyonlarda belirli özellik ve işlevlerin mutlaka olması gerektiğini belirtiyor. Yeni başlayanlar için otomasyon hizmetleri veya yazılımların dizinin ötesinde dosya düzeyine kadar sağlaması ve bu düzeyde kimlerin erişim gerçekleştirdiğinin bilinmesini sağlamalıdır. Ayrıca otomasyon kapsamında sağlayıcıların erişim kontrolünün doğru şekilde çalıştığını kontrol etmek amacıyla erişim kontrol özelliğinin sunulması önemlidir.
Bulut sağlayıcılarının geliştirilmeye açık pek çok yönü bulunduğunu dile getiren Castiglione, çoğu bulut sağlayıcısının dosya koruma ve erişim özelliklerinden farklı olarak tüketicilerin ortak çalışmasına imkan sunan araçlara dair sunulan hizmetlerden depolamaya yöneldiğini ve bu iki farklı yaklaşımın temelde birbirinden oldukça farklı olduğunu söylüyor.
Castiglione, bulut sağlayıcılarından hizmet alacak olan tüm herkesin kullanım koşulları ve şartlarının yer aldığı sözleşmeyi dikkatli bir şekilde okuması tavsiyesinde bulunuyor ve ekliyor: “Sözleşme kapsamında sağlayıcının sorumlu olduğu detayları ve verinizle ilgili sorumluluklarınızı bilmeniz önem taşıyor.”
Bazı bulut sağlayıcılarının müşterilerini yapmaları ve yapmamaları gereken konularda eğitime tabi tutmasının doğru bir uygulama olduğunu söyleyen Castiglione, bulut sağlayıcıların ücretsiz seçeneklerin bulunmasına karşın cazip olarak görünen pek çok servisin destek bakımından yetersiz olduğunu dile getiriyor.
Bozman, şirketlerin organizasyonlarına göz gezdirmek için zaman ayırması gerektiğini ve bu kontrolü gerçekleştirebilecek personel olmaması halinde dışarıdan destek alınması seçeneğinin değerlendirilebileceğini söylüyor. Tüm hizmetlerin üretimi desteklemesi halinde sistemi kontrol etmek için durdurmak oldukça zor. Birim donanım başına düşen kullanıcı sayısının oldukça yüksek olması bu süreci zorlaştıran en önemli etken.